Topic: ОБНОВИТЕСЬ ДО 0.9.1 (Read 1838 times)

По поводу лайта - комент с офф сайта от разработчиков:

I talked with Bitcoin devs about the openssl CVE-2014-0160 vulnerability that became public on April 7th, 2014.  It is believed that Bitcoin 0.9.0 official binaries from bitcoin.org is exposed only with the payment protocol and RPC SSL.  Bitcoin 0.8.x is exposed only with RPC SSL.

If the above is true, you are not vulnerable with Litecoin-Qt or litecoind 0.8.x under these circumstances:
You do not use RPC SSL as a client or server.  This is not enabled by default, and very few people use this.
If you built from source then you are probably dynamic linking to your system's openssl.  So if your system openssl is fixed for CVE-2014-0160 then you are likely fine.

Furthermore in #bitcoin-dev Tuesday, the Bitcoin Core developers talked about trying to reproduce an attack on Bitcoin RPC SSL that tries to extract secrets from memory.  In their attempts they were unable to extract anything different from a single 64KB chunk of memory that contained nothing important.  It is possible they missed something, but given that this feature is used by almost nobody the risk to Litecoin 0.8.x seems to be negligible.

There is a lot of bad advice out there about emptying your old addresses.  Doing so is harmless, but if the above analysis by the Bitcoin Developers is correct it is also useless.

https://litecointalk.org/index.php?topic=17974.0
Please help to test the next version of Litecoin to better validate a long list of bug fixes from the previous release.  We have no reason to rush this release.  We want to be sure no errors are made.

Краткая суть в том, что лайтовый кошелек не использует RPC SSL.

Вот можно скачать исправленную версию litecoin кошелька(использует OpenSSL 1.0.1g 7 Apr 2014)
http://download1.rpmfusion.org/~warren/litecoin-0.8.6.9/

Вот исходники этой же версии: https://github.com/litecoin-project/litecoin/tree/exp-0.8.6.9
Комментарий разработчика( https://litecointalk.org/index.php?topic=18506.msg157073#msg157073 ):

кому нужен этот лайт, даже разработчику он был параллелен до взлета курса

Про тв3 согласен, поэтому для выноса мозга я предпочитаю ренТВ, с говорящей головой Прокопенко  

Если ты и правда подозреваешь, что троянские кони следят за тобой, что мало чем отличается от облучения пришельцами, то не проще кошель с большей частью битков вывести в оффлайн?

Странно, но я не вижу обновлений для лайта, хотя там все подчистую слизано с битка...

Ну хочешь я создам за тебя? 

 

господа ,скажите точно
создавать новый валлет или нет?

одно дело когда тебе рассказывают по тв3 про облучение пришельцами из космоса.
а вот когда речь заходит про скромное финансирование СШП своего агенства по поиску и внедрению дырок в криптоалгоритмы (а как видишь по факту дырки годами присутствуют даже в открытом коде, и нехилые, и никому до этого дела нет, что уж там говорить про пропиетарный софт и крипточипы, особенно контролируемые корпорациями в тех же СШП) я этому охотно верю, и никакие сноудены тут не нужны.
не так уж и много нужно для этого, например почитай статейки Хомякова (упс  , ладно будем считать что он Chikey) как он OAuth2 портил, вот эту или эту
возьмут пару таких чуваков на хороший оклад в президентах и расковыряют они любое решето.
а бюджет вполне позволяет их десятки содержать.
как-то глупо не воспринимать это всерьез.

Относится всерьез к таким "разоблачениям" от человека, обвиняемого в хищении государственной собственности ничем не отличается от мозгопромывок остальных известных шпионов-блоггеров, делающих себе на этом заработок и карьеру.

Хотя если нравятся подобные теории заговоров, то фасончик должен быть как минимум таким:



п.с. а теперь ожидаем вовика с его традиционными байками и разоблачениями АНБ, для продвижения своего несуществующего недокоина  

на, почитай
и можешь начинать подбирать фасон 

Шапочки из фольги снова актуальны как никогда  

Да, точно.. Рептилоиды не иначе... Ушел за попкорном... 

баги такого уровня в криптографической библиотеке с открытым кодом (а еще можно заодно вспомнить недавнюю историю с дыркой в GnuTLS), да еще и висящие там годами по мне это сцуко очень плохо.

не удивлюсь если их туда специально коммитят штатные сотрудники АНБ  

Фикус, ты же свои битки на кредиты слил и новые ковры, тебе то чего боятся? 

Это любое приложение должно уметь использовать в этой библиотеке TLS/DTLS, а также heartbeat и выставлять это наружу, так что круг резко сужается. Не все так плохо.

в данном случае хомяки - все кто пользовался openssl от 1.01 и выше.
счастливые пользователи виндовз тут тоже не в пролете - либа могла быть статически слинкована с любым приложением, как пример bitcoin-qt

Это все понятно. Но менять (сиречь переустанавливать) ОС то зачем? В перечисленных оперционках это все лечится одной командой обновления пакетов. Ну разве что кроме Фряхи Нетбсд и Опенбсд. Там может быть понадобится вытянуть и пересобрать мир

Видимо хомяки уже адаптировались к постоянным проблемам. 

Где паник сел BTC 

Мда. 

Неприятная новость.
Если я правильно понимаю, то wallet тоже надо бы на новый поменять, так как никто же не даст гарантии, что старый зашифрованный файл кошелька кто-нибудь за всё это время не успел своровать про между прочим. А сейчас на эти устаревшие файлики "шакалы с падальщиками" могут охоту устроить, когда узнают как можно нужную информацию из него достать и чем-нибудь поживиться...

openssl используется не только в кошельке..


тык

а ос тут причем? читать память могут только уязвимого приложения, в данном случае кошелька...

если был включен rpcssl
тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли.

вроде бы нет
хотя кто знает, здесь например пишут что OpenSSL была два года уязвима и везде где старая версия применяется возможны взломы.
после обновления рекомендуется поменять все пароли

как написано в новостях выше из-за критического бага в OpenSSL ваши монеты могут быть украдены!
немедленно обновите клиент до 0.9.1
оф.сайт
обсуждение

после обновления рекомендуется поменять все пароли