Poważny błąd w kliencie Geth
Twórcy najpopularniejszego klienta Ethereum, Geth, opublikowali poprawkę do poważnego błędu w swoim kodzie. Nie ujawniają szczegółów luki, aby operatorzy węzłów, w tym używanych przez różne projekty i usługi, mogli bezpiecznie je zaktualizować.
„Błąd zostanie ujawniony później. Wszystkie wersje Getha z obsługą hardfork London są podatne na ataki (błąd jest starszy niż London), więc wszyscy użytkownicy muszą zaktualizować ”- napisał programista Geth Peter Siladji.
Według Ethernodes.org około 75% węzłów Ethereum korzysta obecnie z Getha. Powinni jak najszybciej przełączyć się na aktualną wersję 1.10.8.
This issue has been allocated CVE-2021-39137, and a GitHub security advisory (to be filled in later) been published at https://t.co/ICRhTvFShn
— Go Ethereum (@go_ethereum) August 24, 2021
Po raz pierwszy deweloperzy poinformowali o identyfikacji problemu w środę 18 sierpnia. Został odkryty przez Guido Vrankena, który specjalizuje się w znajdowaniu luk w oprogramowaniu open source.
W listopadzie 2020 r. poprawka błędu w kliencie Geth spowodowała podział łańcucha bloków Ethereum na dwa. Jak się okazało, twórcy dodali poprawkę do poprzedniej odsłony, ale nie podkreślali jej powagi, by nie zwracać uwagi cyberprzestępców. W rezultacie wielu operatorów zignorowało aktualizację, a ich węzły przestały synchronizować się z blockchainem, co spowodowało masowe zakłócenia w działaniu usług opartych na Ethereum. Deweloperzy przyznali wtedy, że powinni pracować nad procedurami informowania członków sieci o ważnych poprawkach.
„Ostatnim razem ludzie wściekali się na nas, gdy wprowadzaliśmy pilne zmiany, ale ich nie zgłaszaliśmy. Tym razem postanowiliśmy zrobić to inaczej. Zobaczmy, jak będzie lepiej”- dodał Siladyi.
Comments (No)