La version 0.9.1 de Bitcoin CORE corrige la vulnérabilité Heartbleed

Bitcoin CORE Version 0.9.1

est sorti et corrige la vulnérabilité OpenSSL Heartbleed, également connue sous le nom de CVE-2014-0160. Cette vulnérabilité a été corrigée par les principales plateformes d'échange de Bitcoin en quelques heures.

Au cas où vous l'auriez manqué, Heartbleed est un sujet brûlant dans la communauté de la sécurité. La faille Crypto d'OpenSSL (une implémentation open source des protocoles de sécurité SSL et TLS qui chiffrent et sécurisent le trafic Internet) a ouvert les deux tiers du Web aux écoutes clandestines. Elle a été découverte. plus tôt cette semaineet de nombreux observateurs l’ont décrit comme rien de moins que catastrophique.

Les acteurs du Bitcoin s'attaquent QUICK à Heartbleed

Heureusement, la nouvelle s’est rapidement traduite par une action à l’échelle de l’industrie : des correctifs sont en cours de mise en œuvre dans le monde entier au moment même où nous parlons.

Échanges de Bitcoin

et les portefeuilles sont ciblés par les pirates informatiques au quotidien, de sorte que les entreprises Bitcoin sérieuses KEEP les exploits zero day, les nouveaux vecteurs d'attaque et une multitude d'autres vulnérabilités.

Le Bitcoin CORE L'équipe indique que la version 0.9.1 est une version de maintenance destinée à corriger une vulnérabilité urgente (Heartbleed), et que tous les utilisateurs devraient la mettre à jour dès que possible. La plupart ont répondu à l'appel et, par conséquent, la grande majorité des principaux sites et plateformes d'échange Bitcoin ont implémenté le correctif.

De quoi parle Heartbleed ?

OpenSSL est la bibliothèque de code la plus populaire pour le chiffrement HTTPS. Elle n'est pas utilisée par Microsoft IIS ; les systèmes Windows ne sont donc pas directement concernés.

Bien que ce soit une bonne nouvelle pour la plupart des utilisateurs d'ordinateurs de bureau, les services informatiques préféreraient l'inverse. OpenSSL est utilisé sous Linux, BSD et de nombreuses plateformes de serveurs personnalisées. Mac OS X est également concerné. Le bug n'affecte pas non plus toutes les versions d'OpenSSL. Certaines grandes banques comme Chase et Schwab utilisent Microsoft IIS. D'autres utilisent Linux/Apache, Java et d'autres systèmes.

Ars Technica

Le bug est dû à une « erreur de codage banale » dans OpenSSL. Il permet aux attaquants d'accéder à des blocs de mémoire privée de l'ordinateur qui gère le processus OpenSSL.

Le contenu de ces blocs de mémoire peut inclure des informations d’authentification ou même des clés privées qui peuvent compromettre l’intégralité du certificat cryptographique du site Web.

Les opérateurs de sites web doivent donc appliquer la version 1.0.1g d'OpenSSL à leurs serveurs et mettre à jour leurs certificats de sécurité. Le problème est que le correctif OpenSSL n'est qu'une première étape. Les utilisateurs doivent penser à remplacer leurs certificats X.509 après avoir appliqué la mise à jour d'OpenSSL.

Il est conseillé à tous les administrateurs et utilisateurs de modifier leurs mots de passe par mesure de précaution, car l'activité est sans trace et cette ampleur de vulnérabilité est sans précédent dans OpenSSL.