Bitcoin CORE versione 0.9.1 corregge la vulnerabilità Heartbleed

Versione Bitcoin CORE 0.9.1

è uscito e ha risolto la vulnerabilità Heartbleed OpenSSL, nota anche come CVE-2014-0160. La vulnerabilità è stata corretta dai principali exchange Bitcoin nel giro di poche ore.

Nel caso te lo fossi perso, Heartbleed è un grosso problema nella comunità della sicurezza. Il bug Cripto in OpenSSL (un'implementazione open source dei protocolli di sicurezza Internet SSL e TLS che crittografano e proteggono il traffico Internet) ha esposto due terzi del Web alle intercettazioni. È stato scoperto all'inizio di questa settimanae molti osservatori lo hanno descritto come niente meno che catastrofico.

I giocatori Bitcoin QUICK ad affrontare Heartbleed

Fortunatamente la notizia si è tradotta rapidamente in misure adottate dall'intero settore: in questo momento le patch vengono implementate in tutto il mondo.

Scambi di Bitcoin

e i portafogli elettronici sono presi di mira dagli hacker quotidianamente, quindi le organizzazioni più serie che gestiscono Bitcoin KEEP traccia degli exploit zero-day, dei nuovi vettori di attacco e di una serie di altre vulnerabilità.

IL CORE Bitcoin team afferma che la versione 0.9.1 è una release di manutenzione per risolvere una vulnerabilità urgente (ad esempio Heartbleed) e tutti gli utenti dovrebbero effettuare l'aggiornamento il prima possibile. La maggior parte ha risposto alla chiamata e di conseguenza la stragrande maggioranza dei principali siti e exchange Bitcoin ha implementato la correzione.

Di cosa si tratta Heartbleed?

OpenSSL è la libreria di codice più popolare per la crittografia HTTPS. Non è utilizzata da Microsoft IIS, quindi i sistemi basati su Windows non possono essere direttamente interessati.

Sebbene questa sia una buona notizia per la maggior parte degli utenti desktop, i dipartimenti IT preferirebbero il contrario. OpenSSL è utilizzato su Linux, BSD e numerose piattaforme server personalizzate. Anche Mac OS X è interessato. Il bug non riguarda tutte le versioni di OpenSSL. Alcune grandi banche come Chase e Schwab si affidano a Microsoft IIS. Altre si affidano a Linux/Apache, Java e altri sistemi.

Tecnica dell'arte

segnala che il bug è il risultato di un "errore di codifica banale" in OpenSSL. Il bug consente essenzialmente agli aggressori di ottenere l'accesso a blocchi di memoria privata del computer che gestisce il processo OpenSSL.

Il contenuto di tali blocchi di memoria può includere credenziali di autenticazione o persino chiavi private in grado di compromettere l'intero certificato crittografico del sito web.

Pertanto, gli operatori di siti Web devono applicare la patch ai loro server con OpenSSL versione 1.0.1g e aggiornare i loro certificati di sicurezza. Il problema è che la patch OpenSSL è solo il primo passo. Gli utenti devono pensare a sostituire i loro certificati X.509 una volta applicato l'aggiornamento OpenSSL.

Si consiglia a tutti gli amministratori e agli utenti di modificare le proprie password a scopo precauzionale, poiché l'attività non lascia traccia e questa portata di vulnerabilità non ha precedenti in OpenSSL.