漏洞起因
设计错误
危险等级
中
影响系统
Bitcoind 0.8.1
不受影响系统
危害
远程攻击者可以利用漏洞获取敏感密码信息。
CVSSv2:
攻击所需条件
攻击者必须访问Bitcoin。
漏洞信息
Bitcoin(比特币)是一种开源的P2P虚拟货币。
bitcoind 0.8.1中的bitcoinrpc.cpp中的HTTPAuthorized函数在检测到密码中第一个字节不正确时会返回验证失败的信息,允许远程攻击者利用漏洞通过时序跨通道攻击(side-channel attack)来判断密码信息。
测试方法
安全建议
厂商解决方案
用户可联系厂商获得相应的升级或补丁程序:
https://en.bitcoin.it/
漏洞提供者
vendor
评论关闭。