Bitcoind/Bitcoin-Qt密码判断漏洞

漏洞起因
设计错误
危险等级

影响系统
Bitcoind 0.8.1

不受影响系统

危害
远程攻击者可以利用漏洞获取敏感密码信息。
CVSSv2:

攻击所需条件
攻击者必须访问Bitcoin。

漏洞信息
Bitcoin(比特币)是一种开源的P2P虚拟货币。
bitcoind 0.8.1中的bitcoinrpc.cpp中的HTTPAuthorized函数在检测到密码中第一个字节不正确时会返回验证失败的信息,允许远程攻击者利用漏洞通过时序跨通道攻击(side-channel attack)来判断密码信息。

测试方法
安全建议

厂商解决方案
用户可联系厂商获得相应的升级或补丁程序:
https://en.bitcoin.it/

漏洞提供者
vendor

评论关闭。