以太坊parity客户端存在拒绝服务漏洞,目前已修复

图片.png

2月3日,我们收到了一些报告,攻击者可以向公共的Parity Ethereum节点(2.2.9之前的版本和2.3.2-beta之前的版本)发送一个特制的RPC请求,使该节点将崩溃。

谁受影响了?

受影响的Parity Ethereum节点是将JSONRPC作为公共服务(例如,Infura,MyEtherWallet,MyCrypto和其他公共可访问的基础架构)服务的节点。

谁没有直接受到影响?

不向互联网上的第三方提供JSONRPC的Parity Ethereum节点 - 即大多数节点 - 不直接受到影响。默认模式是不公开提供JSONRPC。

尽快修复可用更新

2.2.9-stable和2.3.2-beta版本现已推出并解决了这个问题。在这里下载它们。

请尽快将您的节点更新到最新版本,特别是如果您正在运行面向公众的JSONRPC端点。设置了`--auto-update = all`标志的节点将自动接收更新。

Bug赏金计划

感谢MyEtherWallet的Kosala Hemachandra成为第一个引起我们注意的人。与往常一样,我们欢迎并根据我们的bug赏金计划奖励漏洞挖掘。


为您推荐了相关的技术文章:

  1. Struts2 历史 RCE 漏洞回顾不完全系列
  2. [翻译]Headless Chrome入门
  3. Jackson-Databind框架json反序列化代码执行漏洞分析
  4. 说说外贸服务器选择的二三事
  5. Google BBR魔改版安装教程,支持CentOS6/7和Ubuntu14 - 教程资源 - 如有乐享

原文链接: bcsec.org