アップデート未完了のノードがイーサリアムにもたらす脆弱性

ブログランキングに参加中!!ポチッと押して応援よろしくお願い致します!!

にほんブログ村 投資ブログ 仮想通貨投資へ

アップデート未完了のノードがイーサリアムにもたらす脆弱性
 

アップデート未完了のノードがイーサリアムにもたらす脆弱性

イーサリアムでも進んでいないノードのアップデート
仮想通貨イーサリアムのネットワークにおいて多くのノードが最新版のソフトウェアクライアントであるParityかGethに更新していないことがセキュリティ企業SRLabsのレポートで判明。ノードのパッチ適用事情と詳細を解説する。

未だに残るアップデート未完了の「古い」ノード

Gethでも44%が未更新

2019年5月、SRLabs によるレポートにおいて、実に30%か40%のノードが攻撃に対し脆弱である、という状況が浮かび上がってきた。

背景について説明しておこう。

今年の 2月、SRLabs により、Parity Ethereum クライアントのバージョン2.2.10以下で、Parity Ethereumノードをリモートでクラッシュさせる可能性がある脆弱性が報告された。

このクラッシュは、2つのノード間でチェーンを同期している間に、整数のオーバーフローが原因で発生しうる。すべてのノードは任意の接続要求を受け入れてメインネットワークとの同期を維持するため、攻撃者は イーサリアム・ネットワークにおいて、パッチが適用されていない Parity ノードをクラッシュさせることができる、というものだ。

更新されない理由

攻撃は可能か?

まとめ

Parity Ethereum では、ノードをスキャンした結果、15%が2月のパッチを未適用だったという。
さらに、3月2日にリリースされたバージョンについても同様に調査し、5月2日時点で30%でパッチが未適用だった。

また、イーサリアムの根幹をなすGethでも更新に関する問題は同様に観測されている。
2か月前にリリースされたセキュリティに関するクリティカルなアップデート、これが含まれないバージョンv.1.8.20 以前のノードが約44%も残っているのだ。

Gethには自動更新の機能は存在しない。したがって約44%のGethノードが脆弱という報告は、アーキテクチャの設計そのものにおける問題と言い換えてもいい。

ただし、すべてのソフトウェアに自動更新を実装すべきかどうか、という点は議論の余地がある。CCleaner や ASUSのアップデートツールのように、アップデート機能を悪用される例も出てきているからだ。

引用元はこちら

当サイトは非営利にて運営を行わせて頂いております。
運営に関する募金はビットコインにて随時行わせて頂いております。
もし今後も当サイトを応援して頂ける方は是非ビットコインにて募金して頂けますと幸いです。

■ビットコイン(Bitcoin)
1L1mCDuAPZJJtt7boJvDzBNCqv66X3eqgQ

■イーサリアム(Ether)
0xB6c362e6c49F54F271E17CC1D064D5Ae6605066B