セキュリティアドバイザリ

このページでは、Bitcoin Coreの脆弱性の開示に関するポリシーと、過去のセキュリティアドバイザリの概要を掲載しています。

ポリシー

脆弱性が報告されると、重大度のカテゴリが割り当てられます。私たちは脆弱性を4つのクラスで区別します。

重要度が低のバグは、修正バージョンがリリースされてから2週間後に公開されます。リリースと同時に事前の発表も行われます。

重要度が中と高のバグは、影響を受ける最後のリリースがEOLになってから2週間後に公開されます。これは修正バージョンが最初にリリースされてから1年後です。事前の発表は公開の2週間前に行われます。

重要度がクリティカルのバグは、アドホックな手順が必要になる可能性があるため、標準ポリシーでは考慮されません。また、バグは脆弱性とはみなされない場合もあります。報告された問題が深刻であるとみなされても、それが必ずしも情報公開の禁止措置が必要であるとは限りません。

ノードにaddrメッセージスパムが送信され、ノードをクラッシュさせるために使用される可能性がありました。修正は、2021年9月14日に Bitcoin Core v22.0でリリースされました。

ローカルネットワーク上の悪意あるUPnPデバイスによってノードがクラッシュする可能性がありました。修正は、2021年9月14日に Bitcoin Core v22.0でリリースされました。

Bitcoin-QtのBIP70の実装は、BIP72 URIを開くと密かにクラッシュする可能性がありました。修正は、2020年6月3日に、Bitcoin Core 0.20.0でリリースされました。

不正なGETDATAメッセージにより、受信ノードのCPU使用率が100%になる可能性がありました。修正は、2020年6月3日に、Bitcoin Core 0.20.0 でリリースされました。

ノードに低難易度のヘッダーがスパム送信され、それによりクラッシュする可能性がありました。修正は、2017年9月14日に、Bitcoin Core 0.15.0 でリリースされました。

ノードは、悪意あるINVメッセージを送信する攻撃者毎に最大50MBのメモリを割り当てます。修正は、2020年6月3日に、Bitcoin Core 0.20.0 でリリースされました。

特別に細工された未承認トランザクションを受信すると、ノードが数時間停止する可能性がありました。修正は、2019年5月18日に、Bitcoin Core 0.18.0 でリリースされました。

最初の200個のピアによってノードが攻撃されると、ネットワークから切り離される可能性がありました。修正は、2021年1月15日に、Bitcoin Core バージョン 0.21.0 でリリースされました。

ノードは、多数の個別のIPによって攻撃されると、CPUおよびメモリのDoSを受ける可能性がありました。修正は、2020年8月1日に、Bitcoin Core 0.20.1 でリリースされました。

悪意あるピアによって、ノードが特定の未承認トランザクションを参照できないようにすることができました。修正は、2021年1月14日に、Bitcoin Core 0.21.0 でリリースされました。

攻撃者が大規模な不完全なメッセージを送信すると、メモリ使用率が高くなる可能性がありました。修正は、2015年4月27日に、Bitcoin Core 0.10.1 でリリースされました。

miniupnpcライブラリのバグにより、Bitcoin Coreでリモートコードが実行される可能性がありました。修正は、2015年10月15日に、Bitcoin Core 0.11.1 でリリースされました。

ノードは、悪意あるSOCKSサーバーによるバッファーオーバーフローに対して潜在的に脆弱でした。修正は、2017年11月6日に、Bitcoin Core バージョン 0.15.1でリリースされました。

Bitcoin CoreはDoS攻撃やインフレーション攻撃に対して脆弱でした。修正は、2018年9月18日に、Bitcoin Coreバージョン0.16.3および0.17.0rc4でリリースされました。