|
Title: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 03:33:10 AM как написано в новостях выше из-за критического бага в OpenSSL (http://heartbleed.com/) ваши монеты могут быть украдены!
немедленно обновите клиент до 0.9.1 оф.сайт (https://bitcoin.org/bin/0.9.1/) обсуждение (https://bitcointalk.org/index.php?topic=562400.0) после обновления рекомендуется поменять все пароли Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 03:42:50 AM Мультибит не подвержен этой уязвимости? вроде бы нетхотя кто знает, здесь (https://bitcointalk.org/index.php?topic=561923.msg6133060#msg6133060) например пишут что OpenSSL была два года уязвима и везде где старая версия применяется возможны взломы. после обновления рекомендуется поменять все пароли Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: somenick on April 09, 2014, 05:34:50 AM после обновления рекомендуется поменять все пароли если был включен rpcssl тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли. Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Vicus on April 09, 2014, 06:18:43 AM тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли. а ос тут причем? читать память могут только уязвимого приложения, в данном случае кошелька...Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 06:33:42 AM тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли. а ос тут причем? читать память могут только уязвимого приложения, в данном случае кошелька...openssl используется не только в кошельке.. Quote Some operating system distributions that have shipped with potentially vulnerable OpenSSL version: Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 CentOS 6.5, OpenSSL 1.0.1e-15 Fedora 18, OpenSSL 1.0.1e-4 OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012) FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013 NetBSD 5.0.2 (OpenSSL 1.0.1e) OpenSUSE 12.2 (OpenSSL 1.0.1c) тык (http://heartbleed.com/) Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: neiros on April 09, 2014, 07:08:17 AM Неприятная новость. :(
Если я правильно понимаю, то wallet тоже надо бы на новый поменять, так как никто же не даст гарантии, что старый зашифрованный файл кошелька кто-нибудь за всё это время не успел своровать про между прочим. А сейчас на эти устаревшие файлики "шакалы с падальщиками" могут охоту устроить, когда узнают как можно нужную информацию из него достать и чем-нибудь поживиться... Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: HappyS on April 09, 2014, 07:51:23 AM Мда. :-\
Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: maza5 on April 09, 2014, 09:03:09 AM Где паник сел BTC :)
Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Pivo on April 09, 2014, 09:08:59 AM Где паник сел BTC :) Видимо хомяки уже адаптировались к постоянным проблемам. Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Vicus on April 09, 2014, 09:12:00 AM тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли. а ос тут причем? читать память могут только уязвимого приложения, в данном случае кошелька...openssl используется не только в кошельке.. Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 09:13:14 AM Где паник сел BTC :) Видимо хомяки уже адаптировались к постоянным проблемам. в данном случае хомяки - все кто пользовался openssl от 1.01 и выше. счастливые пользователи виндовз тут тоже не в пролете - либа могла быть статически слинкована с любым приложением, как пример bitcoin-qt Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Vicus on April 09, 2014, 09:15:50 AM Где паник сел BTC :) Видимо хомяки уже адаптировались к постоянным проблемам. в данном случае хомяки - все кто пользовался openssl от 1.01 и выше. счастливые пользователи виндовз тут тоже не в пролете - либа могла быть статически слинкована с любым приложением, как пример bitcoin-qt Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Pivo on April 09, 2014, 09:20:09 AM Фикус, ты же свои битки на кредиты слил и новые ковры, тебе то чего боятся? ;D
Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 09:20:25 AM Не все так плохо. баги такого уровня в криптографической библиотеке с открытым кодом (а еще можно заодно вспомнить недавнюю историю с дыркой в GnuTLS), да еще и висящие там годами по мне это сцуко очень плохо. не удивлюсь если их туда специально коммитят штатные сотрудники АНБ ;D Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: stahanovec on April 09, 2014, 09:23:27 AM не удивлюсь если их туда специально коммитят штатные сотрудники АНБ ;D Да, точно.. Рептилоиды не иначе... Ушел за попкорном... ;D Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Pivo on April 09, 2014, 09:24:25 AM не удивлюсь если их туда специально коммитят штатные сотрудники АНБ ;D Шапочки из фольги снова актуальны как никогда ;D Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 09:28:47 AM не удивлюсь если их туда специально коммитят штатные сотрудники АНБ ;D Шапочки из фольги снова актуальны как никогда ;D на, почитай (http://habrahabr.ru/post/192722/) и можешь начинать подбирать фасон :D Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Pivo on April 09, 2014, 09:43:53 AM и можешь начинать подбирать фасон :D Относится всерьез к таким "разоблачениям" от человека, обвиняемого в хищении государственной собственности ничем не отличается от мозгопромывок остальных известных шпионов-блоггеров, делающих себе на этом заработок и карьеру. Хотя если нравятся подобные теории заговоров, то фасончик должен быть как минимум таким: http://fufel.info/uploadss/pics/62/ac-23-1.jpg п.с. а теперь ожидаем вовика (https://bitcointalk.org/index.php?action=profile;u=66376) с его традиционными байками и разоблачениями АНБ, для продвижения своего несуществующего недокоина ;D Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 10:19:33 AM Относится всерьез к таким "разоблачениям"... одно дело когда тебе рассказывают по тв3 про облучение пришельцами из космоса.а вот когда речь заходит про скромное финансирование СШП своего агенства по поиску и внедрению дырок в криптоалгоритмы (а как видишь по факту дырки годами присутствуют даже в открытом коде, и нехилые, и никому до этого дела нет, что уж там говорить про пропиетарный софт и крипточипы, особенно контролируемые корпорациями в тех же СШП) я этому охотно верю, и никакие сноудены тут не нужны. не так уж и много нужно для этого, например почитай статейки Хомякова (упс :D, ладно будем считать что он Chikey) как он OAuth2 портил, вот эту (http://habrahabr.ru/post/139399/) или эту (http://habrahabr.ru/post/211845/) возьмут пару таких чуваков на хороший оклад в президентах и расковыряют они любое решето. а бюджет вполне позволяет их десятки содержать. как-то глупо не воспринимать это всерьез. Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: akaBeaver on April 09, 2014, 10:57:06 AM господа ,скажите точно
создавать новый валлет или нет? Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: needbmw on April 09, 2014, 10:59:56 AM Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: stahanovec on April 09, 2014, 11:04:37 AM господа ,скажите точно создавать новый валлет или нет? Ну хочешь я создам за тебя? :D Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: qqqq on April 09, 2014, 11:36:48 AM Странно, но я не вижу обновлений для лайта, хотя там все подчистую слизано с битка...
Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Pivo on April 09, 2014, 11:41:48 AM одно дело когда тебе рассказывают по тв3 про облучение пришельцами из космоса. ... как-то глупо не воспринимать это всерьез. Про тв3 согласен, поэтому для выноса мозга я предпочитаю ренТВ, с говорящей головой Прокопенко ;D Если ты и правда подозреваешь, что троянские кони следят за тобой, что мало чем отличается от облучения пришельцами, то не проще кошель с большей частью битков вывести в оффлайн? Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: mall on April 09, 2014, 01:05:28 PM Странно, но я не вижу обновлений для лайта, хотя там все подчистую слизано с битка... кому нужен этот лайт, даже разработчику он был параллелен до взлета курсаTitle: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: fsb4000 on April 09, 2014, 01:21:25 PM Странно, но я не вижу обновлений для лайта, хотя там все подчистую слизано с битка... Вот можно скачать исправленную версию litecoin кошелька(использует OpenSSL 1.0.1g 7 Apr 2014)http://download1.rpmfusion.org/~warren/litecoin-0.8.6.9/ Вот исходники этой же версии: https://github.com/litecoin-project/litecoin/tree/exp-0.8.6.9 Комментарий разработчика( https://litecointalk.org/index.php?topic=18506.msg157073#msg157073 ): Quote In any case it's actually quite difficult to exploit 0.8.x because only RPC SSL is vulnerable and it is disabled by default. In any case, please upgrade to v0.8.6.9 and help test the release candidate. Title: Re: ОБНОВИТЕСЬ ДО 0.9.1 Post by: Wallytred on April 09, 2014, 01:41:23 PM По поводу лайта - комент с офф сайта от разработчиков:
I talked with Bitcoin devs about the openssl CVE-2014-0160 vulnerability that became public on April 7th, 2014. It is believed that Bitcoin 0.9.0 official binaries from bitcoin.org is exposed only with the payment protocol and RPC SSL. Bitcoin 0.8.x is exposed only with RPC SSL. If the above is true, you are not vulnerable with Litecoin-Qt or litecoind 0.8.x under these circumstances: You do not use RPC SSL as a client or server. This is not enabled by default, and very few people use this. If you built from source then you are probably dynamic linking to your system's openssl. So if your system openssl is fixed for CVE-2014-0160 then you are likely fine. Furthermore in #bitcoin-dev Tuesday, the Bitcoin Core developers talked about trying to reproduce an attack on Bitcoin RPC SSL that tries to extract secrets from memory. In their attempts they were unable to extract anything different from a single 64KB chunk of memory that contained nothing important. It is possible they missed something, but given that this feature is used by almost nobody the risk to Litecoin 0.8.x seems to be negligible. There is a lot of bad advice out there about emptying your old addresses. Doing so is harmless, but if the above analysis by the Bitcoin Developers is correct it is also useless. https://litecointalk.org/index.php?topic=17974.0 Please help to test the next version of Litecoin to better validate a long list of bug fixes from the previous release. We have no reason to rush this release. We want to be sure no errors are made. Краткая суть в том, что лайтовый кошелек не использует RPC SSL. |
