以太坊parity客户端存在拒绝服务漏洞,目前已修复

图片.png

2月3日,我们收到了一些报告,攻击者可以向公共的Parity Ethereum节点(2.2.9之前的版本和2.3.2-beta之前的版本)发送一个特制的RPC请求,使该节点将崩溃。

谁受影响了?

受影响的Parity Ethereum节点是将JSONRPC作为公共服务(例如,Infura,MyEtherWallet,MyCrypto和其他公共可访问的基础架构)服务的节点。

谁没有直接受到影响?

不向互联网上的第三方提供JSONRPC的Parity Ethereum节点 - 即大多数节点 - 不直接受到影响。默认模式是不公开提供JSONRPC。

尽快修复可用更新

2.2.9-stable和2.3.2-beta版本现已推出并解决了这个问题。在这里下载它们。

请尽快将您的节点更新到最新版本,特别是如果您正在运行面向公众的JSONRPC端点。设置了`--auto-update = all`标志的节点将自动接收更新。

Bug赏金计划

感谢MyEtherWallet的Kosala Hemachandra成为第一个引起我们注意的人。与往常一样,我们欢迎并根据我们的bug赏金计划奖励漏洞挖掘。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(parity)及本页链接。原文链接 https://www.parity.io/security-alert-parity-ethereum-03-02/

白帽汇安全研究院转载2019-02-11 20:48:58 parity 598