Critical vulnerability in v0.6.1

BM-2cT7XHTa1L1iCiGVdg8AezKnnJf36yHmGc
Feb 14 00:35 [raw]

遠隔コード実行の脆弱性が見付かったそう。 こりゃ大変だ。 0.6.2を使っている人は、アップグレードまたはダウングレードせよとのこと。 脅威の程度や内容を早く知りたいな。 鍵をすべて作り直す必要があるのかどうかとか、 任意のコードを実行可能だったのかどうかとか、 読み書きできたファイルシステムの範囲とかね。

BM-2cT7XHTa1L1iCiGVdg8AezKnnJf36yHmGc
Feb 14 01:34 [raw]

あらら これは参ったな ダウングレードするしかなさそうだね

BM-2cT7XHTa1L1iCiGVdg8AezKnnJf36yHmGc
Feb 14 02:26 [raw]

最悪過ぎる…evalって一番ダメな奴じゃん

BM-2cT7XHTa1L1iCiGVdg8AezKnnJf36yHmGc
Feb 14 13:28 [raw]

本家の購読リストからもやってきた ダウングレードで問題なくなるということは、新しく入れた機能が悪さするのかな?

BM-2cT7XHTa1L1iCiGVdg8AezKnnJf36yHmGc
Feb 19 07:43 [raw]

せめて分かってる範囲での攻撃の詳細とか開発者は開示してくれないのかね バグ作ったのはメインの開発者(Peter Surda)だし、対応見てるとこいつが犯人なんじゃないかと思うわ

BM-2cT7XHTa1L1iCiGVdg8AezKnnJf36yHmGc
Feb 19 08:26 [raw]

確かに、まとまった続報がほしい。 今のところ、 [chan] bitmessage BM-2cWy7cvHoq3f1rYMerRJp8PT653jjSuEdY でのやりとりから 小出しの情報を拾っていくしかなさそう。 https://beamstat.com/chan/bitmessage ここでも読める。 redditの方でもいくらか情報が流れている。 https://www.reddit.com/r/bitmessage/

[chan] Bit_Message_JA
BM-2cT7XHTa1L1iCiGVdg8AezKnnJf36yHmGc