Сервер BTCPay выпускает новую версию после того, как Tesla раскрыла уязвимость: ☺

Платежный процессор биткойнов BTCPay Server выпустил новую версию после того, как команда инженеров по безопасности Tesla обнаружила уязвимости.

Таким образом, любому пользователю сервера BTCPay, использующему более раннюю версию, чем v.1.0.7.1, рекомендуется обновить ваш экземпляр. Адитья Пурани, старший инженер по безопасности в Tesla, сказал:

«Получил 6 CVE за мои выводы о BtcpayServer. Основные моменты включают в себя удаленное выполнение кода до авторизации путем объединения двух ошибок (при определенных обстоятельствах). Спасибо BtcpayServer за быстрые действия по исправлению ситуации. Обновите свои экземпляры до версии 1.1.0 ».

Группа инженеров по безопасности Tesla впервые сообщила об уязвимостях 19 апреля, а затем после их расследования и подтверждения. BTCPay Server вместе с командой Tesla исправили уязвимости.

Сегодня была выпущена обновленная версия v1.0.7.1.

Среди уязвимостей были CVE-2021-29251, критическая уязвимость, которая позволяла злоумышленнику сгенерировать электронное письмо с просьбой сбросить пароль для жертвы. Если жертва щелкнет, то целевая учетная запись может быть захвачена.

В CVE-2021-29246 сервер BTCPay неправильно проверял имена файлов в формах загрузки, что могло привести к сохранению загруженных файлов в произвольных местах на сервере. CVE-2021-29250 была связана с XSS-уязвимостью в функции Point of Sale.

Другой CVE-2021-29245 позволял генерировать устаревшие ключи API, которые можно использовать для создания новых счетов-фактур, а выбор UTXO в Payjoin использовал слабый ГСЧ.

CVE-2021-29247 связана с отсутствием httponly, а CVE-2021-29248 позволяет удаленному злоумышленнику получить конфиденциальную информацию.

«Мы хотели бы поблагодарить Tesla за раскрытие информации, которая привела к этим исправлениям, и за помощь в исправлении», – заявил сервер BTCPay, который сейчас рассматривает создание программы вознаграждения за ошибки как один из способов улучшения процесса безопасности.

Ранее в этом году Tesla объявила о своих активах в биткойнах на миллиард долларов, а затем начала принимать BTC в качестве оплаты. Вместо того, чтобы конвертировать в наличные, компания будет холдингом.

Сообщение «Сервер BTCPay выпускает новую версию после того, как Tesla раскрывает уязвимость», впервые появилось на сайте BitcoinExchangeGuide. источник “

Подписывайтесь на наш канал в Telegram @currencies_rus

0,0002276 долл. США (+ 0,00%)

Объем 24H 0 долл. США

Изменеия 24ч: 0,00%, 7д: 0,00%

Cегодня L: 0,0002276 долл. США – H: 0,0002276 долл. США

Капитализация 148,358 Тыс $ Рейтинг 99999

Доступно / Всего 651,894 м V

ОЦЕНИТЕ МАТЕРИАЛ!
00
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
()
x