INVDoS-уязвимость в Bitcoin Core оставалась в секрете в течение двух лет

Екатерина Быстрова 14 Сентября 2020 - 18:20

...

INVDoS-уязвимость в Bitcoin Core оставалась в секрете в течение двух лет

Около двух лет назад Брайдон Фуллер, разработчик протокола Bitcoin, обнаружил опасную INVDoS-уязвимость, затрагивающую сразу три имплементации Bitcoin: Litecoin, Namecoin и Decred. Фуллер долго скрывал информацию о проблеме, чтобы не спровоцировать попытки эксплуатации, однако теперь подробности стали доступны общественности.

INVDoS-брешь отслеживается под идентификатором CVE-2018-17145, она угрожает тем цифровым валютам, которые задействуют старые версии Bitcoin Core.

Как выяснил Фуллер, атакующий мог использовать вредоносную Bitcoin-транзакцию, которая бы при обработке нодами блокчейна привела к неконтролируемому расходу памяти — другими словами, вызвала бы DoS.

«С помощью уязвимости атакующий мог вызвать состояние отказа в обслуживании. Эта атака сработала бы против большинства нод Bitcoin, Litecoin, Namecoin и Decred», — пишет специалист в отчёте (PDF).

Проблема безопасности затрагивает Bitcoin Core версии 0.16.0, Bitcoin Core версии 0.16.1, Bitcoin Knots версии 0.16.0, а также все бета-версии Bcoin. А патчи вышли с релизом Bitcoin Core v0.16.2+, Bitcoin Knots v0.16.2+, Bcoin v1.0.2+, Btcd v0.21.0-beta+, Litecoin Core v0.16.2+, Namecoin v0.16.2+ и Dcrd v1.5.2+.

К счастью, Фуллер и другие специалисты не встречали подобные сценарии эксплуатации в реальных атаках.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 09:04

Соответствие законодательству РФ Корпорации Государство Соответствие требованиям регуляторов

Поставщиков радиостанций для МВД отправили в СИЗО из-за иностранных деталей

В России разгорается очередной скандал вокруг импортозамещения. Руководителей двух связанных петербургских компаний — «Профи-связь» и «Астроком» — арестовали по делу о мошенничестве при поставках радиостанций для МВД. Следствие считает, что компании поставили силовикам радиостанции «Радон», которые по документам должны были быть собраны из российских комплектующих, но фактически содержали иностранные детали.

По данным «Коммерсанта», гендиректора «Профи-связи» Виталия Козлова и руководителя «Астрокома» Алексея Баранова задержали в Санкт-Петербурге, а затем доставили в Москву.

В центре расследования оказался контракт 2020 года на поставку радиостанций «Радон П45» для нужд МВД. Сумма сделки была относительно небольшой — около 950 тыс. рублей. Однако проведенная экспертиза МВД показала, что изделия не соответствовали требованиям технического задания в части происхождения компонентов.

Следствие квалифицировало ситуацию как мошенничество, совершённое организованной группой.

Сами фигуранты обвинения отвергают. По их версии, контракт был исполнен полностью, а претензий к качеству оборудования со стороны заказчика никогда не возникало. Защита также настаивала, что спор носит хозяйственный характер и должен рассматриваться в арбитраже, а не в рамках уголовного дела. Однако суд отправил обоих обвиняемых в СИЗО.

На этом история может не закончиться. По данным издания, следователи проверяют возможную связь фигурантов с другими государственными контрактами.

Особое внимание вызывает компания «Астроком», которая поставляла средства связи для Росгвардии. В 2021 году организация получила контракт почти на 165 млн рублей на поставку более 2800 радиостанций «Радон». Однако впоследствии соглашение было расторгнуто из-за невозможности исполнения, а заказчику пришлось добиваться возврата части аванса через суд.

Ранее обе компании уже попадали в поле зрения антимонопольщиков. В 2022 году УФАС по Санкт-Петербургу установило, что «Профи-связь», «Астроком» и ряд связанных структур использовали один и тот же IP-адрес для участия в торгах по гособоронзаказу. Кроме того, между фирмами были обнаружены связи через владельцев и руководство.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!