安全公告

此页面总结了与披露比特币核心漏洞相关的政策，并提供了历史安全公告的摘要。

政策

报告漏洞后，将为其分配严重性类别。我们区分 4 类漏洞

低严重性错误将在修复版本发布 2 周后披露。预告将在发布时同时发出。

中和高严重性错误将在最后一个受影响的版本达到生命周期结束 (EOL)后 2 周披露。这是在修复版本首次发布一年后。将在披露前 2 周发出预告。

严重错误不考虑标准政策，因为它们很可能需要临时程序。此外，错误可能根本不被视为漏洞。任何报告的问题也可能被认为是严重的，但不需要禁运。

节点可能会受到 addr 消息的垃圾邮件攻击，这可能用于使它们崩溃。修复程序于 2021 年 9 月 14 日在比特币核心 v22.0 中发布。

节点可能因本地网络上的恶意 UPnP 设备而崩溃。修复程序于 2021 年 9 月 14 日在比特币核心 v22.0 中发布。

Bitcoin-Qt 中的 BIP70 实现可能在打开 BIP72 URI 时静默崩溃。修复程序于 2020 年 6 月 3 日在比特币核心 0.20.0 中发布。

格式错误的 GETDATA 消息可能导致接收节点 100% CPU 使用率。修复程序于 2020 年 6 月 3 日在比特币核心 0.20.0 中发布。

节点可能会受到低难度区块头的垃圾邮件攻击，这可能用于使它崩溃。修复程序于 2017 年 9 月 14 日在比特币核心 0.15.0 中发布。

节点将为每个发送恶意 INV 消息的攻击者分配高达 50 MB 的内存。修复程序于 2020 年 6 月 3 日在比特币核心 0.20.0 中发布。

节点在接收特制的未确认交易时可能会停顿数小时。修复程序于 2019 年 5 月 18 日在比特币核心 0.18.0 中发布。

节点在受到其前 200 个对等节点攻击时可能会与网络分离。修复程序于 2021 年 1 月 15 日在比特币核心版本 0.21.0 中发布。

节点在受到大量不同 IP 地址攻击时可能受到 CPU 和内存拒绝服务攻击。修复程序于 2020 年 8 月 1 日在比特币核心 0.20.1 中发布。

节点可能被恶意对等节点阻止查看特定未确认交易。修复程序于 2021 年 1 月 14 日在比特币核心 0.21.0 中发布。

攻击者发送大型不完整消息会导致高内存使用率。修复程序于 2015 年 4 月 27 日在比特币核心 0.10.1 中发布。

miniupnpc 库中的错误可能导致比特币核心中的远程代码执行。修复程序于 2015 年 10 月 15 日在比特币核心 0.11.1 中发布。

节点可能容易受到恶意 SOCKS 服务器的缓冲区溢出攻击。修复程序于 2017 年 11 月 6 日在比特币核心版本 0.15.1 中发布。

比特币核心容易受到拒绝服务攻击和通货膨胀攻击。修复程序于 2018 年 9 月 18 日在比特币核心版本 0.16.3 和 0.17.0rc4 中发布。