RootstockのRSKJサーバーに5桁のサービス拒否(DoS)脆弱性を発見し、5,000ドルの報奨金を獲得した経緯。
この脆弱性はRLPデコードロジックの欠陥に起因しており、攻撃者は不正なUDPパケットを1つ送信することでノードを無期限に停止させ、最終的にはメモリ枯渇によりクラッシュさせることができました。
「根本原因は、この脆弱性に使用されたコードの長さが無効だったことです」とRootstockは述べています。
5,000 ドルの報奨金: 単一の不正な UDP パケットが Rootstock のブロックチェーン ノードを停止させた方法 (CVE スタイル) from infosecwriteups.com
security summaryRootstockのRSKJサーバーに5桁のサービス拒否(DoS)脆弱性を発見し、5,000ドルの報奨金を獲得した経緯。
この脆弱性はRLPデコードロジックの欠陥に起因しており、攻撃者は不正なUDPパケットを1つ送信することでノードを無期限に停止させ、最終的にはメモリ枯渇によりクラッシュさせることができました。
「根本原因は、この脆弱性に使用されたコードの長さが無効だったことです」とRootstockは述べています。
コメント