Une page dédiée aux bugs de Bitcoin Core

0
113

Les développeurs de Bitcoin Core ont récemment mis en ligne une page qui résume les procédures relatives aux divulgations de vulnérabilités affectant le logiciel et qui répertorie les bugs corrigés des versions 0.21.0 et antérieures.

Lorsqu’une vulnérabilité est signalée, une catégorie de gravité lui est attribuée :

Faible : Vulnérabilités difficiles à exploiter ou ayant un faible impact. Par exemple, un bug de portefeuille qui nécessite l’accès à la machine de la victime. Les bugs de faible gravité seront divulgués deux semaines après la sortie d’une version corrigée. Une pré-annonce sera faite en même temps que la sortie.

Moyen : Vulnérabilités à impact limité. Par exemple, un crash à distance sur un réseau local. Les bugs de gravité moyenne seront divulgués deux semaines après la fin de vie de la dernière version concernée. Cela correspond à un an après la première publication d’une version corrigée. Une pré-annonce sera faite deux semaines avant la divulgation.

Élevé : Vulnérabilités avec un impact significatif. Par exemple, un crash à distance ou une vulnérabilité de type Remote Code Execution (RCE) sur un réseau local. Comme pour les bugs de gravité moyenne, les bugs de gravité élevée seront divulgués deux semaines après la fin de vie de la dernière version concernée avec une pré-annonce de deux semaines.

Critique : Vulnérabilités qui menacent l’intégrité de l’ensemble du réseau. Par exemple un bug d’inflation ou de vol de pièces. Les bugs critiques n’ont pas de procédure standard. Ils nécessitent le plus souvent une procédure ad hoc.

En savoir plus : https://bitcoincore.org/en/security-advisories/