Vulnerabilità: CVE-2020-26896

Prima di 0.11.0-beta, LND (Fulmini Network Daemon) aveva una vulnerabilità nel suo database fattura. Mentre sostenendo in catena un’uscita HTLC ricevuto, non ha verificato che la corrispondente uscita off-catena HTLC era già regolata prima di rilasciare il preimage. Nel caso di un hash-e-importo collisione con una fattura, il preimage per un pagamento previsto è stato invece rilasciato. Un peer malintenzionato potrebbe avere deliberatamente intercettato un HTLC destinato per il nodo vittima, ha sondato il preimage attraverso un HTLC inoltrata colluso, e rubato il HTLC intercettati. L’impatto è una perdita di fondi in determinate situazioni, e un indebolimento della privacy ricevitore della vittima.


https://gist.github.com/ariard/6bdeb995565d1cc292753e1ee4ae402d
https://lists.linuxfoundation.org/pipermail/lightning-dev/2020-October/002855.html
https://lists.linuxfoundation.org/pipermail/lightning-dev/2020-October/002857.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26896


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi