La version 1.3.2 est sortie cette nuit, et elle adresse un bug de sécurité lié à un logiciel tier utilisé par Chia : OpenSSL. Même si la sécurité de votre installation ou de vos fonds n'est pas compromise, l'équipe Chia conseille de mettre à jour vers la 1.3.2 dès que possible.
OpenSSL est une API (un ensemble de fonctions logicielles), qui permet de sécuriser les communications réseaux en les encryptant. Cela empêche une personne tierce d'écouter cet échange.
Le 15 mars, une faille de sécurité a été rendue publique (CVE-2022-0778), et a été aussitôt corrigée. Les principales distributions Linux ont étés rapidement mises à jour également. Cette faille permet d'effectuer des attaques de type DoS (déni de service) : la fonction mathématique sqrt() (qui permet de calculer une racine carrée) peut boucler infiniment si elle est appelée avec certains paramètres bien précis. Cela entraîne une saturation du CPU, qui ne peut plus répondre aux requêtes. Le serveur se retrouve alors hors ligne.
Concernant le logiciel Chia, cette faille semble uniquement exploitable pour mettre hors-ligne un nœud. Bien que dérangeant, la sécurité de votre installation n'est nullement remise en question car les connections SSL ne sont nullement compromises. Comme précisé dans le patch note, il est impossible de récupérer vos fonds avec cette faille.
La différence de code est mineure, et vise principalement à s'assurer que votre système utilise bien une version récente d'OpenSSL lors de l'installation de Chia. Il n'y a aucun autre changement par rapport à la version 1.3.1.
Pour mettre à jour votre installation, téléchargez la ici.
Note : il semblerait que l'équipe Chia ait oublié de faire la mise à jour pour Arch Linux, et pour MacOS. Deux modifications de code sont apparues quelques heures après la release (#1, #2). Il est donc probable qu'une version 1.3.3 soit déployée très rapidement (à moins que l'équipe ne considère ces systèmes somme peu prioritaires).
N'hésitez pas à venir en discuter sur Discord !
Comments