Alertes de sécurité de Bitcoin Core
L’équipe de Bitcoin Core a publié quatre nouvelles alertes de sécurité de faible gravité concernant le réseau Bitcoin. Selon Michael Ford, un mainteneur du logiciel Bitcoin, ces alertes étaient initialement au nombre de cinq, mais l’une d’elles a été reclassée de faible à moyenne gravité, réduisant ainsi le total à quatre.
Détails des alertes
- CVE-2025-46598 – DoS CPU provenant du traitement de transactions non confirmées : Ce problème, considéré comme de faible gravité, a été corrigé le 10 octobre 2025 dans la version 30.0 de Bitcoin Core. Il concerne un épuisement des ressources lors du traitement de transactions non confirmées. Un attaquant pourrait envoyer des transactions non confirmées spécialement conçues, nécessitant quelques secondes pour être validées par chaque nœud victime. Bien que les transactions non standard soient rejetées, cela ne conduit pas à une déconnexion, et le processus peut être répété, ce qui pourrait retarder la propagation des blocs.
- CVE-2025-46597 – Crash à distance hautement improbable sur les systèmes 32 bits : Également considéré comme de faible gravité, ce problème a été corrigé le 10 octobre 2025 dans la version 30.0 de Bitcoin Core. Il concerne un bug sur les systèmes 32 bits qui pourrait, dans des cas très rares, provoquer le crash d’un nœud lors de la réception d’un bloc pathologique. Selon les développeurs, ce bug serait extrêmement difficile à exploiter.
- CVE-2025-54604 – Remplissage de disque à partir de connexions auto-spoofées : Ce problème, également de faible gravité, a été corrigé le 10 octobre 2025 dans la version 30.0 de Bitcoin Core. Il concerne un bug de remplissage de journal qui permettait à un attaquant de saturer l’espace disque d’un nœud victime en simulant des connexions auto-générées. L’exploitabilité de ce bug est limitée, et il faudrait beaucoup de temps avant qu’il ne cause un manque d’espace disque pour la victime.
- CVE-2025-54605 – Remplissage de disque à partir de blocs invalides : Ce problème, considéré comme de faible gravité, a également été corrigé le 10 octobre 2025 dans la version 30.0 de Bitcoin Core. Il concerne un bug de remplissage de journal qui permettait à un attaquant de saturer l’espace disque d’un nœud victime en envoyant de manière répétée des blocs invalides. L’exploitabilité de ce bug est également limitée.
Versions publiées
Enfin, l’équipe de Bitcoin Core a annoncé la publication des versions 29.2 et 28.3, tandis que la branche 27 a atteint sa fin de vie.
