Le serveur BTCPay publie une nouvelle version après que Tesla a révélé une vulnérabilité

La cyber-sécurité

Le serveur BTCPay publie une nouvelle version après que Tesla a révélé une vulnérabilité

Le processeur de paiement Bitcoin, BTCPay Server, a publié une nouvelle version après que l’équipe d’ingénierie de sécurité de Tesla a révélé des vulnérabilités.

En tant que tel, il est recommandé à tout utilisateur du serveur BTCPay exécutant une version antérieure à la v.1.0.7.1 de mettre à jour votre instance. Aaditya Purani, ingénieur en sécurité principal chez Tesla, a déclaré:

«On m’a attribué 6 CVE pour mes découvertes sur BtcpayServer. Les points forts incluent une exécution de code à distance pré-authentification en combinant deux bogues (dans certaines circonstances). Merci à BtcpayServer pour ses actions correctives rapides. Veuillez mettre à jour vos instances vers la version 1.1.0. »

L’équipe d’ingénierie de sécurité de Tesla a signalé les vulnérabilités pour la première fois le 19 avril, et après les avoir examinées et confirmées. BTCPay Server, avec l’équipe de Tesla, a corrigé les vulnérabilités.

Une nouvelle version corrigée, v1.0.7.1, a été publiée aujourd’hui.

Les vulnérabilités comprenaient CVE-2021-29251, une vulnérabilité critique qui permettait à une partie malveillante de générer un e-mail demandant la réinitialisation du mot de passe à la victime. Si la victime cliquait, le compte ciblé pourrait être repris.

Dans CVE-2021-29246, le serveur BTCPay ne validait pas correctement les noms de fichiers dans les formulaires de téléchargement, ce qui pouvait entraîner l’enregistrement des fichiers téléchargés dans des emplacements arbitraires sur le serveur. La CVE-2021-29250 était liée à une vulnérabilité XSS dans la fonction Point de vente.

Un autre CVE-2021-29245 a permis la génération de clés API héritées qui peuvent être utilisées pour générer de nouvelles factures, et la sélection des UTXO dans Payjoin utilisait un RNG faible.

CVE-2021-29247 impliquait l’absence de httponly et CVE-2021-29248 permettait à un attaquant distant d’obtenir des informations sensibles.

«Nous tenons à remercier Tesla pour avoir soumis la divulgation qui a conduit à ces correctifs et nous avoir aidés avec la correction», a déclaré BTCPay Server, qui étudie maintenant la création d’un programme de bug-bounty comme un moyen d’améliorer le processus de sécurité.

Plus tôt cette année, Tesla a annoncé ses avoirs en bitcoins d’une valeur d’un milliard de dollars, puis a commencé par la suite à accepter BTC comme paiement. Au lieu de se convertir en espèces, la société détiendra.

ANTY

AnTy est impliqué dans l’espace cryptographique à plein temps depuis plus de deux ans maintenant. Avant ses débuts dans la blockchain, elle a travaillé avec l’ONG Doctor Without Borders en tant que levée de fonds et depuis lors, elle a exploré, lu et créé pour différents segments de l’industrie.