Критическая уязвимость Grin в версии 1.0.1 и старше
Стало известно об критической уязвимости Grin в верии 1.0.1 и более старших, которую исправили в 1.0.2. Об уязвимости стало известно 22 февраля, исправление было выпущено через 3 дня.
Уязвимость связана с процессом синхронизации ноды и дает возможность удаленному злоумышленнику получить доступ на запись к любой части файловой системы, к которой у процесса ноды были привилегии. По заявлениям разработчиков никаких признаков того, что подобная атака была использована не было обнаружено, но и проверить это на 100% не получится.
Оригинал с подробностями тут.
Рекомендованные действия:
- Рассмотривайте любую систему, в которой была запущена нода версии 1.0.1 или старше, как потенциально уязвимую.
- Загрузите ноду версии 1.0.2 на чистой системе.
- Никогда не запускайте grin от пользователя с правами root.
Я рекомендую, если на вашем кошельке есть монеты Grin, то переведите их на другой кошелек (например на биржу), далее если вы устанавливали кошелек Grin по моей инструкции через виртуальную машину (ВМ), то просто удалите ВМ и установите новую, а на неё новый кошелёк (старый восстанавливать не имеет смысла, т.к. он может быть скомпрометирован).
p.s.: в установке кошелька на виртуальную машину есть огромный плюс, т.к. ВМ не имеет доступа к основной системе и дискам, поэтому при обнаружении таких багов не придётся переустанавливать всю систему, а только ВМ.