{"id":52738,"date":"2020-04-24T13:17:48","date_gmt":"2020-04-24T11:17:48","guid":{"rendered":"https:\/\/www.crypto-news-flash.com\/?p=52738"},"modified":"2020-04-24T13:17:48","modified_gmt":"2020-04-24T11:17:48","slug":"cardano-iohk-enthuellt-13-behobene-schwachstellen-des-byron-reboot","status":"publish","type":"post","link":"https:\/\/crypto-news-flash.com\/de\/cardano-iohk-enthuellt-13-behobene-schwachstellen-des-byron-reboot\/","title":{"rendered":"Cardano: IOHK enth\u00fcllt 13 behobene Schwachstellen des Byron Reboot"},"content":{"rendered":"<ul>\n<li><strong>IOHK, das Entwicklungsunternehmen von Cardano, hat die Ergebnisse des Sicherheitsaudits f\u00fcr den Byron Reboot Code durch Root9b enth\u00fcllt und erkl\u00e4rt, wie die festgestellte Probleme behoben wurden. <\/strong><\/li>\n<li><strong>Insgesamt hat Root9b 13 Schwachstellen aufgedeckt, wobei IOHK entweder mildernde Klarstellungen ver\u00f6ffentlichte oder die Behebung bereits vorgenommen hat.<\/strong><\/li>\n<\/ul>\n<hr \/>\n<p>In einem mit Crypto News Flash geteilten Bericht hat Input Output Hongkong (IOHK), das Unternehmen, das sich f\u00fcr die Entwicklung von <a href=\"https:\/\/www.crypto-news-flash.com\/de\/was-ist-cardano-blockchain-der-3-generation\/\">Cardano<\/a> verantwortlich zeichnet, 13 Schwachstellen des <a href=\"https:\/\/www.crypto-news-flash.com\/de\/cardano-endgueltiger-release-des-byron-reboot-hinweise-auf-shelley\/\">Byron Reboot<\/a> Codes enth\u00fcllt. Diese wurden w\u00e4hrend der Phase 1 und 2 des Sicherheitsaudits f\u00fcr den Byron Reboot Code durch Root9b aufgedeckt und erfolgreich behoben.<\/p>\n<p>Um die Transparenz und Sicherheit der gesamten Branche zu erh\u00f6hen, hat sich IOHK au\u00dferdem dazu entschieden, seine Mitigationsstrategie zu ver\u00f6ffentlichen, um eine st\u00e4rkere Sektor\u00fcbergreifende Zusammenarbeit bei der Identifizierung und Minderung gemeinsamer Schwachstellen zu f\u00f6rdern. Charles Hoskinson, CEO von IOHK, betonte in Bezug auf die Ver\u00f6ffentlichung der Audit-Ergebnisse, dass es von &#8222;entscheidender Bedeutung&#8220; ist den Grunds\u00e4tzen der Blockchain-Industrie f\u00fcr ein offenes und dezentralisiertes System gerecht zu werden, weshalb die Ergebnisse ver\u00f6ffentlicht wurden (frei \u00fcbersetzt):<\/p>\n<blockquote><p>Unternehmen d\u00fcrfen der Geheimhaltung und der schnellen Markteinf\u00fchrung nicht den Vorrang vor der Sicherheit geben, denn von der Software, die wir produzieren, werden riesige Geldsummen und sogar Menschenleben abh\u00e4ngen.<\/p>\n<p>Die Industrie muss ihre Software-Entwicklung f\u00fcr die Pr\u00fcfung durch Dritte \u00f6ffnen und ihr Wissen \u00fcber Schwachstellen zum Nutzen der gesamten Branche und des Vertrauens der Benutzer weitergeben. In diesem Sinne haben wir uns daf\u00fcr entschieden, eine Pr\u00fcfung des Byron-Reboot von Cardano durch Dritte in Auftrag zu geben und die von uns gefundenen Schwachstellen und die von uns angewandten Korrekturen \u00f6ffentlich bekannt zu machen.<\/p><\/blockquote>\n<h2>Root9b findet 13 Schwachstellen im Code des Byron Reboots<\/h2>\n<p>In der Crypto News Flash vorliegenden Stellungnahme zum Sicherheitsaudit des Byron Reboot Codes durch Root9b nimmt IOHK zu jeder festgestellten Schwachstelle Stellung und beschreibt, wie der Fehler behoben wurde bzw. ver\u00f6ffentlichte eine mildernde Klarstellung. Root9b hat bereits alle \u00c4nderungen als gel\u00f6st anerkannt.<\/p>\n<ul>\n<li><strong>Unsichere Genesis-Schl\u00fcsselgenerierung:<\/strong>\u00a0 Root9b hat festgestellt, dass die Generierung des Genesis-Schl\u00fcssel eine Schwachstelle aufwies. IOHK hat klargestellt, dass der fragliche Code nur f\u00fcr Test- sowie Qualit\u00e4tssicherungszwecke und nicht f\u00fcr das Mainnet gedacht war, als auch eine \u00c4nderung des Codes f\u00fcr eine sichere Schl\u00fcsselgenerierung vorgenommen.<\/li>\n<li><strong>Code-Praxis im Zusammenhang mit dem ReadFile:<\/strong> Eine Schwachstelle im Zusammenhang mit dem ReadFile wurde von\u00a0Root9b erkannt und ebenfalls durch \u00c4nderungen behoben.<\/li>\n<li><strong>Code-Praxis und potenzielle Ressourcennutzung im Zusammenhang mit Async Read<\/strong><\/li>\n<li><strong>Potenzielle Ressourcennutzung\/Denial of Service (DoS)<\/strong><\/li>\n<li><strong>Potenzielle Protokollunvollst\u00e4ndigkeit &#8211; statischer Node-Satz:<\/strong> IOHK hat klargestellt, dass dieser Code nur zu Testzwecken diente.<\/li>\n<li><strong>Primitive Verwendung von Mock Crypto:<\/strong> IOHK hat best\u00e4tigt, dass die Scheinimplementierungen nicht f\u00fcr den Einsatz in der Produktion bestimmt sind und dass echte Implementierungen bevorstehen.<\/li>\n<li><strong>Schwachstellen im Zusammenhang mit der CSP in der Electron App Daedalus:<\/strong> Root9b hat vermeintlich schwache Sicherheitsma\u00dfnahmen im Zusammenhang mit der Content Security Policy (CSP) identifiziert. Laut IOHK ist dies eine g\u00fcltige Anforderung, bis Chrome WASM ohne sie funktionieren kann. Da es sich hierbei nicht um eine Schwachstelle handelt, akzeptiert R9B die Klarstellung.<\/li>\n<li><strong>Blake Hash-Funktion wurde nur einmal beim Anwenden eines Ausgabenkennworts ausgef\u00fchrt: <\/strong><br \/>\nIOHK best\u00e4tigt, dass die Verbindung vom Daedalus-Frontend zum Cardano Wallet-Backend f\u00fcr die Passwortsicherheit bei der \u00dcbertragung auf TLS angewiesen ist und plant, das Blake Hashing auslaufen zu lassen.<\/li>\n<li><strong>Adressen-Zufallssteuerung (Randomisierung): <\/strong>IOHK stellte klar, dass die Adressen-Randomisierung zur Vermeidung von Port-Konflikten dient, weshalb Root 9b die Klarstellung ebenfalls akzeptiert.<\/li>\n<li><strong>Potenzielle zuk\u00fcnftige Problem im Zusammenhang mit dem Zahlungs-URI (<span class=\"ILfuVd\"><span class=\"e24Kjd\">Uniform Resource Identifier): <\/span><\/span><\/strong>IOHK plant, diesen potenziellen Problembereich f\u00fcr Code, zu beachten.<\/li>\n<li><strong>Theoretische Denial-of-Service (DoS) Verwundbarkeit:<\/strong> Das von Root9b erkannte Problem wird mit der Umsetzung des privaten Slot Leaders von Ouroborous Praos (Shelley) vollst\u00e4ndig beseitigt.<\/li>\n<li><strong>Aktualisierungsprozess:<\/strong> Behebung durch ein Update im April 2020.<\/li>\n<li><strong>IOHK \u00dcberwachung der Belastung des Web-Frontends: <\/strong>IOHK hat die Oberfl\u00e4che entfernt und das Code-Fragment entfernt.<\/li>\n<\/ul>\n<p>Folge uns auf<a href=\"https:\/\/www.facebook.com\/CryptoNewsFlashDeutsch\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\"> Facebook<\/a> und <a href=\"https:\/\/twitter.com\/FlashDeutsch\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Twitter<\/a> und verpasse keine brandhei\u00dfen Neuigkeiten mehr! Gef\u00e4llt dir<a href=\"https:\/\/www.crypto-news-flash.com\/de\/kurse\/\"> unsere Kurs\u00fcbersicht<\/a>?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>IOHK, das Entwicklungsunternehmen von Cardano, hat die Ergebnisse des Sicherheitsaudits f\u00fcr den Byron Reboot Code durch Root9b enth\u00fcllt und erkl\u00e4rt, wie die festgestellte Probleme behoben wurden. Insgesamt hat Root9b 13 Schwachstellen aufgedeckt, wobei IOHK entweder mildernde Klarstellungen ver\u00f6ffentlichte oder die Behebung bereits vorgenommen hat. In einem mit Crypto News Flash geteilten Bericht hat Input Output<\/p>\n","protected":false},"author":3,"featured_media":6074,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[],"tags":[],"class_list":["post-52738","post","type-post","status-publish","format-standard","has-post-thumbnail"],"acf":[],"_links":{"self":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/posts\/52738","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/comments?post=52738"}],"version-history":[{"count":0,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/posts\/52738\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/media\/6074"}],"wp:attachment":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/media?parent=52738"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/categories?post=52738"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/tags?post=52738"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}