Ravencoin更新了以下代码安全审核报告

原版地址:https://raven.foundation/code-security-audit/

ISE内容提要2021年1月8日

乌鸦币

www.ise.io | contact@ise.io

总览

Ravencoin聘请了独立安全评估人员(ISE)来评估Ravencoin项目的安全态势,Ravencoin项目是一种开源对等区块链,用于实现用户之间的交易,并特别关注资产创建和转移功能。 ISE进行了评估,以发现系统内的漏洞,这些漏洞可能导致Ravencoin资产层,用户资产的完整性或服务可用性受到损害。

ISE考虑了高级攻击者可能利用的特定于Ravencoin的攻击面,权限和应用程序逻辑,并针对这种利用情况进行了手动测试。 ISE使用自动化工具来了解系统并确定常见问题,但是评估的重点是发现扫描仪会遗漏的漏洞。 ISE会检查所有报告的发现结果的准确性,并根据漏洞利用程序的复杂性,影响和攻击链来分配严重性。

ISE评估了以下组件:

资产创建功能
资产转移功能
资产相关RPC
源代码审查
KAWPOW的评论
审查可分发的二进制文件

尽管此评估的重点是资产创建和转移功能,KAWPOW的实现以及消息传递,但是ISE并未发现任何安全缺陷,这些缺陷会导致系统内意外资产创建,资产转移或拒绝服务

范围

截至本报告,ISE已评估了以下组件:

Ravend,Raven-qt,版本4.3.2.1
Ravencoin特定的RPC
方法

ISE专门从事动手评估,这些评估考虑了资产,攻击面,权限以及特定于目标系统的逻辑。目的是发现各种攻击者可能利用的安全性问题,并使用对平台的访问来手动测试这种利用,例如测试帐户,服务器访问,源代码,文档等。通常,ISE鼓励尽可能多地共享尽可能相关的访问,因为对系统的更深入了解有助于更有效的测试和更有价值的结果。

ISE通过访问以下资源进行了Ravencoin的评估:

源代码位于https://github.com/RavenProject/Ravencoin/tree/v4.3.2
文档和构建说明

总览

ISE使用自动化工具来了解系统并确定常见问题,但是评估的重点是发现扫描仪通常会遗漏的漏洞。 ISE会检查所有报告的发现结果的准确性,并根据漏洞利用程序的复杂性,影响和攻击链来分配严重性。

以下是测试的核心领域的列表,包括但不限于:

Ravencoin /比特币代码增量:

ISE对自比特币0.15.x代码分支以来集成的代码更改进行了审查,以检查可能影响Ravencoin提供的可用性,稳定性或安全性保证的安全缺陷。此次审核旨在使ISE熟悉Ravencoin的实施细节,以及确定可能被视为安全缺陷的功能。此次审查包括基于差异的分析方法(以消除比特币核心代码,该代码超出了此约定的范围),以及静态代码审查和动态运行时测试。这些测试的结果确定为“ ISE-RAVEN-2020-02”。在使用的框架或库上进行了其他测试。这些测试的结果导致识别出“ ISERAVEN-2020-01”和“ ISE-RAVEN-2020-03”。

Ravencoin资产层:

ISE对Ravencoin资产的创建,重新发行,消息传递和转移工作流程进行了审查。大部分ISE资源专用于此领域。通过执行源代码审阅,功能的动态分析/模糊化以及相关脚本代码的评估来完成资产层的审阅。还审查了与资产相关的RPC和代码路径,以确保不会违反隐含的安全保证。也就是说,资产工作流不应导致未经授权产生Ravencoin本身,也不应以意想不到的方式修改资产数量。该区域的分析结果为阴性。 ISE找不到可以以意外方式绕过或利用资产的创建,重新发行和转移的任何功能。资产或消息传递也不能通过利用与应用程序层资产相关的代码来创建拒绝服务方案的应用程序层。

Ravencoin共识:

ISE对Ravencoin修改后的ProgPoW的实施进行了审查,该修改为防止集中化而创建,被称为KAWPOW。这需要对Ravencoin的特定更改和调整参数进行代码审查。 ISE注意到KAWPOW中没有实现缺陷。

Ravencoin 二进制文件:

ISE审查了Ravencoin的安装工作流程和二进制文件,以确定可能降低发行渠道安全性或缺少针对运行时漏洞的缓解保护的项目。 这些测试的结果为“ ISE-RAVEN-2020-04”和“ ISE-RAVEN-2020-05”。

调查结果摘要

时间线

下表显示了ISE评估的历史记录。

修订版 时间 描述
1 Nov – Dec 2020 Ravencoin的初步评估。

该报告的到期日为2021年12月31日。到期日有助于进行持续的沟通和评估工作,以解决技术,产品及其支持环境的变化。

调查结果摘要

下表包含ISE在Ravencoin平台中发现的漏洞和战略弱点。 为每个问题分配的严重性是从该问题对Ravencoin资产及其可利用性的影响得出的。

漏洞可以通过某种方式直接利用漏洞,并且ISE的分析考虑了执行特定漏洞利用的复杂性以及攻击成功后的影响。

拉文币核心组件

Vulnerability Identifier Severity Status
使用过期的比特币叉 ISE-RAVEN-2020-01 Low 未解决
有条件的逻辑错误 ISE-RAVEN-2020-02 Info 未解决

战略劣势

战略上的弱点可能无法直接利用,而与设计或配置有关的问题则可能会在维护产品代码库的同时随着时间的流逝而导致安全问题。

拉文币核心组件

弱点 识别码 严重程度 状态
使用过时的Qt框架 ISE-RAVEN-2020-03 LOW 未解决
Windows签名安装程序使用不受信任的证书 ISE-RAVEN-2020-04 LOW 未解决
缺少签名的二进制文件 ISE-RAVEN-2020-05 Info 未解决

 

About ISE January 8, 2021

ISE是一家独立的安全公司,总部位于马里兰州巴尔的摩。我们致力于为客户提供经过验证的科学防御策略。在每次评估中,我们的分析人员和开发人员团队都使用以对手为中心的方法来保护数字资产,强化现有技术,保护基础结构,并与开发团队合作改善客户的整体安全性。
通过潜在攻击者的眼神评估客户端可以使我们了解可能的威胁以及如何防范这些攻击。我们的安全分析师在信息技术和产品开发方面经验丰富,使他们能够了解客户在各个级别面临的安全问题。此外,我们进行独立的安全研究,使我们能够站在信息安全瞬息万变的世界的最前沿。
无法阻止对信息系统的攻击,但是,由经验丰富的团队提供强大的安全服务,通常可以减轻甚至防止这些攻击的影响。我们感谢作为值得信赖的安全顾问对我们的信心。请随时与我们联系,以获取有关您的安全需求的其他帮助。
独立安全评估师
4901 Springarden Drive
200套房
巴尔的摩,MD 21209(443)270-2296

 

 

发布人:RvnFans;如若转载,请注明出处:https://www.nahan.org/5544.html

免责声明:本文不构成投资建议,请谨慎对待。

发表评论

登录后才能评论
公会群

矿工公会群:672485346

新人交流群:719226412

硬件信息群:885853725

分享本页
返回顶部