L’équipe principale de Bitcoin a divulgué 4 nouveaux avis de faible niveau de gravité pour le réseau Bitcoin.
Selon Michael Ford, responsable de la maintenance du logiciel Bitcoin, les avis, initialement cinq, ont vu l’un d’entre eux passer de faible à moyenne gravité, le limitant à seulement quatre divulgations.
Les divulgations incluent « CVE-2025-46598 – CPU DoS from nonconfirmed transaction Processing », un problème considéré comme de faible gravité avec un correctif publié le 10 octobre 2025 dans Bitcoin Core v30.0.
La divulgation est celle d’un problème d’épuisement des ressources lors du traitement d’une transaction non confirmée. Ici, un attaquant pourrait envoyer des transactions non confirmées spécialement conçues qui prendraient quelques secondes chacune à un nœud victime pour être validées. Les transactions non standard seraient rejetées, sans toutefois entraîner de déconnexion, et le processus pourrait être répété. Cela pourrait être exploité pour retarder la propagation des blocs.
La deuxième divulgation est « CVE-2025-46597 – Crash à distance hautement improbable sur les systèmes 32 bits », un problème considéré comme de faible gravité avec un correctif publié le 10 octobre 2025 dans Bitcoin Core v30.0.
La divulgation révèle les détails d’un bug sur les systèmes 32 bits, qui peut, dans de rares cas extrêmes, provoquer le crash du nœud lors de la réception d’un bloc pathologique. Ce bug, selon les développeurs, serait extrêmement difficile à exploiter.
Autres divulgations, nouvelles versions de Bitcoin Core publiées
La troisième divulgation est « CVE-2025-54604 – Remplissage de disque à partir de connexions automatiques usurpées », un problème considéré comme de faible gravité avec un correctif publié le 10 octobre 2025 dans Bitcoin Core v30.0.
La divulgation comprend des détails sur un bug de remplissage de journaux qui permettait à un attaquant de remplir l’espace disque d’un nœud victime en simulant des auto-connexions. L’exploitabilité de ce bug est limitée et il faudrait beaucoup de temps avant que la victime ne manque d’espace disque.
La quatrième divulgation est « CVE-2025-54605 – Remplissage de disque à partir de blocs invalides », un problème considéré comme de faible gravité, avec un correctif publié le 10 octobre 2025 dans Bitcoin Core v30.0.
Cela a vu un bug de remplissage de journaux qui permettait à un attaquant de faire en sorte qu’un nœud victime remplisse son espace disque en envoyant à plusieurs reprises des blocs invalides. L’exploitabilité de ce bug est limitée.
L’équipe Bitcoin Core a annoncé la sortie des versions Bitcoin Core v29.2 et v28.3, la branche v.27 ayant désormais atteint sa fin de vie.
