Bitcoinコアチームの新しいアドバイザリー
Bitcoinコアチームは、Bitcoinネットワークに対する4つの新しい低Severityレベルのアドバイザリーを公開しました。BitcoinソフトウェアのメンテナーであるMichael Fordによると、最初は5つのアドバイザリーがありましたが、そのうちの1つが低Severityから中Severityに引き上げられたため、最終的に4つの開示となりました。
アドバイザリーの詳細
最初の開示には「CVE-2025-46598 – 確認されていないトランザクション処理によるCPU DoS」が含まれており、これは低Severityと見なされ、2025年10月10日にBitcoin Core v30.0で修正がリリースされました。この開示は、確認されていないトランザクションを処理する際のリソース枯渇の問題に関するものです。
攻撃者が特別に作成された確認されていないトランザクションを送信し、被害者ノードがそれを検証するのに数秒かかる可能性があります。非標準のトランザクションは拒否されますが、切断には至らず、このプロセスは繰り返すことができます。これを利用してブロックの伝播を遅延させることが可能です。
2つ目の開示は「CVE-2025-46597 – 32ビットシステムでの非常に起こりにくいリモートクラッシュ」で、これも低Severityと見なされ、2025年10月10日にBitcoin Core v30.0で修正がリリースされました。この開示は、32ビットシステムにおけるバグの詳細を明らかにしており、稀なケースで病的なブロックを受信した際にノードがクラッシュする可能性があります。
このバグは、開発者によれば、非常に悪用が難しいとされています。
3つ目の開示は「CVE-2025-54604 – 偽の自己接続によるディスクの充填」で、これも低Severityと見なされ、2025年10月10日にBitcoin Core v30.0で修正がリリースされました。この開示には、攻撃者が自己接続を偽装することで被害者ノードのディスクスペースを埋めることを可能にするログ充填バグの詳細が含まれています。
このバグの悪用可能性は限られており、被害者がディスクスペースを使い果たすまでには長い時間がかかります。
4つ目の開示は「CVE-2025-54605 – 無効なブロックによるディスクの充填」で、これも低Severityと見なされ、2025年10月10日にBitcoin Core v30.0で修正がリリースされました。これは、攻撃者が無効なブロックを繰り返し送信することで被害者ノードのディスクスペースを埋めることを可能にするログ充填バグを引き起こしました。
このバグの悪用可能性も限られています。
Bitcoin Coreの新しいリリース
Bitcoin Coreチームは、v.27ブランチが寿命を迎えたため、Bitcoin Coreのバージョンv29.2およびv28.3のリリースを発表しました。
