先週に引き続き脆弱性公表ネタとなってしまいますが、今週はLnd 0.17.0で修正されたバグについてです。今回の内容はいつ公表すべきであったか賛否両論を呼ぶものかもしれません。
その名も「Onion Bomb」と呼ばれているこの脆弱性は第三者が任意のLndノードに対してOut Of Memory (OOM)によるクラッシュを誘発することができるというものでした。約1年前に報告されたこの脆弱性は先日やっと公表されました。
修正版であるv0.17.0は昨年10月にリリースされ、その後Bitcoin Core 27.0に対応したパッチであるv0.17.5までマイナーリリースが続いています。また、先月末にv0.18.0がリリースされ、今回の公表に至ったとのことで、読者の皆様もLndを動かしている場合はv0.18.0またはv0.17.5へのアップデートをおすすめします。
・脆弱性の内容はシンプルに攻撃可能
・ノードがダウンすることによるLN特有のリスク
・今回の公表タイミングは妥当か?