@@ -19,71 +19,82 @@ version: 1
1919[ SECURITY.md] ( https://github.com/bitcoin/bitcoin/blob/master/SECURITY.md ) をご覧ください)。
2020脆弱性が報告されると、重大度のカテゴリが割り当てられます。私たちは脆弱性を4つのクラスで区別します。
2121
22- ### クリティカル {#critical}
23-
24- Bitcoinネットワーク全体の根本的なセキュリティと整合性を脅かすバグ。
25- プロトコルレベルでのコインの盗難や、指定された発行スケジュールから外れたコインの発行、
26- あるいはネットワーク全体にわたる永続的なチェーン分割を可能にするバグです。
27-
28- 例:
29- * ブロック内で同じトランザクションアウトプットを2回使用することで
30- 通貨供給量を増やすことができるバグ([ CVE-2018 -17144] ( /ja/2018/09/20/notice/ ) )。
31- * 旧ソフトウェアを実行しているノードが、基礎となるデータベースの制限により、
32- 新しいソフトウェアが受け入れたブロックを拒否し、ネットワーク全体のチェーン分割を引き起こすコンセンサス障害
33- ([ BIP 50] ( https://github.com/bitcoin/bips/blob/master/bip-0050.mediawiki ) )。
34-
35- ### 高 {#high}
36-
37- 影響を受けるノードやネットワークに重大な影響を与えるバグ。デフォルトの設定で
38- リモートから悪用可能で、広範囲にわたる混乱を引き起こす可能性ががあります。
39-
40- 例:
41- * リモートからのトリガーで、多数のノードをオフラインにする可能性のあるクラッシュ(
42- [ CVE-2024 -35202] ( /ja/2024/10/08/disclose-blocktxn-crash/ ) )。
43- * ノードを長時間停止させ、新しいトランザクションやブロックを処理できないようにする
44- サービス拒否攻撃([ CVE-2024 -52914] ( /ja/2024/07/03/disclose-orphan-dos/ ) )。
45- * 過剰な量のブロックヘッダーを保存させることで、リモートからトリガーされる、
46- ノードをクラッシュさせる可能性のあるメモリ枯渇の脆弱性([ CVE-2019 -25220] ( /ja/2024/09/18/disclose-headers-oom/ ) )。
47-
48- ### 中 {#medium}
49-
50- ネットワークやノードのパフォーマンスや機能を著しく低下させる可能性があるものの、
51- その範囲や悪用可能性は限定的であるバグ。これらのバグは、非デフォルト設定など、
52- 特別な条件がトリガーとなる場合や、ノードの完全な障害ではなくサービス低下を引き起こす場合があります。
53-
54- 例:
55- * UPnPなどの非デフォルト機能が有効になっている場合にのみ悪用される、
56- ローカルネットワーク上の潜在的なリモートコード実行(RCE)の脆弱性([ CVE-2015 -20111] ( /ja/2024/07/03/disclose_upnp_rce/ ) )。
57- * ピアが変異ブロックを送信することでブロックの伝播を妨害し、
58- ノードが新しいブロックを受信するのを遅延させる可能性があります([ CVE-2024 -52921] ( /ja/2024/10/08/disclose-mutated-blocks-hindering-propagation/ ) )。
59- * 攻撃者がノードにブロックをアナウンスした後、それを提供せず、
60- 被害ノードが他のピアからそのブロックを取得できるようになるまで最大10分待機させます(
61- [ CVE-2024 -52922] ( /ja/2024/11/05/cb-stall-hindering-propagation/ ) )。
62-
63- ### 低 {#low}
64-
65- 悪用するのが難しいバグ、またはノードの動作に与える影響が軽微なバグ。
66- これらは、非デフォルト設定またはローカルネットワークからのみトリガーされる可能性があるもので、
67- 即時に脅威があるものではなく、また広範囲にわたって脅威があるものでもありません。
68-
69- 例:
70- * 細工された` getdata ` メッセージにより、ピア接続が無限ループに陥り、CPUが消費される可能性がありますが、
71- ノードがブロックを処理したり、他のピア接続を処理したりする能力には影響しません(
72- [ CVE-2024 -52920] ( /ja/2024/07/03/disclose-getdata-cpu/ ) )。
73- * 依存関係のバグによりノードがクラッシュする可能性がありますが、
74- これはUPnPなどの非デフォルト機能が有効になっている場合のみです(
75- [ CVE-2024 -52917] ( /ja/2024/07/31/disclose-upnp-oom/ ) )。
76- * ノードをクラッシュさせる可能性があるものの、悪用するのが非常に難しいバグ(
77- [ CVE-2024 -52919] ( /ja/2025/04/28/disclose-cve-2024-52919/ ) )。
78-
79- ---
80-
81- 重要度が** 低** のバグは、現在のメジャーリリースブランチに修正版が登場してから2週間後に公開されます。リリースと同時に事前の発表も行われます。
82-
83- 重要度が** 中** と** 高** のバグは、[ 影響を受ける最後のリリースがEOLになって] ( /ja/lifecycle/ ) から2週間後に公開されます。
84- これは修正バージョンが最初にリリースされてから1年後です。事前の発表は公開の2週間前に行われます。
85-
86- 重要度が** クリティカル** のバグは、アドホックな手順が必要になる可能性があるため、標準ポリシーでは考慮されません。
22+ * ** クリティカル** : Bitcoinネットワーク全体の根本的なセキュリティと整合性を脅かすバグ。
23+ プロトコルレベルでのコインの盗難や、指定された発行スケジュールから外れたコインの発行、
24+ あるいはネットワーク全体にわたる永続的なチェーン分割を可能にするバグです。
25+ <details markdown =" 1 " >
26+
27+ <summary >
28+ 例
29+ </summary >
30+
31+ * ブロック内で同じトランザクションアウトプットを2回使用することで
32+ 通貨供給量を増やすことができるバグ([ CVE-2018 -17144] ( /ja/2018/09/20/notice/ ) )。
33+ * 旧ソフトウェアを実行しているノードが、基礎となるデータベースの制限により、
34+ 新しいソフトウェアが受け入れたブロックを拒否し、ネットワーク全体のチェーン分割を引き起こすコンセンサス障害
35+ ([ BIP 50] ( https://github.com/bitcoin/bips/blob/master/bip-0050.mediawiki ) )。
36+
37+ </details >
38+ * * 高* :影響を受けるノードやネットワークに重大な影響を与えるバグ。デフォルトの設定で
39+ リモートから悪用可能で、広範囲にわたる混乱を引き起こす可能性ががあります。
40+ <details markdown =" 1 " >
41+
42+ <summary >
43+ 例
44+ </summary >
45+
46+ * リモートからのトリガーで、多数のノードをオフラインにする可能性のあるクラッシュ(
47+ [ CVE-2024 -35202] ( /ja/2024/10/08/disclose-blocktxn-crash/ ) )。
48+ * ノードを長時間停止させ、新しいトランザクションやブロックを処理できないようにする
49+ サービス拒否攻撃([ CVE-2024 -52914] ( /ja/2024/07/03/disclose-orphan-dos/ ) )。
50+ * 過剰な量のブロックヘッダーを保存させることで、リモートからトリガーされる、
51+ ノードをクラッシュさせる可能性のあるメモリ枯渇の脆弱性([ CVE-2019 -25220] ( /ja/2024/09/18/disclose-headers-oom/ ) )。
52+
53+ </details >
54+ * * 中* : ネットワークやノードのパフォーマンスや機能を著しく低下させる可能性があるものの、
55+ その範囲や悪用可能性は限定的であるバグ。これらのバグは、非デフォルト設定など、
56+ 特別な条件がトリガーとなる場合や、ノードの完全な障害ではなくサービス低下を引き起こす場合があります。
57+ <details markdown =" 1 " >
58+
59+ <summary >
60+ 例
61+ </summary >
62+
63+ * UPnPなどの非デフォルト機能が有効になっている場合にのみ悪用される、
64+ ローカルネットワーク上の潜在的なリモートコード実行(RCE)の脆弱性([ CVE-2015 -20111] ( /ja/2024/07/03/disclose_upnp_rce/ ) )。
65+ * ピアが変異ブロックを送信することでブロックの伝播を妨害し、
66+ ノードが新しいブロックを受信するのを遅延させる可能性があります([ CVE-2024 -52921] ( /ja/2024/10/08/disclose-mutated-blocks-hindering-propagation/ ) )。
67+ * 攻撃者がノードにブロックをアナウンスした後、それを提供せず、
68+ 被害ノードが他のピアからそのブロックを取得できるようになるまで最大10分待機させます(
69+ [ CVE-2024 -52922] ( /ja/2024/11/05/cb-stall-hindering-propagation/ ) )。
70+
71+ </details >
72+ * * 低* : 悪用するのが難しいバグ、またはノードの動作に与える影響が軽微なバグ。
73+ これらは、非デフォルト設定またはローカルネットワークからのみトリガーされる可能性があるもので、
74+ 即時に脅威があるものではなく、また広範囲にわたって脅威があるものでもありません。
75+ <details markdown =" 1 " >
76+
77+ <summary >
78+ 例
79+ </summary >
80+
81+ * 細工された` getdata ` メッセージにより、ピア接続が無限ループに陥り、CPUが消費される可能性がありますが、
82+ ノードがブロックを処理したり、他のピア接続を処理したりする能力には影響しません(
83+ [ CVE-2024 -52920] ( /ja/2024/07/03/disclose-getdata-cpu/ ) )。
84+ * 依存関係のバグによりノードがクラッシュする可能性がありますが、
85+ これはUPnPなどの非デフォルト機能が有効になっている場合のみです(
86+ [ CVE-2024 -52917] ( /ja/2024/07/31/disclose-upnp-oom/ ) )。
87+ * ノードをクラッシュさせる可能性があるものの、悪用するのが非常に難しいバグ(
88+ [ CVE-2024 -52919] ( /ja/2025/04/28/disclose-cve-2024-52919/ ) )。
89+
90+ </details >
91+
92+ 重大度が** 低** の脆弱性は、現在のメジャーリリースブランチに修正版がリリースされてから2週間後に公開されます。
93+ 重大度が** 中** と** 高** の脆弱性は、[ 影響を受ける最後のリリースのサポート終了] ( /ja/lifecycle/ ) (修正を含むメジャーバージョン最初のリリースから約1年後)から2週間後に公開されます。
94+
95+ 脆弱性の詳細を公開する2週間前に事前アナウンスが行われます。この事前アナウンスは、新しいメジャーバージョンのリリースと同時に行われ、修正された脆弱性の数と重大度レベルが記載されます。
96+
97+ 重大度が** クリティカル** のバグは、アドホックな手順が必要になる可能性があるため、標準ポリシーでは考慮されません。
8798 また、バグは脆弱性とはみなされない場合もあります。報告された問題が深刻であるとみなされても、
8899 それが必ずしも情報公開の禁止措置が必要であるとは限りません。
89100
0 commit comments