Ethereum-Client Geth: Dringendes Update wegen schwerer Lücke
Eine schwerwiegende Lücke im verbreiteten Ethereum-Client Geth könnte damit betriebene Blockchain-Knoten lahmlegen. Eine gepatchte Version steht aber bereit.
(Bild: Filippo Ronca Cavalcanti/Shutterstock.com)
Die Entwickler des Ethereumclients Geth fordern alle Nutzerinnen und Nutzer auf, wegen einer Sicherheitslücke umgehend ein Update auf die gepatchte Version v1.10.8 mit dem Namen "Hades Gamma" einzuspielen. Es handele sich um eine schwerwiegende Lücke in der Ethereum Virtual Machine von Geth (CVE-2021-39137). Bei Ausnutzung könne sie dazu führen, dass ein mit Geth betriebener Knoten nicht mehr die Ethereum-Blockchain verarbeiten könne.
Weitere Details über die Lücke wolle man erst zu einem späteren Zeitpunkt offenlegen, heißt es in der Mitteilung vom Dienstag. Das solle Knotenbetreibern und von der Software abhängigen Projekten genug Zeit für ein Update verschaffen. Verwundbar seien alle Geth-Versionen, die den Anfang August umgesetzten Hard Fork namens "London" unterstützen, der unter anderem die Transaktionsgebühren bei Ethereum veränderte. Der Bug sei aber deutlich älter, letztlich sollten alle Geth-Nutzer unbedingt updaten. Entdeckt hat die Lücke der Sicherheitsforscher Guido Vranken.
Chainsplit beim letzten Hotfix
Geth, beziehungweise Go-Ethereum, ist die in der Sprache Go geschriebene Implementierung eines Clients für das Ethereum-Netzwerk. Als Kommandozeilentool richtet sich die Anwendung vor allem an fortgeschrittene Nutzer sowie Entwickler – und erfreut sich unter diesen großer Beliebtheit. Dem Analysedienst Ethernodes.org zufolge werden rund 75 Prozent aller Knoten im Ethereumnetzwerk über Geth betrieben. Entsprechend wichtig für die Integrität der Ethereum-Blockchain ist es, dass Geth-Nutzer auf einheitlichem Softwarestand sind.
Im November 2020 lief eine solche Update-Aktion für Geth schief: Die Geth-Entwickler hatten eine neue Version mit einem Patch für einen Bug vorgelegt, ohne darauf hinzuweisen oder zu warnen. Da nicht alle Knotenbetreiber auf die neue Version wechselten, kam es kurzzeitig zu einer Aufspaltung der Ethereum-Blockchain, die alte Geth-Versionen vom Rest abtrennte. Unter anderem war davon der Infrastruktur-Dienstleister Infura betroffen, der Ethereum-Nodes als Service für zahlreiche andere Projekte etwa aus dem Ökosystem der Decentralised Finance (DeFi) betreibt.
"Bei unserem letzten Hotfix waren die Leute verärgert, dass wir es nicht angekündigt haben. Dieses Mal machen wir es anders", erklärte Ethereum-Entwickler Péter Szilágyi via Twitter. "Schauen wir mal, was besser funktioniert".
(axk)
