对话EOS漏洞披露亲历者——360伏尔甘负责人郑文彬：关于BM、史诗级、做空、营销

关于“史诗级”的这个提法本身，其实上这也不是我们的发明。这个词翻译自国外安全社区常用的"Epic"一词，国外在形容重大的安全事件、安全漏洞时，经常会使用例如"Epic fail"， "Epic bug" 这样的说法，我们只是借用这个说法。

当然，很多人觉得，“价值百亿美元”的漏洞，可能更贴切，这就见仁见智了，不过“史诗级”，无论从惯例来说，还是从其实际的影响、危害程度来说，都不为过。

Bianews：有文章说到这个漏洞不是区块链独有的漏洞？

郑文彬：这个漏洞不是EOS或者区块链所独有的漏洞，也不是EOS架构上的漏洞， 这种说法没错。但是评判一个漏洞危害与否、影响程度大不大，其实并不是评判它是不是独有的，或者是不是架构级的。

架构级听上去很高大上，但是实际上评判漏洞的影响大不大，就一个原则，那就是这个漏洞他能做什么，有什么危害，这就是我们所说的”Vulnerability Impact" ，这个漏洞影响多大，那么其危害性、级别就应该定多高，这和是不是独有漏洞、是不是构架级漏洞没关系。不是架构级漏洞，只能说不会通过这个漏洞来否定整个EOS网络架构模式，和漏洞有多严重没关系。

Bianews： BM表示大部分漏洞是来源于第三方代码库而非EOS核心代码，您怎么看？且该漏洞并不能改写可执行内存，且不能获得root权限，除非部署节点时就已经是以root用户身份来运行。这个怎么看？

郑文彬：这是对BM在EOS开发者群里的恶意截图和断章取义。

首先，代码来自哪里并不重要，其实很多重大的安全问题，都是因为使用第三方代码库导致的，像安全业界熟知的“心脏出血”等漏洞，都是因第三方代码库导致的。哪里的代码出的问题根本无所谓，重要的是这个代码跑在你的系统里。有本事自己写没问题的代码，出了问题不能甩锅第三方代码。

更何况，EOS漏洞恰恰是EOS在使用第三方代码库的时候出的问题。

第三方代码库，虽然是第三方写的，被EOS复制粘贴了进来，但其实也是在EOS核心组件中，才会有这么严重的问题。

关于可执行内存和root权限，则是他们对于漏洞的误解。

第一，这个漏洞可以获得远程的代码执行权限，这就是最高权限和漏洞做到的最高级别了，不需要什么改写可执行内存；

第二，是否能获取root权限，取决与节点使用什么权限来运行EOSOS，当然，如果节点安全配置合理，那么可能是用户权限而不是ROOT权限，但这丝毫不影响这个漏洞的危害性，也即是说，即使获取不到ROOT权限，这个漏洞一样可以完全控制EOS网络的节点，对EOS网络做任何想做的事，这是因为通过漏洞，攻击者可以获取代码执行权限，就相当于可以和EOS代码一样，对EOS网络、交易、应用、区块做任何想做的事。

Bianews：是不是可以简单理解为传统互联网漏洞执行需要root权限，区块链因为很多节点构成且同步，所以只要有节点权限就行了？

郑文彬：传统互联网也不一定需要root权限。我们在演示测试的机器上用了root权限运行，BM一开始看到了这点想借此反驳，但是其实找错了重点。

将遵循安全社区准则和操守

Bianews：有人称，360在公告中夸大了漏洞的危险，有做空EOS 的嫌疑，您怎么看？昨天360团队称会有职业操守，具体实践中该如何保证？

郑文彬：关于做空，我前面已经提及。绝不可能是做空，要做空不留到上线再做空？我觉得这么想的无疑是蠢。

我们遵循负责任的漏洞报告流程，报告，修复，通报，这就是职业操守。就像很多人说的，完全可以等到上线了报，这无论是做空还是营销，都极为合适，而且合法。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!