Vielen Dank Real-Duke für die Information zur neuen Firmware.
Die Pre-Release hatte ich mir diesmal nicht gegönnt aber die Final werde ich mal gleich verteilen.
So ein CSRF Angriff kann doch nur ausgenutzt werden wenn der Bösewicht schon im eigenen Netz ist, oder?
Das war jetzt auch meine
Annahme, dass der Angriff nur geht wenn jemand im Netz ist oder du den Zugang von außen auf machst, also dein Miner aus dem internet erreichbar wäre. Daher hab ich jetzt erst mal nichts upgedatet und lasse es mal so wie es ist, läuft ja sehr gut mit meiner aktuellen version v2.1.10.
Viele Grüße
Willi
Dem ist leider nicht so. Die CSRF-Lücke kann einfach ausgenutzt ausgenutzt werden, wenn du eine manipulierte Webseite mit bösartigem JavaScript im Browser öffnest. Damit kann des Bösewicht ohne Interaktion die Pool- und Workereinstellungen ändern.
Detaillierte Ausführungen hier:
https://www.shaunography.com/axeos-csrf-vulnerability.htmlX-Post von skot dazu:
https://x.com/skot9000/status/1879637803405132110?mx=2Fazit: nur ein Update auf 2.5.0 oder höher schützt vor dieser Art von Attacke. Oder man betreibt die Bitaxe-Miner in einem separaten Netzwerk, dass vom Browser aus nicht erreichbar ist.
Abhilfe:
- Ultra und alle anderen Bitaxes sowie Lucky Miner LV06 auf mindestens v2.5.0 updaten
- Lucky Miner LV07 auf mindestens v2.5.0_LV07-v1.0 updaten
Hier noch die Werbung für den LV07-Thread mit den Links zu den beiden Repositories: