Merge #1046: Add japanese translations for security advisories

fanquake · fanquake · commit 8b7485d60313 · 2024-07-12T13:41:09.000+01:00
71fce22 Apply #1047 changes (azuchi) 92bcb38 Add japanese translations for security advisories (azuchi) Pull request description: Top commit has no ACKs. Tree-SHA512: d5d227be132ffd05192385aed08ce2eeb421453d7c49fb1ed85128595389099c949475296e6f14b7151ac2ceb9888248acc315d9b590fe0e45325cad233595f6
diff --git a/_data/navigation.yml b/_data/navigation.yml
@@ -167,8 +167,8 @@ ja:
         title: "ライフサイクル"
         url:   "/ja/lifecycle"
       security-advisories:
-        title: "Security Advisories"
-        url:   "/en/security-advisories/"
+        title: "セキュリティアドバイザリ"
+        url:   "/ja/security-advisories/"
   contact:
     title: "コンタクト"
     submenu: true
diff --git a/_layouts/home.html b/_layouts/home.html
@@ -37,10 +37,12 @@ <h3><a href="{{ navigation.blog.url }}">Recent Posts</a></h3>
       {% assign english_posts=site.posts | where:"lang", 'en' | where:"type", 'posts' %}
       {% assign translated_posts=site.posts | where:"lang", page.lang | where:"type", 'posts' %}
       {% assign advisories=site.posts | where:"lang", 'en' | where:"type", 'advisory' %}
+      {% assign translated_advisories=site.posts | where:"lang", page.lang | where:"type", 'advisory' %}
       {% assign all=advisories | concat: english_posts | sort: "date" | reverse %}
+      {% assign translated_all=translated_advisories | concat: translated_posts | sort: "date" | reverse %}
       {% for default_post in all limit:5 %}
       {% assign post=default_post %}
-      {% for tpost in translated_posts %}
+      {% for tpost in translated_all %}
         {% if tpost.name == post.name %}{% assign found=true %}{% assign post=tpost %}{% break %}{% endif %}
       {% endfor %}
     <article>
diff --git a/_layouts/post-index.html b/_layouts/post-index.html
@@ -37,9 +37,11 @@ <h1>{{ page.title | xml_escape }}</h1>
     {% assign advisories=site.posts | where:"lang", 'en' | where:"type", 'advisory' %}
     {% assign all=advisories | concat: english_posts | sort: "date" | reverse %}
     {% assign translated_posts=site.posts | where:"lang", page.lang | where:"type", 'posts' %}
+    {% assign translated_advisories=site.posts | where:"lang", page.lang | where:"type", 'advisory' %}
+    {% assign translated_all=translated_advisories | concat: translated_posts | sort: "date" | reverse %}
     {% for default_post in all %}
       {% assign post=default_post %}
-      {% for tpost in translated_posts %}
+      {% for tpost in translated_all %}
         {% if tpost.name == post.name %}{% assign found=true %}{% assign post=tpost %}{% break %}{% endif %}
       {% endfor %}
       {% capture year %}{{ post.date | date: '%Y' }}{% endcapture %}
diff --git a/_posts/ja/pages/2024-06-26-security-advisories.md b/_posts/ja/pages/2024-06-26-security-advisories.md
@@ -0,0 +1,46 @@
+---
+title: セキュリティアドバイザリ
+name: Security Advisories
+id: ja-security-advisories
+permalink: /ja/security-advisories/
+layout: page
+type: pages
+lang: ja
+version: 1
+---
+{% include toc.html %}
+
+このページでは、Bitcoin Coreの脆弱性の開示に関するポリシーと、
+過去のセキュリティアドバイザリの概要を掲載しています。
+
+## ポリシー {#policy}
+
+脆弱性が報告されると、重大度のカテゴリが割り当てられます。私たちは脆弱性を4つのクラスで区別します。
+
+* **低**: 悪用が難しい、または影響が少ないバグ。たとえば、被害者のマシンへのアクセスを必要とするウォレットのバグなどです。
+
+* **中**: 影響が限定的なバグ。たとえば、ローカルネットワークのリモートクラッシュなどです。
+
+* **高**: 重大な影響を与えるバグ。たとえば、リモートクラッシュやローカルネットワークのリモートコード実行などです。
+
+* **クリティカル**: ネットワーク全体の完全性を脅かすバグ。たとえば、インフレーションやコイン盗難のバグなどです。
+
+重要度が**低**のバグは、修正バージョンがリリースされてから2週間後に公開されます。リリースと同時に事前の発表も行われます。
+
+重要度が**中**と**高**のバグは、[影響を受ける最後のリリースがEOLになって](/ja/lifecycle/)から2週間後に公開されます。
+  これは修正バージョンが最初にリリースされてから1年後です。事前の発表は公開の2週間前に行われます。
+
+重要度が**クリティカル**のバグは、アドホックな手順が必要になる可能性があるため、標準ポリシーでは考慮されません。
+  また、バグは脆弱性とはみなされない場合もあります。報告された問題が深刻であるとみなされても、
+  それが必ずしも情報公開の禁止措置が必要であるとは限りません。
+
+## 過去のセキュリティアドバイザリ {#past-security-advisories}
+
+{% assign advisories=site.posts | where:"lang", 'ja' | where:"type", 'advisory' | sort: "date" | reverse %}
+{% for advisory in advisories %}
+{% assign post=advisory %}
+  <article>
+    <h2><a href="{{ post.url }}" title="{{ post.title | xml_escape }}">{{ post.title }}</a></h2>
+    <p>{{ post.excerpt | markdownify | strip_html | truncate: 200 }}</p>
+  </article>
+{% endfor %}
diff --git a/_posts/ja/posts/2018-09-20-notice.md b/_posts/ja/posts/2018-09-20-notice.md
@@ -1,18 +1,18 @@
 ---
-title: CVE-2018-17144に関する完全な開示
+title: CVE-2018-17144の開示
 name: cve-2018-17144-full-disclosure
 id: ja-cve-2018-17144-full-disclosure
 lang: ja
 permalink: /ja/2018/09/20/notice/
-type: posts
+type: advisory
 layout: post
 
 ## If this is a new post, reset this counter to 1.
 version: 1
 
 excerpt: >
-  9月18日にリリースされたBitcoin Coreバージョン0.16.3および0.17.0RC4で修正された
-  CVE-2018-17144の影響に関する完全な開示。
+  Bitcoin CoreはDoS攻撃やインフレーション攻撃に対して脆弱でした。
+  修正は、2018年9月18日に、Bitcoin Coreバージョン0.16.3および0.17.0rc4でリリースされました。
 ---
 
 完全な開示
diff --git a/_posts/ja/posts/2019-11-08-CVE-2017-18350.md b/_posts/ja/posts/2019-11-08-CVE-2017-18350.md
@@ -1,5 +1,5 @@
 ---
-title: CVE-2017-18350に関する開示
+title: CVE-2017-18350の開示
 name: cve-2017-18350-disclosure
 id: ja-2017-18350-disclosure
 lang: ja
@@ -14,7 +14,8 @@ version: 1
 announcement: 1
 
 excerpt: >
-  2017年11月6日にリリースされたBitcoin Core バージョン 0.15.1で修正されたCVE-2017-18350の詳細の開示
+  ノードは、悪意あるSOCKSサーバーによるバッファーオーバーフローに対して潜在的に脆弱でした。
+  修正は、2017年11月6日に、Bitcoin Core バージョン 0.15.1でリリースされました。
 ---
 {{page.excerpt}}
 
diff --git a/_posts/ja/posts/2024-07-03-disclose-bip70-crash.md b/_posts/ja/posts/2024-07-03-disclose-bip70-crash.md
@@ -0,0 +1,47 @@
+---
+title: 悪意あるBIP72 URIを使用したクラッシュの開示
+name: blog-disclose-bip70-crash
+id: ja-blog-disclose-bip70-crash
+lang: ja
+permalink: /ja/2024/07/03/disclose-bip70-crash/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  Bitcoin-QtのBIP70の実装は、BIP72 URIを開くと密かにクラッシュする可能性がありました。
+  修正は、2020年6月3日に、Bitcoin Core 0.20.0でリリースされました。
+---
+
+Bitcoin-Qtは、[BIP72](https://github.com/bitcoin/bips/blob/master/bip-0072.mediawiki) URIを開く際にクラッシュする可能性がありました。
+
+この問題の重大度は**中**です。
+
+## 詳細 {#details}
+
+[BIP72](https://github.com/bitcoin/bips/blob/master/bip-0072.mediawiki)は、BIP21 URIスキームを拡張し、支払い要求をフェッチするためのパラメーター`r`を保持します。
+攻撃者は、パラメーター`r`に含まれるURLに単に非常に大きなファイルを指定するだけで、
+Bitcoin-Qtは十分なメモリを割り当てようとし、クラッシュします。
+
+被害者は、騙されて不正な支払い要求を開いてしまう可能性があります。大きなダウンロードはバックグラウンドで行われ、
+アプリケーションのメモリが不足するまでGUIにはほとんど何も出力されません。
+
+## 貢献 {#attribution}
+
+責任を持って問題を開示し、PoCを提供したMichael Ford (Fanquake)に感謝します。
+
+## タイムライン {#timeline}
+
+- 2019-08-12 Michael FordがCory FieldsとWladimir Van Der Laanにバグを報告
+- 2019-10-16 Michael FordはBIP70のサポートを完全に廃止するためにPR[#17165](https://github.com/bitcoin/bitcoin/pull/17165)を公開
+- 2019-10-26 MichaelのPRがBitcoin Coreにマージされる
+- 2020-06-03 Bitcoin Core バージョン 0.20.0がリリースされる
+- 2021-09-13 脆弱性のある最後のBitcoin Coreのバージョン (0.19.0)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}
diff --git a/_posts/ja/posts/2024-07-03-disclose-getdata-cpu.md b/_posts/ja/posts/2024-07-03-disclose-getdata-cpu.md
@@ -0,0 +1,49 @@
+---
+title: 巨大なGETDATAメッセージを使用したDoSの開示
+name: blog-disclose-getdata-cpu
+id: ja-blog-disclose-getdata-cpu
+lang: ja
+permalink: /ja/2024/07/03/disclose-getdata-cpu/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  不正な`GETDATA`メッセージにより、受信ノードのCPU使用率が100%になる可能性がありました。
+  修正は、2020年6月3日に、Bitcoin Core 0.20.0 でリリースされました。
+---
+
+不正な`GETDATA`が受信ノードで無限ループを引き起こし、このスレッドに割り当てられたCPUを100%使用し、
+その接続でのこれ以上の進行ができなくなる可能性がありました。
+
+この問題の重大度は**低**です。
+
+## 詳細 {#details}
+
+Bitcoin Core 0.20.0より前のバージョンでは、攻撃者（またはバグのあるクライアント）が
+`GETDATA`メッセージを送信して、net_processingスレッドが100%で回り始め、
+攻撃ピアのメッセージ処理が進捗しなくなる可能性がありました。
+他のピアからのメッセージの処理は進むので、それ以上の影響は小さなCPU DoSに過ぎません（攻撃ピアの処理が進まないことは問題ではありません）。
+また、ピア毎の長期メモリ使用量が1.5MB増加します。
+
+John Newberyは、この問題を修正するために[PR #18808](https://github.com/bitcoin/bitcoin/pull/18808)を公開し、進捗がないことだけを開示しました。
+
+## 貢献 {#attribution}
+
+このバグを発見し、責任ある開示をし修正したJohn Newberyに感謝します。
+
+## タイムライン {#timeline}
+
+- 2020-04-29 John Newberyが#18808を公開
+- 2020-05-08 John Newberyがメールで彼の発見を報告
+- 2020-05-12 #18808がマージされる
+- 2020-06-03 Bitcoin Core バージョン 0.20.0が修正と共にリリースされる
+- 2021-09-13 脆弱性のある最後のバージョンのBitcoin Core(0.19.x)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}
diff --git a/_posts/ja/posts/2024-07-03-disclose-header-spam.md b/_posts/ja/posts/2024-07-03-disclose-header-spam.md
@@ -0,0 +1,48 @@
+---
+title: 低難易度ヘッダーを使用したメモリDoSの開示
+name: blog-disclose-header-spam-checkpoint-bypass
+id: ja-blog-disclose-header-spam-checkpoint-bypass
+lang: ja
+permalink: /ja/2024/07/03/disclose-header-spam/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  ノードに低難易度のヘッダーがスパム送信され、それによりクラッシュする可能性がありました。
+  修正は、2017年9月14日に、Bitcoin Core 0.15.0 でリリースされました。
+---
+
+Bitcoin Core 0.12.0からBitcoin Core 0.15.0未満で、ノードに最小難易度のヘッダーがスパム送信される可能性があり、これを利用してOOMによりクラッシュする可能性がありました。
+
+この問題の重大度は**中**です。
+
+## 詳細 {#details}
+
+[ヘッダーの事前同期](https://github.com/bitcoin/bitcoin/pull/25717)が導入される前は、ノードは難易度の低いヘッダーによるスパムを避けるため、
+チェックポイントのみに依存していました。
+
+Bitcoin Core 0.12.0では、最後のチェックポイントの高さより前にヘッダーが分岐した場合のチェックが、
+`mapBlockIndex`にヘッダーを格納した後に移動されました。これにより、攻撃者は、
+親がジェネシスブロックであるヘッダー（作成に必要な難易度は1）をスパムすることで、
+そのようなブロックがチェックポイントロジックをバイパスするため、マップを無制限に拡大させることができました。
+
+## 貢献 {#attribution}
+
+このバグを発見し責任をもって開示したCory Fieldsに感謝します。
+
+## タイムライン {#timeline}
+
+- 2017-08-08 Cory Fieldsがバグを非公開で報告
+- 2017-08-11 Pieter Wuilleが修正のために[PR #11028](https://github.com/bitcoin/bitcoin/pull/11028)を公開
+- 2017-08-14 PR #11028がマージされる
+- 2017-09-14 Bitcoin Core バージョン 0.15.0が修正と共にリリースされる
+- 2018-10-03 脆弱性のある最後のバージョンのBitcoin Core (0.14.3)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}
diff --git a/_posts/ja/posts/2024-07-03-disclose-inv-buffer-blowup.md b/_posts/ja/posts/2024-07-03-disclose-inv-buffer-blowup.md
@@ -0,0 +1,49 @@
+---
+title: 巨大なINVメッセージを使用したメモリDoSの開示
+name: blog-disclose-inv-buffer-blowup
+id: ja-blog-disclose-inv-buffer-blowup
+lang: ja
+permalink: /ja/2024/07/03/disclose-inv-buffer-blowup/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  ノードは、悪意ある`INV`メッセージを送信する攻撃者毎に最大50MBのメモリを割り当てます。
+  修正は、2020年6月3日に、Bitcoin Core 0.20.0 でリリースされました。
+---
+
+特別に細工された`INV`メッセージを受信すると、ノードは大量のメモリを強制的に割り当てざるを得なくなる可能性がありました。
+これは、使用可能なメモリが少ないノードや接続数の多いノードで特に問題になります。
+
+この問題の重大度は**中**です。
+
+## 詳細 {#details}
+
+50,000個のブロック項目で満たされた`INV`メッセージは、1回の`ProcessMessages()`呼び出しで、
+50,000個の`getheaders`応答を送信する可能性があります。各応答は、ロケーターを含む約1kBです。
+このすべてが一度に送信バッファに入れられます。
+攻撃者はデータの受信を拒否するだけで、50MBのバッファが空になるのを防ぐことができます。
+
+John Newberyは、受信した`INV`毎に1つの`GETHEADERS`を送信することによる帯域幅の増加を口実に、
+この問題を修正するための[PR #18962](https://github.com/bitcoin/bitcoin/pull/18962)を公開しました。
+
+## 貢献 {#attribution}
+
+このバグを発見し、責任を持って開示し修正したJohn Newberyに感謝します。
+
+## タイムライン {#timeline}
+
+- 2020-05-08 John Newberyが発見した内容をメールで報告
+- 2020-05-12 John Newberyが#18962を公開
+- 2020-05-14 #18962がマージされる
+- 2020-06-03 Bitcoin Core バージョン 0.20.0が修正と共にリリースされる
+- 2021-09-13 脆弱性のある最後のバージョンのBitcoin Core(0.19.x)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}
diff --git a/_posts/ja/posts/2024-07-03-disclose-orphan-dos.md b/_posts/ja/posts/2024-07-03-disclose-orphan-dos.md
@@ -0,0 +1,54 @@
+---
+title: オーファンの処理による重大なDoSの開示
+name: blog-disclose-orphan-dos
+id: ja-blog-disclose-orphan-dos
+lang: ja
+permalink: /ja/2024/07/03/disclose-orphan-dos/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  特別に細工された未承認トランザクションを受信すると、ノードが数時間停止する可能性がありました。
+  修正は、2019年5月18日に、Bitcoin Core 0.18.0 でリリースされました。
+---
+
+特別に細工された未承認トランザクションのオーファンを処理する際に、ノードが数時間停止する可能性がありました。
+
+この問題の重大度は**高**です。
+
+## 詳細 {#details}
+
+トランザクションをmempoolに受け入れた後、ノードはオーファントランザクションのキャッシュを調べて、
+新しく受け入れられたトランザクションによりオーファントランザクションが受け入れ可能になるかどうか調べます。
+この探索は2次関数的で、新しく受け入れれたトランザクションの各アウトプットに対して、
+（100件に制限されている）キャッシュされたオーファントランザクションをすべて調べます。
+オーファントランザクションを無効でありながら検証にコストがかかるよう特別に細工すると、
+ノードが数時間停止する可能性があります。
+
+この停止は、（オーファンが有効であるかどうかにかかわらず）オーファンとの一致が見つかった際に
+新しいメッセージを処理するためにオーファンの解決を中断することで、
+Pieter Wuilleによって[PR #15644](https://github.com/bitcoin/bitcoin/pull/15644)で修正されました。
+
+## 貢献 {#attribution}
+
+このバグを責任を持って開示し、修正に関するフィードバックを提供してくれたsec.eineに感謝します。
+
+## タイムライン {#timeline}
+
+- 2019-03-19 sec.eineがメールでGreg Maxwellにこの問題を報告
+- 2019-03-21 Greg Maxwellが提案されたパッチに関する情報を返信
+- 2019-03-22 sec.eineがパッチについてフィードバックを提供（「堅実で、[..]注意を引かない」）
+- 2019-03-22 Pieter WuilleがPR #15644を公開
+- 2019-04-01 PR #15644がマージされる
+- 2019-05-18 Bitcoin Core バージョン 0.18.0が修正と共にリリースされる
+- 2020-07-22 PR review clubで問題が[部分的に開示される](https://bitcoincore.reviews/15644#l-285)
+- 2020-08-01 脆弱性のある最後のバージョンのBitcoin Core version (0.17.x)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}
diff --git a/_posts/ja/posts/2024-07-03-disclose-timestamp-overflow.md b/_posts/ja/posts/2024-07-03-disclose-timestamp-overflow.md
diff --git a/_posts/ja/posts/2024-07-03-disclose-unbounded-banlist.md b/_posts/ja/posts/2024-07-03-disclose-unbounded-banlist.md
diff --git a/_posts/ja/posts/2024-07-03-disclose_already_asked_for.md b/_posts/ja/posts/2024-07-03-disclose_already_asked_for.md
diff --git a/_posts/ja/posts/2024-07-03-disclose_receive_buffer_oom.md b/_posts/ja/posts/2024-07-03-disclose_receive_buffer_oom.md
diff --git a/_posts/ja/posts/2024-07-03-disclose_upnp_rce.md b/_posts/ja/posts/2024-07-03-disclose_upnp_rce.md
