CVE

Vulnerabilidad en un método ValidateBasic del módulo x/authz en Cosmos-SDK (CVE-2021-41135)

Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
20/10/2021
Última modificación:
07/11/2023

Descripción

Cosmos-SDK es un marco de trabajo para construir aplicaciones blockchain en Golang. Las versiones afectadas del SDK eran vulnerables a una interrupción del consenso debido a un comportamiento no determinista en un método ValidateBasic del módulo x/authz. El MsgGrant del módulo x/authz contiene un campo Grant que incluye un tiempo de expiración definido por el usuario para cuando la concesión de autorización expira. En Grant.ValidateBasic(), esa hora se compara con la hora del reloj local del nodo. Cualquier cadena que ejecute una versión afectada del SDK con el módulo authz habilitado podría ser detenida por cualquier persona con la capacidad de enviar transacciones en esa cadena. Una recuperación requeriría aplicar el parche y hacer retroceder el último bloque. Se recomienda usuarios actualizar a la versión 0.44.2

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:interchain:cosmos_sdk:*:*:*:*:*:*:*:* 0.43.0 (incluyendo) 0.44.2 (excluyendo)