Vulnerabilidad en un método ValidateBasic del módulo x/authz en Cosmos-SDK (CVE-2021-41135)
Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
20/10/2021
Última modificación:
07/11/2023
Descripción
Cosmos-SDK es un marco de trabajo para construir aplicaciones blockchain en Golang. Las versiones afectadas del SDK eran vulnerables a una interrupción del consenso debido a un comportamiento no determinista en un método ValidateBasic del módulo x/authz. El MsgGrant del módulo x/authz contiene un campo Grant que incluye un tiempo de expiración definido por el usuario para cuando la concesión de autorización expira. En Grant.ValidateBasic(), esa hora se compara con la hora del reloj local del nodo. Cualquier cadena que ejecute una versión afectada del SDK con el módulo authz habilitado podría ser detenida por cualquier persona con la capacidad de enviar transacciones en esa cadena. Una recuperación requeriría aplicar el parche y hacer retroceder el último bloque. Se recomienda usuarios actualizar a la versión 0.44.2
Impacto
Puntuación base 3.x
6.50
Severidad 3.x
MEDIA
Puntuación base 2.0
4.00
Severidad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:interchain:cosmos_sdk:*:*:*:*:*:*:*:* | 0.43.0 (incluyendo) | 0.44.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página