Vulnerabilidad en la implementación de precompilación MODEXP de Frontier (CVE-2022-21685)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-191 Subdesbordamiento de entero

Fecha de publicación:

14/01/2022

Última modificación:

21/01/2022

Descripción

Frontier es la capa de compatibilidad con Ethereum de Substrate. Antes del número de commit "8a93fdc6c9f4eb1d2f2a11b7ff1d12d70bf5a664", un error en la implementación de precompilación MODEXP de Frontier puede causar un desbordamiento de enteros en determinadas condiciones. Esto causará un bloqueo del nodo en las versiones de depuración. Para las compilaciones de lanzamiento (y los binarios WebAssembly de producción), el impacto es limitado, ya que sólo puede causar un desbordamiento normal de EVM. Los usuarios que no usan la precompilación MODEXP en su tiempo de ejecución no están afectados. Un parche está disponible en el pull request #549

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico