Vulnerabilidad en Besu (CVE-2022-36025)

Besu es un cliente Ethereum basado en Java. En las versiones más recientes que 22.1.3 y anteriores a 22.7.1, Besu está sujeto a una Conversión Incorrecta entre Tipos Numéricos. Un error en los tipos con signo y sin signo de 32 bits en el cálculo del gas disponible en las operaciones CALL (incluyendo DELEGATECALL) provoca que sea pasado gas incorrecto a los contratos llamados y que sea devuelto gas incorrecto tras la ejecución de la llamada. Cuando la cantidad de gas marca una diferencia en el éxito o el fracaso, o si el gas es un valor negativo de 64 bits, la ejecución resultará a un root state diferente a lo esperado, resultando en un fallo de consenso en redes con múltiples implementaciones de EVM. En redes con una sola implementación de EVM, esto puede ser usado para ejecutar con un gas significativamente mayor que la transacción solicitada, posiblemente excediendo las limitaciones de gas. Este problema está parcheado en versión 22.7.1. Como mitigación, volver a versión 22.1.3 o anterior evitará una ejecución incorrecta.<br />