Vulnerabilidad en la condición del opcode "JUMPI" en crate evm de Rust de la máquina virtual de Ethereum (CVE-2021-41153)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/10/2021
Última modificación:
22/10/2021
Descripción
La crate evm es una implementación pura de Rust de la máquina virtual de Ethereum. En "evm" crate "versiones anteriores a 0.31.0", la condición del opcode "JUMPI" se comprueba después de la comprobación de validez del destino. Sin embargo, de acuerdo con Geth y OpenEthereum, la comprobación de la condición debe ocurrir antes de la comprobación de la validez del destino. Este es un aviso de seguridad **elevada** si usas la crate "evm" para la mainnet de Ethereum. En este caso, debe actualizar su dependencia de la biblioteca inmediatamente a la versión "0.31.0" o posterior. Este es un aviso de seguridad de **baja** gravedad si usas "evm" crate en Frontier o en una blockchain independiente, porque no se presenta ninguna explotación de seguridad posible con este aviso. No se recomienda actualizar a la versión "0.31.0" o posterior hasta que se hayan realizado todos los preparativos normales de actualización de la cadena. Si usa Frontier u otra cadena de bloques basada en "pallet-evm", asegúrese de actualizar su "spec_version" antes de actualizar esto. Para otras blockchains, por favor asegúrese de seguir un proceso de hard-fork antes de actualizar esto
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:evm_project:evm:*:*:*:*:*:rust:*:* | 0.31.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página