Vulnerabilidad en Frontier (CVE-2022-31111)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2022
Última modificación:
14/07/2022
Descripción
Frontier es la capa de compatibilidad con Ethereum de Substrate. En las versiones afectadas, el truncamiento realizado cuando es convertido entre el tipo de saldo de EVM y el tipo de saldo de Substrate fue implementado de forma incorrecta. Esto conlleva a una posible discrepancia entre el valor de transferencia de EVM aparecido y el valor real de Substrate transferido. Es recomendado planificar una actualización de emergencia y detener temporalmente la ejecución de EVM mientras tanto. El problema está parcheado en el commit de la rama master de Frontier fed5e0a9577c10bea021721e8c2c5c378e16bf66 y en el commit de la rama polkadot-v0.9.22 e3e427fa2e5d1200a784679f8015d4774cedc934. Esta vulnerabilidad afecta sólo a estados internos de EVM, pero no a estados de equilibrio del sustrato ni al nodo. Puede detenerse temporalmente la ejecución de EVM (al configurar un "CallFilter" de Substrate que deshabilite las llamadas "pallet-evm" y "pallet-ethereum" antes de aplicar el parche
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parity:frontier:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/paritytech/frontier/commit/e3e427fa2e5d1200a784679f8015d4774cedc934
- https://github.com/paritytech/frontier/commit/fed5e0a9577c10bea021721e8c2c5c378e16bf66
- https://github.com/paritytech/frontier/pull/753
- https://github.com/paritytech/frontier/security/advisories/GHSA-hc8w-mx86-9fcj