Vulnerabilidad en Hydra (CVE-2023-42448)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/10/2023
Última modificación:
10/10/2023
Descripción
Hydra es la solución de escalabilidad de capa dos para Cardano. Antes de la versión 0.13.0, la especificación establece que el período de impugnación en el dato del UTxO en el validador "head" debe permanecer sin cambios a medida que el estado avanza de Open a Closed (Transacción cerrada), pero no parece realizarse dicha verificación en la función "checkClose" del validador "head". Esto permitiría a un participante malintencionado modificar la fecha límite de impugnación del "head" para permitirle distribuir el "head" sin darle a otro participante la oportunidad de competir, o evitar que cualquier participante redistribuya los fondos bloqueados en el "head" a través de una distribución. La versión 0.13.0 contiene un parche para este problema.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:iohk:hydra:*:*:*:*:*:*:*:* | 0.13.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/input-output-hk/hydra/blob/master/CHANGELOG.md#0130---2023-10-03
- https://github.com/input-output-hk/hydra/blob/master/hydra-plutus/src/Hydra/Contract/Head.hs#L284-L296
- https://github.com/input-output-hk/hydra/blob/master/hydra-plutus/src/Hydra/Contract/Head.hs#L320-L323
- https://github.com/input-output-hk/hydra/commit/2f45529729e28254a62f7a7c8d6649066923ed1f
- https://github.com/input-output-hk/hydra/security/advisories/GHSA-mgcx-6p7h-5996