Wu a rapporté qu'Anza a signalé un problème de vulnérabilité dans les programmes précompilés ed25519 et secp256k1 du Machine virtuelle Solana (SVM), affectant les nœuds validateurs exécutant la version v2.2 et ayant activé l'option --transaction-structure view. La vulnérabilité est due à l'hypothèse que les données d'instruction de transaction sont alignées sur 2 octets, ce qui a entraîné une erreur sans garantie d'alignement dans la nouvelle vue de transaction (transaction-view), provoquant un décalage entre le hash de la banque des nœuds leaders et du cluster, ce qui pourrait entraîner un crash des nœuds et un risque pour la disponibilité du réseau. La vulnérabilité a été signalée par Temporal le 9 avril, et Anza a publié le 11 avril la version v2.2.8 pour corriger le problème, en supprimant l'hypothèse d'alignement. Cette vulnérabilité n'affecte pas la sécurité des fonds. Anza recommande de désactiver l'option --transaction-structure view et de mettre à niveau vers la version corrigée.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Anza a révélé une vulnérabilité dans les nœuds de validation Solana et recommande de mettre à niveau vers la version v2.2.8
Wu a rapporté qu'Anza a signalé un problème de vulnérabilité dans les programmes précompilés ed25519 et secp256k1 du Machine virtuelle Solana (SVM), affectant les nœuds validateurs exécutant la version v2.2 et ayant activé l'option --transaction-structure view. La vulnérabilité est due à l'hypothèse que les données d'instruction de transaction sont alignées sur 2 octets, ce qui a entraîné une erreur sans garantie d'alignement dans la nouvelle vue de transaction (transaction-view), provoquant un décalage entre le hash de la banque des nœuds leaders et du cluster, ce qui pourrait entraîner un crash des nœuds et un risque pour la disponibilité du réseau. La vulnérabilité a été signalée par Temporal le 9 avril, et Anza a publié le 11 avril la version v2.2.8 pour corriger le problème, en supprimant l'hypothèse d'alignement. Cette vulnérabilité n'affecte pas la sécurité des fonds. Anza recommande de désactiver l'option --transaction-structure view et de mettre à niveau vers la version corrigée.