Wu氏によると、AnzaはSolana仮想マシン(SVM)にed25519とsecp256k1のプリコンパイルの脆弱性があり、--transaction-structureビューを有効にしてバージョンv2.2を実行しているバリデータノードに影響を与えていると報告しました。 この脆弱性は、トランザクション命令データが2バイトアライメントされていることを前提としているため、アライメントが保証されていない新しいトランザクションビューでエラーが発生し、リーダーノードとクラスタ間のバンクハッシュの不一致が発生し、ノードのクラッシュやネットワークの可用性のリスクを引き起こす可能性があります。 この脆弱性は 4 月 9 日に Temporal によって報告され、Anza は 4 月 11 日に v2.2.8 の修正をリリースし、アライメントの仮定を削除しました。 この脆弱性は、資金の安全性には影響しません。 Anzaは、--transaction-structureビューを無効にし、パッチを適用したバージョンにアップグレードすることを推奨しています。
Anzaはソラナの検証ノードの脆弱性を明らかにし、v2.2.8へのアップグレードを推奨しています。
Wu氏によると、AnzaはSolana仮想マシン(SVM)にed25519とsecp256k1のプリコンパイルの脆弱性があり、--transaction-structureビューを有効にしてバージョンv2.2を実行しているバリデータノードに影響を与えていると報告しました。 この脆弱性は、トランザクション命令データが2バイトアライメントされていることを前提としているため、アライメントが保証されていない新しいトランザクションビューでエラーが発生し、リーダーノードとクラスタ間のバンクハッシュの不一致が発生し、ノードのクラッシュやネットワークの可用性のリスクを引き起こす可能性があります。 この脆弱性は 4 月 9 日に Temporal によって報告され、Anza は 4 月 11 日に v2.2.8 の修正をリリースし、アライメントの仮定を削除しました。 この脆弱性は、資金の安全性には影響しません。 Anzaは、--transaction-structureビューを無効にし、パッチを適用したバージョンにアップグレードすることを推奨しています。