Wu a rapporté qu'Anza a signalé un problème de vulnérabilité dans les programmes précompilés ed25519 et secp256k1 du Machine virtuelle Solana (SVM), affectant les nœuds validateurs exécutant la version v2.2 et ayant activé l'option --transaction-structure view. La vulnérabilité est due à l'hypothèse que les données d'instruction de transaction sont alignées sur 2 octets, ce qui a entraîné une erreur sans garantie d'alignement dans la nouvelle vue de transaction (transaction-view), provoquant un décalage entre le hash de la banque des nœuds leaders et du cluster, ce qui pourrait entraîner un crash des nœuds et un risque pour la disponibilité du réseau. La vulnérabilité a été signalée par Temporal le 9 avril, et Anza a publié le 11 avril la version v2.2.8 pour corriger le problème, en supprimant l'hypothèse d'alignement. Cette vulnérabilité n'affecte pas la sécurité des fonds. Anza recommande de désactiver l'option --transaction-structure view et de mettre à niveau vers la version corrigée.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Anza a révélé une vulnérabilité dans les nœuds de validation Solana et recommande de mettre à niveau vers la version v2.2.8
Wu a rapporté qu'Anza a signalé un problème de vulnérabilité dans les programmes précompilés ed25519 et secp256k1 du Machine virtuelle Solana (SVM), affectant les nœuds validateurs exécutant la version v2.2 et ayant activé l'option --transaction-structure view. La vulnérabilité est due à l'hypothèse que les données d'instruction de transaction sont alignées sur 2 octets, ce qui a entraîné une erreur sans garantie d'alignement dans la nouvelle vue de transaction (transaction-view), provoquant un décalage entre le hash de la banque des nœuds leaders et du cluster, ce qui pourrait entraîner un crash des nœuds et un risque pour la disponibilité du réseau. La vulnérabilité a été signalée par Temporal le 9 avril, et Anza a publié le 11 avril la version v2.2.8 pour corriger le problème, en supprimant l'hypothèse d'alignement. Cette vulnérabilité n'affecte pas la sécurité des fonds. Anza recommande de désactiver l'option --transaction-structure view et de mettre à niveau vers la version corrigée.