PT-2020-12546 · Indy · Indy Node
Publicado
2020-06-11
·
Atualizado
2020-06-22
·
CVE-2020-11090
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Indy Node versão 1.12.2
Descrição
O problema está relacionado a uma vulnerabilidade de consumo descontrolado de recursos no código de tratamento de TAA do Indy Node. Uma transação malformada proveniente de um cliente pode travar o primário atual, levando a uma mudança de visualização. Mudanças rápidas e repetidas de visualização têm o potencial de derrubar a rede. O problema foi descoberto após relatos de que a StagingNet estava perdendo consenso suficiente para validar transações de gravação, e parece ter sido causado por alguém enviando uma transação malformada e tentando novamente quando a transação falhava.
Recomendações
Para o Indy Node versão 1.12.2, atualize para a versão 1.12.3 para corrigir o problema. Como solução temporária, considere restringir o tratamento de transações malformadas para minimizar o risco de exploração. Além disso, melhorar a estratégia de testes no Indy Node pode ajudar a reduzir a probabilidade de tais bugs no futuro.
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Indy Node