CVE-2021-21271

**Nome do software vulnerável e versões afetadas:

Tendermint Core, versões 0.34.0 a 0.34.2

Descrição:

O problema decorre do tratamento incorreto de carimbos de data/hora durante o processo de consenso no Tendermint Core, o que pode causar uma negação de serviço. Quando são observados sinais duplos, o reator de consenso forma DuplicateVoteEvidence, mas como o bloco atual ainda está “em andamento” e não foi finalizado por meio do consenso da rede, diferentes nós podem observar diferentes “últimos commits” e atribuir carimbos de data/hora diferentes ao DuplicateVoteEvidence. Isso faz com que algumas DuplicateVoteEvidence sejam consideradas inválidas, levando os nós a proporem evidências inválidas e, potencialmente, serem desconectados por seus pares. O bug significa que assinaturas duplicadas são vetores de negação de serviço nas versões afetadas.

Recomendações:

Para as versões 0.34.0 a 0.34.2 do Tendermint Core, atualize para a versão 0.34.3 para corrigir o bug. A partir da versão 0.34.3, o DuplicateVoteEvidence não é mais formado pelo reator de consenso, mas sim pelo EvidencePool, que possui informações de carimbo de data/hora consistentes em toda a rede.