CVE-2021-41272

Versões 21.10.0 a 21.10.1 do Besu

O problema está relacionado a um erro de coerção de tipo assinado na implementação das operações SHL, SHR e SAR no Besu, um cliente Ethereum escrito em Java. Esse erro ocorre quando contratos inteligentes solicitam deslocamentos entre aproximadamente 2 bilhões e 4 bilhões de bits, valores sem sentido, mas válidos para a operação. Como resultado, esses contratos não serão executados nem validados. Em redes onde versões vulneráveis estão minerando com outros clientes ou versões não vulneráveis, isso resultará em um fork, e as transações relevantes não serão incluídas no fork. Em redes onde apenas versões vulneráveis estão minerando, as transações relevantes não serão incluídas em nenhum bloco. Uma vez que uma transação com as operações de deslocamento relevantes seja incluída na cadeia canônica, a única correção é garantir que todos os nós estejam em versões não vulneráveis.

Para as versões 21.10.0 a 21.10.1 do Besu, atualize para o Besu 21.10.2, que contém um patch para este problema.

Como alternativa, os clientes podem reverter para o Besu 21.7.4, que não é vulnerável.

Como solução temporária, certifique-se de que todos os nós estejam em versões não vulneráveis assim que uma transação com as operações de shift relevantes for incluída na cadeia canônica.