CVE-2022-36025

Versões do Besu 22.1.4 a 22.7.0

O problema está relacionado a uma conversão incorreta entre tipos numéricos no cálculo do gás disponível em operações CALL, incluindo DELEGATECALL. Isso faz com que uma quantidade incorreta de gás seja passada para os contratos chamados e que uma quantidade incorreta de gás seja retornada após a execução da chamada. Quando a quantidade de gás faz diferença no sucesso ou na falha, ou se o gás for um valor negativo de 64 bits, a execução resultará em uma raiz de estado diferente da esperada, causando uma falha de consenso em redes com múltiplas implementações de EVM. Em redes com uma única implementação de EVM, isso pode ser usado para executar com uma quantidade de gás significativamente maior do que a solicitada pela transação, possivelmente excedendo os limites de gás.

Para as versões 22.1.4 a 22.7.0, atualize para a versão 22.7.1 para corrigir o problema.

Como solução alternativa temporária para as versões 22.1.4 a 22.7.0, reverter para a versão 22.1.3 ou anterior impedirá a execução incorreta. No entanto, muitas redes da mainnet do Ethereum exigem alterações nas versões mais recentes do Besu e não devem usar versões mais antigas do Besu, devendo, em vez disso, usar a versão corrigida.

O Ethereum Classic e outras redes que não dependem de uma transição para Proof of Stake devem funcionar normalmente com a versão 22.1.3 ou anterior.