ZEBRA — это узел Zcash, полностью написанный на Rust. До версии zebrad 4.3.0 и zebra-chain версии 6.0.1 уязвимость в логике обработки транзакций Zebra позволяла удаленному, неавторизованному злоумышленнику вызвать панику (сбой) узла Zebra. Это инициируется отправкой специально созданной транзакции V5, которая проходит первоначальную десериализацию, но завершается с ошибкой при вычислении идентификатора транзакции.
Эта проблема исправлена в zebrad версии 4.3.0 и zebra-chain версии 6.0.1.
Показать оригинальное описание (EN)
ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.0 and zebra-chain version 6.0.1, a vulnerability in Zebra's transaction processing logic allows a remote, unauthenticated attacker to cause a Zebra node to panic (crash). This is triggered by sending a specially crafted V5 transaction that passes initial deserialization but fails during transaction ID calculation. This issue has been patched in zebrad version 4.3.0 and zebra-chain version 6.0.1.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Zfnd Zebra
cpe:2.3:a:zfnd:zebra:*:*:*:*:*:rust:*:*
|
— |
4.3.0
|
|
Zfnd Zebra-Chain
cpe:2.3:a:zfnd:zebra-chain:*:*:*:*:*:rust:*:*
|
— |
6.0.1
|