### 漏洞关键信息总结 #### 1. 漏洞概述 该页面主要披露了两个与 Zebra 4.3.0 版本相关的关键安全漏洞: * **CVE-2026-34202 (Critical, CVSS 9.2)**: **远程拒绝服务 (Remote Denial of Service via Crafted V5 Transactions)**。 * 描述:Zebra 的交易验证逻辑允许远程未授权攻击者通过发送特制的 V5 交易,在交易 ID 计算期间触发 panic(程序崩溃)。 * **CVE-2026-34377 (High, CVSS 8.4)**: **共识失败 (Consensus Failure via Crafted V5 Authorization Data)**。 * 描述:Zebra 的交易验证逻辑中的错误允许恶意矿工诱导共识分裂。攻击者通过匹配有效交易的 txId 但提供无效的授权数据,导致交易被接受但可能引发链分裂。 #### 2. 影响范围 * **受影响组件**: Zebra 节点的交易验证(transaction verification)和反序列化(deserialization)逻辑。 * **潜在后果**: * 节点崩溃(Panic)。 * 共识分裂(Chain split),导致节点与网络其余部分隔离。 * 拒绝服务攻击。 #### 3. 修复方案 * **升级建议**: 强烈建议所有 Zebra 节点操作员立即升级到 **Zebra 4.3.0** 版本。 * **具体修复措施**: * **针对 CVE-2026-34202**: 修复了交易 ID 计算时的 panic,改为优雅的错误处理(graceful error handling)。 * **针对 CVE-2026-34377**: 确保验证仅在完整交易完整性(包括授权数据)被验证时才跳过。 * **V5 交易验证绕过修复**: 修复了共识逻辑,不再仅基于 mined transaction IDs 自动标记 V5 交易为已验证,防止因跳过 proof proof checks 导致的链分裂。 * **反序列化 Panic 修复**: 添加了适当的验证,确保交易在进一步处理前可以被安全反序列化。