Zcash 基金会近日发布了 Zebra 节点客户端 4.5.0 版,针对多起安全缺陷进行全面修补,并强烈建议所有节点运营者立即升级。
本次更新重点修复了一个严重的共识层漏洞(编号 GHSA‑gf9r‑m956‑97qx)。该漏洞源于纯 Rust 实现的脚本解析器在处理 P2SH 赎回脚本时,错误地对签名操作计数进行了短路,导致 Zebra 能够接受被官方 zcashd 客户端拒绝的区块。这一缺陷有可能触发链分裂,危害极大。
除上述最高危漏洞外,4.5.0 版还修复了 9 起高危至中危安全问题,主要包括:
– 区块重试抑制机制缺陷
– 地址余额溢出导致节点崩溃
– 内存池队列饱和风险
– 同步过程中的重启中毒等
另外,3 起低危漏洞也得到修补。新版本还新增了对“挖矿至屏蔽地址”(shielded address)的支持,提升了功能完整性。
此次修补工作共覆盖了 ZCG 漏洞披露计划(2024 年 4 月至 5 月)期间收集的 80 余份安全报告。Zcash 基金会提醒,所有使用 Zebra 的节点运营者务必尽快升级至 4.5.0,以确保网络安全与稳定运行。
