EOSIO™ 版本1.8.0-RC1: EOSIO共识协议升级、候补版本发布、安全性和可用性功能加强

正文

请到「今天看啥」查看全文

（#6333）不允许连接到不存在的权限

Codename: ONLY_LINK_TO_EXISTING_PERMISSION

不允许把一个动作（通过eosio::linkauth native action）连接到一个不存在的权限中。未做该检查不会产生任何安全问题，只是为了避免不方便用户。

(#6672)修复对eosio::linkauth的过多限制

Codename: FIX_LINKAUTH_RESTRICTION

修复了无意中限定动作必须连接到最低权限要求的限制。主观减少不能修复该漏洞。但是，该漏洞不是安全问题。这是说，在该功能激活前，合约开发者不能把动作命名为updateauth, deleteauth, linkauth, unlinkauth, 和 canceldelay，以免用户对合约动作设定客户最低权限要求时遇到任何问题。

(#6458)不允许提出空生产者调度

Codename: DISALLOW_EMPTY_PRODUCER_SCHEDULE

不允许合约提出空生产者调度。本漏洞不需要主观减少，因为：提出空生产者调度不会产生问题；且只有特权合约，如系统合约，才能提出生产者调度变化。

(#6705)向自己发送动作时限制权限检查

Codename: RESTRICT_ACTION_TO_SELF

当合约向自己发送内联网动作或只发送只包含对自己动作的延期交易时，应用的授权检查绕过被移除。限制授权绕过的主观减少已经被释放了。但本功能在限制上更进一步，将其设定成客观要求，这样不管是在输入交易的原始动作、合约产生交易中的动作或者合约发出的内联网动作，所有的动作都需要进行授权检查行为。区块生产者应该要意识到，激活该功能会解除依靠其余激活授权绕过的合约，因为本功能会移除这些授权绕过。

(#6103)修复了和取代延期交易相关的问题

Codename: REPLACE_DEFERRED

现在的机制在使用send_deferred内部函数取代已有的延期交易存在一个问题。首先，用来储存初始延期交易的RAM不会回到初始支付方。其次，初始延期交易的交易ID一直存在，这就意味着新的延期交易会使用错误的交易ID退回区块中。修复这些问题需要共识协议升级，这就是本功能要做的事情。本功能还会修改任何已经受到该漏洞影响的账户的RAM使用。目前，EOSIO软件已经不允许利用send_deferred内部函数取代现存延期交易来主动减少问题。但当本功能激活时，我们就会移除该机制。

请到「今天看啥」查看全文