P-Shahi

**Nome do software vulnerável e versões afetadas** Versões do js-libp2p anteriores à v0.38.0 **Descrição** A vulnerabilidade diz respeito a ataques direcionados de esgotamento de recursos que afetam o gerenciamento de conexão, fluxo, pares e memória do libp2p. Um invasor pode provocar a alocação de grandes quantidades de memória, levando ao encerramento do processo pelo sistema operacional do host. O gerenciador de conexão no js-libp2p, projetado para lidar com a rotatividade normal de pares, não está preparado para lidar com tais ataques direcionados. **Recomendações** Para versões anteriores à v0.38.0, atualize a dependência do js-libp2p para a v0.38.0 ou superior. Como medida de mitigação temporária, considere usar ferramentas do sistema operacional para bloquear pares maliciosos ou implementar um balanceador de carga na frente dos nós do libp2p. Além disso, utilize a lista de permissão/restação no js-libp2p para bloquear pares específicos, mas observe que essas medidas não substituem a atualização do js-libp2p.

**Nome do software vulnerável e versões afetadas** go-libp2p versões 0.18.0 e anteriores **Descrição** A vulnerabilidade diz respeito a ataques direcionados de esgotamento de recursos que afetam o gerenciamento de conexões, fluxos, pares e memória do libp2p. Um invasor pode provocar a alocação de grandes quantidades de memória, levando, em última instância, ao encerramento do processo pelo sistema operacional do host. Embora o go-libp2p inclua um gerenciador de conexões para manter as conexões dentro de limites gerenciáveis, ele foi projetado para lidar com a rotatividade normal de pares, e não com ataques direcionados de esgotamento de recursos. **Recomendações** Para resolver o problema, atualize o go-libp2p para a versão 0.18.1 ou mais recente. Para versões anteriores à 0.18.1, considere o seguinte: - Atualize sua dependência do go-libp2p para a versão 0.18.1 ou superior. - Determine limites adequados para sua aplicação, pois o go-libp2p configura um gerenciador de recursos com limites padrão caso nenhum seja fornecido. - Configure seu nó para ser resistente a ataques, configurando o bloqueio automático com o fail2ban usando linhas de log libp2p canônicas. - Considere atualizar para a v0.21.0 ou mais recente para obter funcionalidades adicionais que ajudam em ambientes de produção, como métricas melhores sobre o uso de recursos e limites padrão de autoescalonamento. Para usuários que não conseguem atualizar, consulte a página de mitigação de negação de serviço (DoS) para obter mais informações sobre como incorporar estratégias de mitigação, monitorar seu aplicativo e responder a ataques.

**Nome do software vulnerável e versões afetadas** Versões do libp2p-rust anteriores à 0.45.1 **Descrição** A vulnerabilidade permite que um nó invasor faça com que um nó vítima aloque um grande número de pequenos blocos de memória, levando o processo da vítima a ficar sem memória e, potencialmente, ser encerrado pelo sistema operacional. Isso pode resultar em um ataque de negação de serviço, especialmente quando executado contra vários nós em uma rede baseada em libp2p. **Recomendações** Para versões anteriores à 0.45.1, atualize para a libp2p v0.45.1 ou superior. Como solução alternativa temporária para usuários que não possam atualizar, consulte a página de Mitigação de DoS para obter mais informações sobre como incorporar estratégias de mitigação, monitorar o aplicativo e responder a ataques.