CVE-2022-23487

Versões do js-libp2p anteriores à v0.38.0

A vulnerabilidade diz respeito a ataques direcionados de esgotamento de recursos que afetam o gerenciamento de conexão, fluxo, pares e memória do libp2p. Um invasor pode provocar a alocação de grandes quantidades de memória, levando ao encerramento do processo pelo sistema operacional do host. O gerenciador de conexão no js-libp2p, projetado para lidar com a rotatividade normal de pares, não está preparado para lidar com tais ataques direcionados.

Para versões anteriores à v0.38.0, atualize a dependência do js-libp2p para a v0.38.0 ou superior. Como medida de mitigação temporária, considere usar ferramentas do sistema operacional para bloquear pares maliciosos ou implementar um balanceador de carga na frente dos nós do libp2p. Além disso, utilize a lista de permissão/restação no js-libp2p para bloquear pares específicos, mas observe que essas medidas não substituem a atualização do js-libp2p.