PT-2022-16026 · Go-Libp2P · Go-Libp2P
P-Shahi
·
Publicado
2022-12-07
·
Atualizado
2023-07-14
·
CVE-2022-23492
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
go-libp2p versões 0.18.0 e anteriores
Descrição
A vulnerabilidade diz respeito a ataques direcionados de esgotamento de recursos que afetam o gerenciamento de conexões, fluxos, pares e memória do libp2p. Um invasor pode provocar a alocação de grandes quantidades de memória, levando, em última instância, ao encerramento do processo pelo sistema operacional do host. Embora o go-libp2p inclua um gerenciador de conexões para manter as conexões dentro de limites gerenciáveis, ele foi projetado para lidar com a rotatividade normal de pares, e não com ataques direcionados de esgotamento de recursos.
Recomendações
Para resolver o problema, atualize o go-libp2p para a versão 0.18.1 ou mais recente. Para versões anteriores à 0.18.1, considere o seguinte:
-
Atualize sua dependência do go-libp2p para a versão 0.18.1 ou superior.
-
Determine limites adequados para sua aplicação, pois o go-libp2p configura um gerenciador de recursos com limites padrão caso nenhum seja fornecido.
-
Configure seu nó para ser resistente a ataques, configurando o bloqueio automático com o fail2ban usando linhas de log libp2p canônicas.
-
Considere atualizar para a v0.21.0 ou mais recente para obter funcionalidades adicionais que ajudam em ambientes de produção, como métricas melhores sobre o uso de recursos e limites padrão de autoescalonamento.
Para usuários que não conseguem atualizar, consulte a página de mitigação de negação de serviço (DoS) para obter mais informações sobre como incorporar estratégias de mitigação, monitorar seu aplicativo e responder a ataques.
Exploit
Correção
Resource Exhaustion
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Go-Libp2P