Versões do go-ipfs anteriores à 0.13.1

A versão 0.14 e posteriores do go-ipfs não são afetadas, mas as versões anteriores à 0.14 podem estar vulneráveis se utilizarem uma versão vulnerável do go-car

O problema é causado por uma falha na dependência do go-car, que pode levar à falha dos nós do go-ipfs ao tentar importar determinados arquivos CAR malformados. Isso afeta nós que executam ipfs dag import com entradas de usuários não confiáveis. Um invasor que controle o arquivo car também pode causar ataques de esgotamento de memória, fazendo com que o nó aloque buffers de tamanho arbitrário. O endpoint da API “v0/dag/import” também é afetado.

Para versões do go-ipfs anteriores à 0.13.1, atualize para a versão 0.13.1 ou posterior para resolver o problema.

Para aqueles que executam versões bifurcadas do go-ipfs, atualize a versão de github.com/ipld/go-car/v2 para >= v2.4.0.

Como solução temporária, considere restringir o acesso ao endpoint da API HTTP RPC “v0/dag/import” para que ele funcione apenas com dados confiáveis.

Valide os arquivos car executando car verify neles primeiro para evitar falhas.

Se estiver usando outras bibliotecas dentro do ecossistema do go-ipfs, atualize a dependência do go-car para >= v2.4.0.