go-ipfs versões 0.10.0 a 0.12.1

O problema afeta nós do go-ipfs que podem travar ao tentar percorrer determinados grafos malformados devido a uma falha na dependência go-codec-dagpb. Isso pode levar a riscos de negação de serviço, afetando particularmente nós que baixam ou exportam dados controlados por entradas de usuários externos. Casos de uso notáveis incluem gateways públicos, serviços de fixação e aplicativos como o IPFS Companion.

Para as versões 0.10.0, 0.11.0, 0.12.0 ou 0.12.1, atualize para a versão v0.11.1 ou v0.12.2 para resolver o problema.

Para aqueles que executam versões bifurcadas do go-ipfs ou que estão na v0.10.0 e enfrentam problemas com as alterações compatíveis com a v0.11.0, atualize a versão do go-codec-dagpb para >=v1.3.2.

Como solução temporária, controle a exposição a quaisquer endpoints que permitam traversals IPLD arbitrários, como a API HTTP RPC e a API Gateway, permitindo acesso apenas a usuários e aplicativos confiáveis.