CVE-2024-32984

Yamux (versões afetadas não especificadas)

O Yamux é um multiplexador de fluxos sobre conexões confiáveis e ordenadas, como TCP/IP. A implementação em Rust do multiplexador de fluxos Yamux utiliza um vetor para quadros pendentes, cujo comprimento não é limitado. Esse vetor pode ser acionado remotamente para crescer indefinidamente ao abrir um novo fluxo Identify da libp2p ou enviar um quadro Yamux Ping, fazendo com que o nó envie sua mensagem Identify ou um quadro Pong, respectivamente. Um invasor pode usar o mecanismo de janela de recepção do TCP para impedir que a vítima envie quaisquer dados, levando a um estouro de memória. Isso pode resultar no encerramento do processo correspondente pelo sistema operacional. Dependendo dos protocolos de aplicação em execução sobre o rust-libp2p, são possíveis fatores de amplificação mais elevados, e o ataque também aumenta a carga da CPU da vítima.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.