Nome do Software Vulnerável e Versões Afetadas Versões do qcp de 0.1.0 a 0.3.2

Descrição O problema é uma falha (crash), ou Negação de Serviço, causada por um pacote dependente chamado ring. Este crash pode ser induzido por um pacote especialmente manipulado e ocorre naturalmente aproximadamente a cada 1 em 2**32 pacotes enviados e/ou recebidos. O crash ocorre apenas quando a verificação de overflow em tempo de execução está habilitada. Durante sessões de transferência de arquivo do qcp, um atacante pode enviar um pacote especialmente manipulado para acionar este problema, resultando em um panic do Rust que aborta imediatamente a transferência. O impacto é limitado a uma única sessão, pois o qcp executa um processo separado para cada usuário conectado. O próprio protocolo qcp não depende de verificações de overflow em tempo de execução para sua segurança.

Recomendações Atualize para o qcp 0.3.3 ou posterior. Alternativamente, recompile o qcp localmente com as verificações de overflow em tempo de execução desabilitadas. Recompile o qcp localmente usando uma versão corrigida da dependência ring (0.17.12 ou posterior).