Vulnerabilidad en libp2p-rust (CVE-2022-23486)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/12/2022

Última modificación:

14/07/2023

Descripción

libp2p-rust es la implementación oficial del lenguaje Rust de la pila de redes libp2p. En versiones anteriores a la 0.45.1, un nodo atacante puede hacer que un nodo víctima asigne una gran cantidad de pequeños fragmentos de memoria, lo que en última instancia puede provocar que el proceso de la víctima se quede sin memoria y, por lo tanto, su sistema operativo lo elimine. Cuando se ejecuta continuamente, esto puede conducir a un ataque de Denegación de Servicio (DoS), especialmente relevante a mayor escala cuando se ejecuta contra más de un nodo de una red basada en libp2p. Se recomienda a los usuarios actualizar a `libp2p` `v0.45.1` o superior. Los usuarios que no puedan actualizar deben consultar la página de Mitigación de DoS para obtener más información sobre cómo incorporar estrategias de mitigación, monitorizar su aplicación y responder a los ataques: https://docs.libp2p.io/reference/dos-mitigation/.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:protocol:libp2p::::::rust::*		0.45.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/libp2p/rust-libp2p/security/advisories/GHSA-jvgw-gccv-q5p8