Vulnerabilidad en go-libp2p (CVE-2022-23492)

go-libp2p es la implementación oficial de libp2p en el lenguaje de programación Go. La versión `0.18.0` y anteriores de go-libp2p son vulnerables a ataques de agotamiento de recursos dirigidos. Estos ataques tienen como objetivo la gestión de conexión, flujo, pares y memoria de libp2p. Un atacante puede provocar la asignación de grandes cantidades de memoria, lo que en última instancia lleva a que el sistema operativo del host elimine el proceso. Si bien un administrador de conexiones encargado de mantener la cantidad de conexiones dentro de los límites manejables ha sido parte de go-libp2p, este componente fue diseñado para manejar la rotación regular de pares, no un ataque de agotamiento de recursos dirigido. Se recomienda a los usuarios que actualicen su versión de go-libp2p a la versión `0.18.1` o más reciente. Los usuarios que no puedan actualizar pueden consultar la página de mitigación de Denegación de Servicio (DoS) (dos) para obtener más información sobre cómo incorporar estrategias de mitigación, monitorizar su aplicación y responder a los ataques.