libp2p-rust — официальный язык Rust. Реализация сетевого стека libp2p. До версии 0.17.1 сервер рандеву хранил файлы cookie разбивки на страницы без ограничений.
Неаутентифицированный узел может неоднократно выдавать запросы DISCOVER и вызывать неограниченный рост памяти. Эта уязвимость исправлена в версии 0.17.1.
Показать оригинальное описание (EN)
libp2p-rust is the official rust language Implementation of the libp2p networking stack. Prior to 0.17.1, the rendezvous server stores pagination cookies without bounds. An unauthenticated peer can repeatedly issue DISCOVER requests and force unbounded memory growth. This vulnerability is fixed in 0.17.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1