One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8374688 |
| Date de publication | 2023-08-25 21:15:09 (vue: 2023-08-25 23:06:56) |
| Titre | CVE-2023-40583 |
| Texte | libp2p est une pile réseau et une bibliothèque modularisées à partir du projet IPFS et regroupées séparément pour que d'autres outils puissent être utilisés.Dans go-libp2p, en utilisant des enregistrements homologues signés, un acteur malveillant peut stocker une quantité arbitraire de données dans la mémoire d'un nœud distant.Cette mémoire n'est pas récupérée et la victime peut donc manquer de mémoire et planter.Si les utilisateurs de go-libp2p en production ne surveillent pas la consommation de mémoire au fil du temps, il pourrait s'agir d'une attaque silencieuse, c'est-à-dire que l'attaquant pourrait faire tomber les nœuds sur une période de temps (la durée dépend des ressources du nœud, c'est-à-dire un nœud go-libp2p sur unUn serveur virtuel avec 4 Go de mémoire prend environ 90 secondes pour s'arrêter ; sur un serveur plus grand, cela peut prendre un peu plus de temps.) Ce problème a été corrigé dans la version 0.27.4.
libp2p is a networking stack and library modularized out of The IPFS Project, and bundled separately for other tools to use. In go-libp2p, by using signed peer records a malicious actor can store an arbitrary amount of data in a remote node’s memory. This memory does not get garbage collected and so the victim can run out of memory and crash. If users of go-libp2p in production are not monitoring memory consumption over time, it could be a silent attack i.e. the attacker could bring down nodes over a period of time (how long depends on the node resources i.e. a go-libp2p node on a virtual server with 4 gb of memory takes about 90 sec to bring down; on a larger server, it might take a bit longer.) This issue was patched in version 0.27.4. |
| Envoyé | Oui |
| Condensat | 2023 40583 about actor amount arbitrary are attack attacker bit bring bundled can collected consumption could crash cve data depends does down down; garbage get how ipfs issue larger libp2p library long longer malicious memory might modularized monitoring networking node nodes node’s not other out over patched peer period production project records remote resources run sec separately server signed silent stack store take takes time tools use users using version victim virtual |
| Tags | Tool |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.