Plattform
rust
Komponente
libp2p-rendezvous
Behoben in
0.17.2
0.17.1
CVE-2026-35457 describes a memory exhaustion vulnerability within the libp2p-rendezvous library. An attacker can repeatedly send DISCOVER requests, causing the rendezvous server to allocate unbounded memory due to a lack of eviction policies for pagination cookies. This can lead to a denial-of-service condition. The vulnerability impacts versions of libp2p-rendezvous before 0.17.1, and a fix is available in that version.
CVE-2026-35457 in rust-libp2p betrifft den Rendezvous-Server und ermöglicht einem nicht authentifizierten Angreifer, ein unbegrenztes Wachstum des Speichers auszulösen. Dies liegt an der fehlenden Begrenzung oder Ablaufrichtlinien für die gespeicherten Paginierungs-Cookies. Ein Angreifer kann wiederholt DISCOVER-Anfragen senden, um die kontinuierliche Erstellung neuer Cookies zu erzwingen, wodurch die Serverressourcen aufgebraucht werden, bis der Server instabil wird oder einen Denial-of-Service-Zustand erlebt. Die Schwere wird gemäß CVSS mit 8,2 bewertet, was ein moderat hohes Risiko anzeigt. Das Fehlen von Beschränkungen bei der Speicherung von Paginierungs-Cookies stellt ein ernstes Problem für die Stabilität und Verfügbarkeit von Netzwerken dar, die libp2p verwenden.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine große Anzahl von DISCOVER-Anfragen an einen Rendezvous-Server sendet. Jede Anfrage generiert einen neuen Paginierungs-Cookie, der im Speicher des Servers gespeichert wird. Aufgrund des Fehlens von Beschränkungen speichert der Server weiterhin Cookies unbegrenzt, was schließlich zu einer Speichererschöpfung und einem Denial-of-Service führt. Der Angreifer benötigt keine Authentifizierung, um diese Anfragen durchzuführen, was die Ausnutzung erleichtert. Die Effektivität des Angriffs hängt von der Fähigkeit des Angreifers ab, Anfragen schnell zu senden, und von der Menge an Ressourcen, die auf dem Server verfügbar sind. Eine Sicherheitsprüfung wird empfohlen, um potenzielle Einfallstore zu identifizieren und das Risiko zu bewerten.
Applications and services that rely on libp2p-rendezvous for peer discovery and networking are at risk. This includes decentralized applications (dApps), peer-to-peer file sharing systems, and any software utilizing the libp2p networking stack. Specifically, systems with limited memory resources are more vulnerable to DoS attacks.
• rust / library: Monitor memory usage of libp2p-rendezvous processes. Look for rapidly increasing memory consumption, especially during periods of high network activity.
• generic web: If libp2p-rendezvous is exposed via a web interface, monitor access logs for a high volume of DISCOVER requests originating from a single IP address.
# Example: Check for excessive DISCOVER requests in access logs
grep 'DISCOVER' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
Exploit-Status
EPSS
0.05% (16% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abmilderung für CVE-2026-35457 ist die Aktualisierung auf Version 0.17.1 von rust-libp2p oder höher. Diese Version enthält eine Korrektur, die die Anzahl der gespeicherten Paginierungs-Cookies begrenzt und ältere Cookies ablaufen lässt. Es wird außerdem empfohlen, die Serverressourcen zu überwachen, um ungewöhnliche Speichernutzung zu erkennen. Wenn ein sofortiges Upgrade nicht möglich ist, besteht eine vorübergehende Lösung darin, die Anzahl der DISCOVER-Anfragen zu begrenzen, die ein Peer innerhalb eines bestimmten Zeitraums senden kann, obwohl dies die Peer-Discovery-Funktionalität beeinträchtigen kann. Das so schnell wie möglich Anwenden des Updates ist entscheidend, um potenzielle Angriffe zu verhindern.
Actualice a la versión 0.17.1 o superior de libp2p-rust para mitigar el riesgo de agotamiento de la memoria. Esta versión corrige la vulnerabilidad al imponer límites en el almacenamiento de cookies de descubrimiento.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
libp2p ist eine modulare Bibliothek zum Aufbau von Peer-to-Peer (P2P)-Netzwerken.
Anwendungen, die libp2p verwenden und auf den Rendezvous-Server angewiesen sind, können einem Denial-of-Service ausgesetzt sein, wenn sie nicht auf die gepatchte Version aktualisiert werden.
Implementieren Sie vorübergehende Lösungen wie die Begrenzung der Rate von DISCOVER-Anfragen.
Derzeit gibt es keine spezifischen Tools, um diese Schwachstelle zu erkennen, aber die Überwachung der Serverressourcen kann helfen, ungewöhnliche Speichernutzung zu identifizieren.
Lesen Sie den Schwachstellenbericht CVE-2026-35457 und die Versionshinweise für rust-libp2p 0.17.1.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Cargo.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.