Plateforme
rust
Composant
libp2p-rendezvous
Corrigé dans
0.17.2
0.17.1
CVE-2026-35457 est une vulnérabilité de type Denial of Service (DoS) affectant libp2p-rendezvous. Un pair non authentifié peut provoquer une croissance mémoire illimitée en émettant des requêtes DISCOVER répétées. La version corrigée est 0.17.1.
La vulnérabilité CVE-2026-35457 dans rust-libp2p affecte le serveur de rendezvous, permettant à un attaquant non authentifié de déclencher une croissance illimitée de la mémoire. Cela est dû à l'absence de limites ou de politiques d'expiration pour les cookies de pagination stockés. Un attaquant peut envoyer de manière répétée des requêtes DISCOVER pour forcer la création continue de nouveaux cookies, consommant les ressources du serveur jusqu'à ce qu'il devienne instable ou subisse un déni de service. La sévérité est notée 8.2 selon le CVSS, indiquant un risque modérément élevé. L'absence de limites sur le stockage des cookies de pagination constitue une préoccupation majeure pour la stabilité et la disponibilité des réseaux utilisant libp2p.
Un attaquant peut exploiter cette vulnérabilité en envoyant un grand nombre de requêtes DISCOVER à un serveur de rendezvous. Chaque requête génère un nouveau cookie de pagination qui est stocké dans la mémoire du serveur. En raison de l'absence de limites, le serveur continuera à stocker des cookies indéfiniment, ce qui entraînera éventuellement un épuisement de la mémoire et un déni de service. L'attaquant n'a pas besoin d'authentification pour effectuer ces requêtes, ce qui facilite l'exploitation. L'efficacité de l'attaque dépend de la capacité de l'attaquant à envoyer des requêtes rapidement et de la quantité de ressources disponibles sur le serveur. Un audit de sécurité est recommandé pour identifier les points d'entrée potentiels et évaluer le risque.
Applications and services that rely on libp2p-rendezvous for peer discovery and networking are at risk. This includes decentralized applications (dApps), peer-to-peer file sharing systems, and any software utilizing the libp2p networking stack. Specifically, systems with limited memory resources are more vulnerable to DoS attacks.
• rust / library: Monitor memory usage of libp2p-rendezvous processes. Look for rapidly increasing memory consumption, especially during periods of high network activity.
• generic web: If libp2p-rendezvous is exposed via a web interface, monitor access logs for a high volume of DISCOVER requests originating from a single IP address.
# Example: Check for excessive DISCOVER requests in access logs
grep 'DISCOVER' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-35457 consiste à mettre à niveau vers la version 0.17.1 de rust-libp2p ou ultérieure. Cette version inclut une correction qui limite le nombre de cookies de pagination pouvant être stockés et expire les anciens cookies. De plus, il est recommandé de mettre en œuvre une surveillance des ressources du serveur pour détecter une utilisation inhabituelle de la mémoire. Si une mise à niveau immédiate n'est pas possible, une solution temporaire consiste à limiter le nombre de requêtes DISCOVER qu'un pair peut envoyer dans un laps de temps donné, bien que cela puisse affecter la fonctionnalité de découverte des pairs. Appliquer la mise à jour dès que possible est essentiel pour prévenir les attaques potentielles.
Actualice a la versión 0.17.1 o superior de libp2p-rust para mitigar el riesgo de agotamiento de la memoria. Esta versión corrige la vulnerabilidad al imponer límites en el almacenamiento de cookies de descubrimiento.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
libp2p est une bibliothèque modulaire pour la construction de réseaux peer-to-peer (P2P).
Les applications utilisant libp2p et dépendant du serveur de rendezvous peuvent être vulnérables à un déni de service si elles ne sont pas mises à niveau vers la version corrigée.
Mettez en œuvre des solutions temporaires telles que la limitation du taux de requêtes DISCOVER.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais la surveillance des ressources du serveur peut aider à identifier une utilisation inhabituelle de la mémoire.
Consultez le rapport de vulnérabilité CVE-2026-35457 et les notes de publication de rust-libp2p 0.17.1.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Cargo.lock et nous te dirons instantanément si tu es affecté.