प्लेटफ़ॉर्म
rust
घटक
libp2p-gossipsub
में ठीक किया गया
0.49.5
0.49.4
CVE-2026-34219 libp2p-gossipsub कार्यान्वयन में एक रिमोट पैनिक भेद्यता है। एक हमलावर एक विशेष रूप से तैयार किए गए PRUNE नियंत्रण संदेश के माध्यम से, इंस्टेंट ओवरफ्लो का कारण बन सकता है, जिससे सिस्टम में अनपेक्षित व्यवहार हो सकता है। यह भेद्यता libp2p-gossipsub के 0.49.4 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को 0.49.4 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावर को libp2p-gossipsub पीयर पर रिमोट कोड निष्पादन (RCE) प्राप्त करने की अनुमति दे सकती है, हालांकि यह प्रत्यक्ष नहीं है। एक सफल शोषण से सिस्टम अस्थिर हो सकता है, जिससे सेवा से इनकार (DoS) हो सकता है। हमलावर नेटवर्क पर अन्य पीयर्स को प्रभावित करने के लिए इस भेद्यता का उपयोग कर सकता है, जिससे संभावित रूप से व्यापक प्रभाव हो सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए महत्वपूर्ण है जो libp2p-gossipsub पर निर्भर करते हैं, जैसे कि पीयर-टू-पीयर नेटवर्क और वितरित सिस्टम। इस तरह के भेद्यता का शोषण नेटवर्क के भीतर डेटा की गोपनीयता और अखंडता को खतरे में डाल सकता है।
यह CVE अभी तक KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं: प्रकाशित: 2026-03-30।
Applications and services that rely on the libp2p-gossipsub library for peer discovery and message routing are at risk. This includes decentralized applications (dApps), blockchain networks, and any system utilizing the libp2p networking stack. Specifically, systems with limited input validation on network messages are more vulnerable.
• rust: Examine application logs for panic messages containing overflow when adding duration to instant.
println!("Checking for panic messages: overflow when adding duration to instant");• linux / server: Monitor system logs (journalctl) for processes using libp2p-gossipsub that crash with the specified error.
journalctl -u your_libp2p_app -g "overflow when adding duration to instant"• generic web: Monitor network traffic for unusual patterns of PRUNE messages with extremely large backoff values. Use tools like Wireshark to inspect packet contents.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34219 को कम करने के लिए, libp2p-gossipsub को 0.49.4 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनकमिंग PRUNE संदेशों पर सख्त इनपुट सत्यापन लागू करें, यह सुनिश्चित करते हुए कि backoff मान उचित सीमाओं के भीतर हैं। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके दुर्भावनापूर्ण PRUNE संदेशों को फ़िल्टर करने पर विचार करें। सिस्टम लॉग की नियमित रूप से निगरानी करें ताकि असामान्य व्यवहार का पता लगाया जा सके जो शोषण का संकेत दे सकता है।
rust-libp2p लाइब्रेरी को संस्करण 0.49.4 या उच्चतर में अपडेट करें। यह संस्करण Gossipsub में बैकऑफ़ एक्सपायरी हैंडलिंग में अंकगणितीय ओवरफ्लो भेद्यता को ठीक करता है। अपडेट तैयार किए गए PRUNE संदेशों के कारण होने वाले संभावित रिमोट पैनिक को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34219 libp2p-gossipsub कार्यान्वयन में एक भेद्यता है जो एक दुर्भावनापूर्ण संदेश के कारण इंस्टेंट ओवरफ्लो का कारण बन सकती है, जिससे रिमोट पैनिक हो सकता है।
यदि आप libp2p-gossipsub के 0.49.4 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
libp2p-gossipsub को 0.49.4 या बाद के संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार libp2p परियोजना की वेबसाइट पर उपलब्ध होना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Cargo.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।