प्लेटफ़ॉर्म
rust
घटक
libp2p-rendezvous
में ठीक किया गया
0.17.2
0.17.1
CVE-2026-35457 libp2p-rendezvous में एक भेद्यता है जहाँ Rendezvous सर्वर बिना सीमा के पेजिंग कुकीज़ संग्रहीत करता है। एक अनधिकृत पीयर बार-बार DISCOVER अनुरोध भेजकर असीमित मेमोरी वृद्धि को मजबूर कर सकता है। यह भेद्यता libp2p-rendezvous के संस्करणों को प्रभावित करती है। 0.17.1 में एक फिक्स जारी किया गया है।
rust-libp2p में CVE-2026-35457 rendezvous सर्वर को प्रभावित करता है, जिससे एक अनधिकृत हमलावर असीमित मेमोरी वृद्धि को ट्रिगर कर सकता है। यह संग्रहीत पृष्ठनेशन कुकीज़ के लिए सीमाओं या समाप्ति नीतियों की कमी के कारण होता है। एक हमलावर बार-बार DISCOVER अनुरोध भेजकर नए कुकीज़ के निरंतर निर्माण को मजबूर कर सकता है, जिससे सर्वर संसाधनों का उपयोग होता है, जिसके परिणामस्वरूप सर्वर अस्थिर हो जाता है या सेवा से इनकार करता है। CVSS के अनुसार गंभीरता को 8.2 के रूप में रेट किया गया है, जो मध्यम से उच्च जोखिम का संकेत देता है। पृष्ठनेशन कुकीज़ के भंडारण के लिए सीमाओं की कमी libp2p का उपयोग करने वाले नेटवर्क की स्थिरता और उपलब्धता के लिए एक गंभीर चिंता का विषय है।
एक हमलावर rendezvous सर्वर को DISCOVER अनुरोधों की बड़ी संख्या भेजकर इस भेद्यता का फायदा उठा सकता है। प्रत्येक अनुरोध एक नया पृष्ठनेशन कुकी उत्पन्न करता है जिसे सर्वर मेमोरी में संग्रहीत किया जाता है। सीमाओं की कमी के कारण, सर्वर अनिश्चित काल तक कुकीज़ संग्रहीत करता रहेगा, जिससे अंततः मेमोरी की कमी और सेवा से इनकार होगा। हमलावर को इन अनुरोधों को निष्पादित करने के लिए प्रमाणीकरण की आवश्यकता नहीं होती है, जिससे शोषण आसान हो जाता है। हमले की प्रभावशीलता हमलावर की अनुरोधों को जल्दी से भेजने की क्षमता और सर्वर पर उपलब्ध संसाधनों की मात्रा पर निर्भर करती है। संभावित प्रवेश बिंदुओं की पहचान करने और जोखिम का आकलन करने के लिए सुरक्षा ऑडिट की सिफारिश की जाती है।
Applications and services that rely on libp2p-rendezvous for peer discovery and networking are at risk. This includes decentralized applications (dApps), peer-to-peer file sharing systems, and any software utilizing the libp2p networking stack. Specifically, systems with limited memory resources are more vulnerable to DoS attacks.
• rust / library: Monitor memory usage of libp2p-rendezvous processes. Look for rapidly increasing memory consumption, especially during periods of high network activity.
• generic web: If libp2p-rendezvous is exposed via a web interface, monitor access logs for a high volume of DISCOVER requests originating from a single IP address.
# Example: Check for excessive DISCOVER requests in access logs
grep 'DISCOVER' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35457 के लिए प्राथमिक शमन rust-libp2p के संस्करण 0.17.1 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो संग्रहीत पृष्ठनेशन कुकीज़ की संख्या को सीमित करता है और पुरानी कुकीज़ को समाप्त करता है। इसके अतिरिक्त, असामान्य मेमोरी उपयोग का पता लगाने के लिए सर्वर संसाधनों की निगरानी करने की सिफारिश की जाती है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान एक निश्चित समय सीमा के भीतर एक सहकर्मी द्वारा भेजे जा सकने वाले DISCOVER अनुरोधों की संख्या को सीमित करना है, हालांकि इससे सहकर्मी खोज कार्यक्षमता प्रभावित हो सकती है। संभावित हमलों को रोकने के लिए जितनी जल्दी हो सके अपडेट लागू करना महत्वपूर्ण है।
Actualice a la versión 0.17.1 o superior de libp2p-rust para mitigar el riesgo de agotamiento de la memoria. Esta versión corrige la vulnerabilidad al imponer límites en el almacenamiento de cookies de descubrimiento.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
libp2p पीयर-टू-पीयर (P2P) नेटवर्क बनाने के लिए एक मॉड्यूलर लाइब्रेरी है।
Rendezvous सर्वर पर निर्भर करने वाले और पैच किए गए संस्करण में अपग्रेड नहीं किए गए libp2p का उपयोग करने वाले अनुप्रयोग सेवा से इनकार के प्रति संवेदनशील हो सकते हैं।
DISCOVER अनुरोधों की दर को सीमित करने जैसे अस्थायी समाधानों को लागू करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन सर्वर संसाधन निगरानी असामान्य मेमोरी उपयोग की पहचान करने में मदद कर सकती है।
CVE-2026-35457 भेद्यता रिपोर्ट और rust-libp2p 0.17.1 के रिलीज़ नोट्स देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Cargo.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।