libp2p-gossipsub: Gossipsub PRUNE Backoff Heartbeat Instant Overflow

libp2p-rust is de officiële Rust-taalimplementatie van de libp2p-netwerkstack. Voor versie 0.49.4 bevat de Rust libp2p Gossipsub-implementatie een op afstand bereikbare panic in de afhandeling van backoff-verloop. Nadat een peer een handmatig samengesteld PRUNE-controlebericht met een door de aanvaller beheerde, bijna maximale backoff-waarde verzendt, wordt de waarde geaccepteerd en opgeslagen als een Instant nabij de representeerbare bovengrens. Bij een latere heartbeat voert de implementatie niet-gecontroleerde Instant + Duration-rekenkunde (backoff_time + slack) uit, wat kan leiden tot een overflow en panic met: overflow when adding duration to instant. Dit probleem is bereikbaar vanaf elke Gossipsub-peer via normale TCP + Noise + mplex/yamux-connectiviteit en vereist geen verdere authenticatie dan het worden van een protocol-peer. Dit probleem is verholpen in versie 0.49.4.