nvd,anchore_overrides
Protocol
Уязвимости
28
Эксплуатируемые
0
Критический
1
Высокий
24
Топ продуктов
Топ уязвимостей
CVE-2020-12821Gossipsub 1.0 неправильно противостоит спаму недействительными сообщениями, таким как атака типа "затмение" или атака типа "сибилла".
CVE-2020-26283go-ipfs — это реализация IPFS с открытым исходным кодом на языке golang, представляющая собой глобальную файловую систему с контролем версий и одноранговой архитектурой. В go-ipfs до версии 0.8.0 управляющие символы не экранируются в выходных данных консоли. Это может привести к сокрытию ввода от пользователя, что может привести к совершению пользователем неизвестного вредоносного действия. Эта проблема устранена в версии 0.8.0.
CVE-2026-33040libp2p-rust - это официальный язык ржавчины Реализация сетевого стека libp2p. В версиях до 0.49.3 реализация Gossipsub принимает контролируемые злоумышленниками значения обратного отката и может выполнять неиспользованную арифметическую время при хранении заднего состояния. Специально созданное контрольное сообщение PREUN с чрезвычайно большим отступлением (например, u64::MAX) может привести к переливу Длительности / мгновенного перелива во время логики обновления обратного, вызывая панику в машине сетевого состояния. Это удаленно доступно по обычному соединению libp2p и не требует аутентификации. Любое приложение, разоблачающее слушателя libp2p Gossipsub и использующее затронутый путь обратного обращения, может быть сбито сетевым злоумышленником, который может достичь служебного порта. Атака может быть повторена путем повторного подключения и воспроизведения созданного управляющее сообщение. Эта проблема исправлена в версии 0.49.3.
CVE-2026-32314Yamux - это мультиплексор потока по надежным, упорядоченным соединениям, таким как TCP/IP. До 0,13.10 реализация Rust Yamux может паниковать при обработке созданной входящий кадр данных, который устанавливает SYN и использует длину тела, большую, чем ДЕФОЛТ_CREDIT (например, 262145). На первом пакете нового входящем потока создается состояние потока, и приемник ставится в очередь до завершения проверки негабаритного корпуса. Когда проверка не работает, временный поток удаляется, и очистка может вызвать удаление (....).expect(« поток не найден»), вызывая панику в машине состояния соединения. Это удаленно доступно в течение обычного сеанса Yamux и не требует аутентификации. Эта уязвимость исправлена в пункте 0.13.10.
CVE-2026-31814Yamux - это потоковый мультиплексор по сравнению с надежными упорядоченными соединениями, такими как TCP/IP. С 0,13,0 до 0,13,9, специально созданный WindowUpdate может вызвать арифметическое переполнение в учете окна отправки, что вызывает панику в машине состояния соединения. Это удаленно доступно по обычному сетевому соединению и не требует аутентификации. Эта уязвимость зафиксирована в пункте 0.13.9.
CVE-2026-35457libp2p-rust - это официальный язык ржавчины Реализация сетевого стека libp2p. До 0,17.1 сервер для сближения хранит пагинационные печенья без границ. Неаутентифицированный сверстник может неоднократно выдавать запросы DISCOVER и заставлять неограниченное развитие памяти. Эта уязвимость зафиксирована в пункте 0.17.1.
CVE-2026-34219libp2p-rust - это официальный язык ржавчины Реализация сетевого стека libp2p. До версии 0.49.4 реализация Rust libp2p Gossipsub содержит удаленно достижимую панику в обработке истечение срока действия. После того, как одноранговое посылает созданное сообщение о контроле PRUNE с контролируемым злоумышленником, почти максимальное обратное значение, значение принимается и хранится как мгновенный пункт вблизи представляющей верхней границы. При более позднем сердцебиении реализация выполняет неконтролируемую арифметику Instant + Duration (backoff_time + slack), которая может переполняться и паниковать с: переполнением при добавлении продолжительности на мгновение. Эта проблема доступна от любого Gossipsub, смотрового на обычный TCP + Noise + mplex/yamux, и не требует дальнейшей аутентификации, кроме как стать одноранговым. Эта проблема была исправлена в версии 0.49.4.
CVE-2020-26279go-ipfs - это реализация IPFS на golang с открытым исходным кодом, которая представляет собой глобальную файловую систему с контролем версий и одноранговой связью. В go-ipfs до версии 0.8.0-rc1 возможен обход пути с помощью DAG, содержащих относительные пути во время извлечения. Это может привести к перезаписи файлов или записи в неправильные выходные каталоги. Проблема может возникнуть только при выполнении get для затронутого DAG. Это исправлено в версии 0.8.0-rc1.
CVE-2026-46679libp2p - это JavaScript Реализация сетевого стека libp2p. До версии 15.0.23 три сотрудничающих упущения в @libp2p/gossipsub позволяют неаутентифицированному одноранговому автономию исчерпать кучу Node.js любого узла gossipsub с параметрами по умолчанию. Этот вопрос исправлен в версии 15.0.23.
CVE-2026-45783libp2p - это JavaScript Реализация сетевого стека libp2p. До версии 16.2.6 неаутентифицированный удаленный одноранговый аппарат может исчерпать дисковое хранилище любого узла @libp2p/kad-dht, работающего в режиме сервера, отправив безграничный поток сообщений PUT_VALUE, чьи клавиши обходят всю проверку контента. Никаких учетных данных, никаких предварительных отношений и никаких отклонений протокола за пределами созданного ключа не требуется. Хранилища данных узла жертвы заполняется до тех пор, пока хост-диск не будет исчерпан, что делает узел недоступным. Эта проблема была исправлена в версии 16.2.6.
CVE-2026-35405libp2p-rust - это официальный язык ржавчины Реализация сетевого стека libp2p. До 0,17.1 сервер libp2p-рендезву не имеет ограничений на количество пробелов имен, которые может зарегистрировать один одноранговый. Вредоносный одноранговый может просто продолжать регистрировать уникальные пространства имен в цикле, и сервер с радостью принимает каждую, выделяющую память для каждой регистрации без отката. Продолжайте делать это достаточно долго (или с несколькими сверстниками), и процесс сервера убивает OOM. Эта уязвимость зафиксирована в пункте 0.17.1.
CVE-2024-32984Yamux — это мультиплексор потоков по надежным упорядоченным соединениям, таким как TCP/IP. В реализации Rust мультиплексора потоков Yamux используется вектор для ожидающих кадров. Длина этого вектора не ограничена. Каждый раз, когда протокол Yamux требует отправки нового кадра, этот кадр добавляется в этот вектор. Это может быть запущено удаленно несколькими способами, например: 1. Открытие нового потока libp2p Identify. Это заставляет узел отправить свое сообщение Identify. Конечно, работает и любой другой протокол, вызывающий отправку данных. Чем больше ответ, тем больше данных ставится в очередь. 2. Отправка кадра Yamux Ping. Это приводит к постановке в очередь кадра Pong. При нормальных обстоятельствах эта очередь ожидающих кадров очищается после того, как они будут отправлены по сети. Однако злоумышленник может использовать механизм окна приема TCP, чтобы помешать жертве отправлять какие-либо данные: Не читая из TCP-соединения, окно приема никогда не будет увеличено, и жертва не сможет отправить какие-либо новые данные (именно так TCP реализует противодавление). Как только это произойдет, очередь ожидающих кадров Yamux начнет расти бесконечно. Очередь будет очищена только после закрытия базового TCP-соединения. Злоумышленник может вызвать у удаленного узла нехватку памяти, что приведет к прекращению соответствующего процесса операционной системой.
CVE-2023-40583libp2p — это сетевой стек и библиотека, выделенные из проекта IPFS и объединенные отдельно для использования другими инструментами. В go-libp2p, используя подписанные записи одноранговых узлов, злоумышленник может хранить произвольное количество данных в памяти удаленного узла. Эта память не очищается сборщиком мусора, поэтому у жертвы может закончиться память и произойти сбой. Если пользователи go-libp2p в рабочей среде не отслеживают потребление памяти с течением времени, это может быть тихой атакой, то есть злоумышленник может вывести из строя узлы в течение определенного периода времени (продолжительность зависит от ресурсов узла, то есть для вывода из строя узла go-libp2p на виртуальном сервере с 4 ГБ памяти требуется около 90 секунд; на большем сервере это может занять немного больше времени). Эта проблема была исправлена в версии 0.27.4.
CVE-2023-25568Boxo, ранее известный как go-libipfs, представляет собой библиотеку для создания приложений и реализаций IPFS. В версиях 0.4.0 и 0.5.0, если злоумышленник смогут выделить произвольное количество байт на сервере Bitswap, эти выделения сохраняются даже если соединение закрыто. Это затрагивает пользователей, принимающих недоверенные соединения с сервером Bitswap, а также затрагивает пользователей, использующих старые API-ножницы по адресу `github.com/ipfs/go-libipfs/bitswap`, так как пользователи тогда транзитивно импортируют `github.com/ipfs/go-libipfs/bitswap/server`. В Boxo версии 0.6.0 и 0.4.1 содержится патч для этой проблемы. В качестве обходного решения те, кто использует концепцию объекта в `github.com/ipfs/go-libipfs/bitswap`, не пользуясь функциями, предоставляемыми сервером, могут переработать свой код для использования нового разделенного API, который позволит им работать в клиентском режиме: `github.com/ipfs/go-libipfs/bitswap/client`.
CVE-2023-23631github.com/ipfs/go-unixfsnode — это ADL IPLD prime node, который оборачивает реализацию protobuf go-codec-dagpb, чтобы включить pathing. В версиях до 1.5.2 попытка чтения неправильно сформированных общих каталогов HAMT может вызвать панику и утечки виртуальной памяти.
Если вы читаете ненадежные пользовательские данные, злоумышленник может вызвать панику. Это вызвано фиктивным параметром fanout в узлах каталога HAMT. Пользователям рекомендуется обновиться. Обходных путей для этой уязвимости нет.
CVE-2023-23626go-bitfield — это простой пакет битовых полей для языка go, призванный быть более производительным, чем стандартная библиотека. При передаче ненадежного пользовательского ввода в параметр size функций `NewBitfield` и `FromBytes` злоумышленник может вызвать панику. Это происходит, когда `size` не кратно `8` или является отрицательным. В документации `NewBitfield` уже было примечание, однако известные пользователи этого пакета подвержены этой проблеме. Пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, должны убедиться, что `size` кратно 8, прежде чем вызывать `NewBitfield` или `FromBytes`.
CVE-2023-23625go-unixfs — это реализация файловой системы, подобной unix, поверх ipld merkledag. Попытка чтения неправильно сформированных общих каталогов HAMT может вызвать панику и утечки виртуальной памяти. Если вы читаете ненадежный пользовательский ввод, злоумышленник может вызвать панику. Это вызвано поддельным параметром `fanout` в узлах каталога HAMT. Пользователям рекомендуется обновиться до версии 0.4.3, чтобы решить эту проблему. Пользователи, которые не могут обновиться, не должны передавать ненадежные пользовательские данные в функции декодирования.
CVE-2023-22460go-ipld-prime — это реализация интерфейсов спецификации InterPlanetary Linked Data (IPLD), реализации кодеков IPLD для CBOR и JSON с включенными батареями и инструменты для основных операций с объектами IPLD. Кодирование данных, содержащих узел типа Bytes, передаст токен Bytes кодировщику JSON, который вызовет панику, поскольку он не ожидает получения токенов Bytes. Такое кодирование следует рассматривать как ошибку, поскольку обычный JSON не должен иметь возможности кодировать Bytes. Это влияет только на использование кодека `json`. `dag-json` не затрагивается. Использование `json` в качестве декодера не затрагивается. Эта проблема исправлена в версии v0.19.0. В качестве обходного пути можно предпочесть кодек `dag-json`, который имеет возможность кодировать байты.
CVE-2022-2584Кодек dag-pb может вызывать панику при декодировании недействительных блоков.
CVE-2022-23495go-merkledag реализует интерфейс 'DAGService' и добавляет два типа узлов ipld: Protobuf и Raw для проекта ipfs. `ProtoNode` может быть изменен таким образом, чтобы вызвать различные ошибки кодирования, которые вызовут панику при обычных вызовах методов, которые не допускают возврата ошибок. `ProtoNode` должен быть способен кодировать только в допустимый DAG-PB, попытка кодирования недопустимых форм DAG-PB приведет к ошибке от кодека. Манипулирование существующим (вновь созданным или декодированным) `ProtoNode` с использованием методов-модификаторов не учитывало определенные состояния, которые поместили бы `ProtoNode` в не кодируемую форму. Из-за соответствия интерфейсам [`github.com/ipfs/go-block-format#Block`](https://pkg.go.dev/github.com/ipfs/go-block-format#Block) и [`github.com/ipfs/go-ipld-format#Node`](https://pkg.go.dev/github.com/ipfs/go-ipld-format#Node) определенные методы, которые внутренне требуют повторного кодирования, если состояние изменилось, вызовут панику из-за невозможности возврата ошибки. Эта проблема была решена в ряде запросов на включение внесенных изменений. Пользователям рекомендуется обновиться до версии 0.8.1 для получения полного набора исправлений. Пользователи, которые не могут выполнить обновление, могут попытаться смягчить эту проблему путем очистки входных данных, разрешая пользовательский ввод для установки нового `CidBuilder` в `ProtoNode`, а также путем очистки значений `Tsize` (`Link#Size`), чтобы они имели разумный размер байтов для под-DAG, полученных из пользовательского ввода.
CVE-2022-23492go-libp2p - это официальная реализация libp2p на языке программирования Go. Версии `0.18.0` и более ранние версии go-libp2p уязвимы для целенаправленных атак, приводящих к истощению ресурсов. Эти атаки нацелены на подключение, поток, одноранговый узел и управление памятью libp2p. Злоумышленник может вызвать выделение больших объемов памяти, что в конечном итоге приведет к уничтожению процесса операционной системой хоста. Хотя менеджер подключений, которому поручено поддерживать количество подключений в разумных пределах, был частью go-libp2p, этот компонент был разработан для обработки регулярной смены одноранговых узлов, а не целенаправленной атаки, приводящей к истощению ресурсов. Пользователям рекомендуется обновить свою версию go-libp2p до версии `0.18.1` или новее. Пользователи, которые не могут обновиться, могут обратиться к странице смягчения последствий отказа в обслуживании (dos) для получения дополнительной информации о том, как внедрить стратегии смягчения последствий, отслеживать свое приложение и реагировать на атаки.
CVE-2022-23487js-libp2p - это официальная реализация сетевого стека libp2p на javascript. Версии js-libp2p старше `v0.38.0` уязвимы для целенаправленных атак, приводящих к истощению ресурсов. Эти атаки нацелены на подключение, поток, одноранговый узел и управление памятью libp2p. Злоумышленник может вызвать выделение больших объемов памяти, что в конечном итоге приведет к уничтожению процесса операционной системой хоста. Хотя менеджер подключений, которому поручено поддерживать количество подключений в разумных пределах, был частью js-libp2p, этот компонент был разработан для обработки регулярной смены одноранговых узлов, а не целенаправленной атаки, приводящей к истощению ресурсов. Пользователям рекомендуется обновить свою зависимость js-libp2p до `v0.38.0` или более поздней версии. Известных обходных путей для этой уязвимости не существует.
CVE-2022-23486libp2p-rust - это официальная реализация сетевого стека libp2p на языке rust. В версиях, предшествующих 0.45.1, узел злоумышленника может заставить узел жертвы выделить большое количество небольших блоков памяти, что в конечном итоге может привести к тому, что процесс жертвы исчерпает память и, следовательно, будет уничтожен его операционной системой. При непрерывном выполнении это может привести к атаке типа «отказ в обслуживании», что особенно актуально в большем масштабе при запуске против нескольких узлов сети на основе libp2p. Пользователям рекомендуется обновиться до `libp2p` `v0.45.1` или выше. Пользователям, которые не могут обновиться, следует обратиться к странице смягчения DoS для получения дополнительной информации о том, как внедрить стратегии смягчения последствий, отслеживать свое приложение и реагировать на атаки: https://docs.libp2p.io/reference/dos-mitigation/.
CVE-2020-35909В multihash crate до версии 0.11.3 для Rust обнаружена проблема. Код разбора from_slice может вызвать панику из-за необработанных данных с сетевого сервера.
CVE-2020-10937Проблема была обнаружена в IPFS (также известном как go-ipfs) 0.4.23. Злоумышленник может генерировать эфемерные удостоверения (сибиллы) и использовать систему репутации управления соединениями IPFS, чтобы отравлять таблицы маршрутизации других узлов, затмевая узлы, которые являются целью атаки, от остальной части сети. Более поздние версии, в частности go-ipfs 0.7, смягчают это.