Wasmtime GHSA-q8hx-mm92-4wvg DoS via tail calls and stack traces

このウェブページのスクリーンショットから、脆弱性に関する以下の主要情報を抽出できます： 1. 脆弱性情報： - 脆弱性名称：Tail callsとスタックトレースを組み合わせるとランタイムクラッシュが発生する - 報告者：alexcrichton - 脆弱性ID：GHSA-q8hx-mm92-4wvg - 公開日：2日前 2. 影響を受けるバージョン： - 影響バージョン：21.0.0, 21.0.1, 22.0.0, 23.0.0, 21.0.2, 22.0.1, 23.0.3, 24.0.1, 23.0.1, 23.0.2, 24.0.0, 25.0.0, 25.0.1 3. 修正済みバージョン： - 修正バージョン：21.0.2, 22.0.1, 23.0.3, 24.0.1, 25.0.2 4. 脆弱性の深刻度： - 深刻度：Moderate (5.5/10) 5. 脆弱性の概要： - WasmtimeのWebAssemblyでの尾呼び出し（tail calls）実装とスタックトレースを組み合わせると、ランタイムクラッシュが発生します。Rust 1.80またはそれ以前のバージョンでWasmtimeがコンパイルされている場合、特定のWebAssemblyモジュールではこのランタイムクラッシュが未定義動作となる可能性があります。一方、Rust 1.81以降のバージョンでWasmtimeがコンパイルされている場合、このクラッシュは決定論的なプロセスクラッシュとなります。 6. 脆弱性の影響： - これは拒否サービス（DoS）脆弱性であり、悪意のあるWebAssemblyモジュールまたはコンポーネントがホストのクラッシュを引き起こす可能性があります。クラッシュが常にサービス全体のクラッシュにつながることから、サービスの可用性以外の影響はありません。 7. 発見経緯： - WasmtimeプロジェクトはGoogleのOSS-Fuzzインフラストラクチャを通じて、従来のファジングによって本脆弱性を発見しました。 8. 修正状況： - 尾呼び出し機能がデフォルトで有効になっているすべてのWasmtimeのバージョンが修正されています。 9. 回避策： - 主な回避策は、Wasmtimeの尾呼び出しサポートを無効にすることです（例： を使用）。ユーザーには修正済みバージョンへのアップグレードが推奨されます。 10. 参考リンク： - Wasmtimeにおける初期の尾呼び出しの実装 - バージョン21.0.0での尾呼び出しの有効化 - バージョン22.0.0での尾呼び出しの完全有効化 - WebAssemblyにおける尾呼び出しのプロポーザル これらの情報は、脆弱性の詳細な概要、影響範囲、発見経緯、修正状況および回避策を提供しています。

目標達成すべての支援者に感謝 — 100%達成しました！

Wasmtime GHSA-q8hx-mm92-4wvg DoS via tail calls and stack traces

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Wasmtime GHSA-q8hx-mm92-4wvg DoS via tail calls and stack traces

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！