Wasmtime — это среда выполнения WebAssembly. В версиях от 38.0.0 до 38.0.3 реализация связанных с моделью компонентов батутов хост-wasm в Wasmtime содержала ошибку, из-за которой можно было тщательно создать компонент, который при вызове определенным образом приводил к сбою хоста с ошибкой сегмента или сбоем подтверждения. Выпущена версия Wasmtime 38.0.3, в которую внесены исправления, устраняющие эту проблему.
Обходных путей нет.
Показать оригинальное описание (EN)
Wasmtime is a runtime for WebAssembly. In versions from 38.0.0 to before 38.0.3, the implementation of component-model related host-to-wasm trampolines in Wasmtime contained a bug where it's possible to carefully craft a component, which when called in a specific way, would crash the host with a segfault or assert failure. Wasmtime 38.0.3 has been released and is patched to fix this issue. There are no workarounds.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Bytecodealliance Wasmtime
cpe:2.3:a:bytecodealliance:wasmtime:*:*:*:*:*:rust:*:*
|
38.0.0
|
38.0.3
|