从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Runtime crash when combining tail calls with stack traces - 发布者:alexcrichton - 漏洞编号:GHSA-q8hx-mm92-4wvg - 发布时间:2天前 2. 受影响的版本: - 受影响的版本:21.0.0, 21.0.1, 22.0.0, 23.0.0, 21.0.2, 22.0.1, 23.0.3, 24.0.1, 23.0.1, 23.0.2, 24.0.0, 25.0.0, 25.0.1 3. 修复版本: - 已修复的版本:21.0.2, 22.0.1, 23.0.3, 24.0.1, 25.0.2 4. 漏洞严重性: - 严重性:Moderate (5.5/10) 5. 漏洞描述: - Wasmtime的WebAssembly尾调用实现与堆栈跟踪结合时会导致运行时崩溃。在某些WebAssembly模块中,这种运行时崩溃可能是未定义的行为,如果Wasmtime编译时使用了Rust 1.80或更早版本。当Wasmtime编译时使用了Rust 1.81或更晚版本时,这种崩溃会成为确定性的进程崩溃。 6. 漏洞影响: - 这是一个拒绝服务漏洞,恶意的WebAssembly模块或组件可以导致主机崩溃。没有其他影响,除了服务的可用性,因为崩溃总是导致服务崩溃。 7. 发现方式: - 通过常规模糊测试发现,由Wasmtime项目通过Google的OSS-Fuzz基础设施进行。 8. 修复措施: - 所有默认启用尾调用的Wasmtime版本都已修复。 9. 工作绕过: - 主要工作绕过是禁用Wasmtime中的尾调用支持,例如使用 。用户被鼓励升级到已修复的版本。 10. 参考链接: - Wasmtime的初始实现中的尾调用 - 在21.0.0中启用尾调用 - 在22.0.0中完全启用尾调用 - WebAssembly的尾调用提案 这些信息提供了关于漏洞的详细描述、影响范围、发现方式、修复措施和工作绕过方法。