Cusboonaysiinta saxda ah ee Wasmtime 6.0.1, 5.0.1 iyo 4.0.1 ayaa hagaajisay dayacanka (CVE-2023-26489), kaas oo loo qoondeeyay heer halis ah. Nuglaanta waxay ogolaataa in xogta lagu qoro meel xusuusta ka baxsan xadka loo ogol yahay koodka WebAssembly go'doonsan, kaas oo laga yaabo inuu isticmaalo weeraryahan si uu u fuliyo koodkiisa meel ka baxsan deegaanka go'doonsan ee WASI.
Wasmtime waa runtime loogu talagalay socodsiinta codsiyada WebAssembly ee leh WASI (WebAssembly System Interface) kordhinta sida codsiyo gooni-gooni ah oo joogto ah. Qalabka qalabku wuxuu ku qoran yahay luqadda Rust, nuglaantana waxaa sababa qalad macquul ah oo lagu qeexayo qawaaniinta wax ka qabashada xusuusta tooska ah ee koodhka Cranelift, kaas oo ka tarjumaya matalaad dhexdhexaad ah oo ka madax banaan qaab-dhismeedka qalabka dhismaha koodka mashiinka la fulin karo ee x86_64 naqshadaha.
Gaar ahaan, codsiyada WebAssembly, cinwaanada waxtarka leh ee 35-bit ayaa la xisaabiyay halkii laga isticmaali lahaa cinwaannada 33-bit ee loo oggol yahay WebAssembly, taas oo u rogtay xadka xusuusta casriga ah ee loo oggol yahay in la akhriyo oo la qoro 34 GB, halka goobaha deegaanka ee sandbox ay ilaalinayaan 6 GB ka yimid ciwaanka saldhiga. Natiijo ahaan, xusuusta dalwaddu waxay u dhaxaysaa 6 ilaa 34 GB laga bilaabo ciwaanka salka ayaa diyaar u ah akhrinta iyo qorista codsiyada WebAssembly. Xusuustaani waxay martigelin kartaa bey'adaha kale ee WebAssembly ama Qaybaha Runtime WebAssembly.
Haddii aysan suurtagal ahayn in la cusboonaysiiyo nooca Wasmtime-ka, habka looga hortagayo khaladka waa in la qeexo "Config:: static_memory_maximum_size(0)" si loo suurtageliyo in la hubiyo soohdin gaar ah dhammaan gelitaanka xusuusta tooska ah (taasoo keentay ciqaab waxqabad oo muhiim ah) . Ikhtiyaar kale ayaa ah in la isticmaalo goobta "Config :: static_memory_guard_size (1 <36)" si loo kordhiyo tirada boggaga ilaaliyaha (marka laga reebo la tuuro marka la galo) oo lagu dhejiyo qiyaasta xusuusta farsamada ee dhibaatada leh (taasoo keentay kaydinta qadar badan oo xusuusta farsamada ah iyo xaddidaya tirada isku mar ku socota codsiyada WebAssembly).
Source: opennet.ru