概要
Rust の 圧縮 ライブラリ lz4_flex に おいて、未初期化 メモリ が 出力 データ に 混入 する 脆弱性(CWE-201、CWE-823)が 存在 します。これ に より、プロセス メモリ 内 の 機密 情報 が 圧縮 出力 に 含まれて しまう 可能性 が あります。
Rust は メモリ 安全性 を 重視 する 言語 です が、unsafe コード ブロック や 最適化 処理 で この 種 の 問題 が 発生 する こと が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-201(情報 漏洩)、CWE-823(無効 ポインタ 使用) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| lz4_flex | 0.11.5 以下 / 0.12.0 以下 | GitHub コミット 参照 |
修正 バージョン と 回避策
- 修正 コミット を 含む バージョン に アップデート
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。