CRITICALCVE-2017-1000430CVSS 9.8

整数オーバーフローにより、encode_config_buf でヒープベースのバッファオーバーフローが発生する

Q: CVE-2017-1000430 — バッファオーバーフローのbase64 Rust crateとは何ですか？

CVE-2017-1000430は、Rustのbase64 crateのencode_config_bufおよびencode_config関数における整数オーバーフロー脆弱性です。入力文字列が大きすぎる場合にバッファオーバーフローが発生し、メモリ破壊につながる可能性があります。

プラットフォーム

rust

コンポーネント

base64

修正版

0.5.2

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2017-1000430は、Rustのbase64 crateにおけるバッファオーバーフロー脆弱性です。この脆弱性は、入力文字列が大きすぎる場合に、バッファのサイズを計算する際に整数オーバーフローが発生し、結果として、小さすぎるバッファが割り当てられる原因となります。この関数はunsafeコードを使用してバッファに書き込むため、攻撃者はバッファの境界を超えて書き込み、メモリ破壊を引き起こし、最終的には任意のコードを実行する可能性があります。影響を受けるバージョンは0.5.2より前のものです。バージョン0.5.2で修正されました。

影響と攻撃シナリオ

この脆弱性は、攻撃者がbase64エンコード処理中にバッファオーバーフローを引き起こすことを可能にします。これにより、攻撃者はメモリの内容を上書きし、プログラムの実行フローを制御し、最終的に任意のコードを実行する可能性があります。特に、このcrateが他のソフトウェアコンポーネントに組み込まれている場合、攻撃者はそのコンポーネント全体を侵害する可能性があります。メモリ破壊は、サービス拒否（DoS）攻撃、機密情報の漏洩、またはシステム制御の完全な喪失につながる可能性があります。この脆弱性の悪用は、メモリ破壊攻撃の一般的なパターンに類似しており、攻撃者はバッファオーバーフローを利用して、プログラムのセキュリティメカニズムをバイパスし、悪意のあるコードを実行します。

悪用の状況

CVE-2017-1000430は、CISA KEVカタログには登録されていません。公開されているPoCは確認されていませんが、整数オーバーフローの脆弱性は一般的に悪用が容易であり、将来的に悪用される可能性があります。この脆弱性は2017年5月3日に公開されました。NVD（National Vulnerability Database）も同じ日にエントリを作成しました。攻撃者は、この脆弱性を利用して、Rustアプリケーションを侵害し、機密情報を盗んだり、システムを制御したりする可能性があります。

リスク対象者翻訳中…

Applications written in Rust that utilize the base64 crate are at risk. This includes projects relying on base64 encoding for data transmission, storage, or authentication. Specifically, applications that handle untrusted input data without proper validation are particularly vulnerable.

検出手順翻訳中…

• rust/supply-chain:

cargo audit --target base64

• rust/supply-chain:

cargo tree | grep base64

• generic web: Inspect application logs for unusual memory access patterns or crashes related to base64 encoding operations. Look for errors indicating buffer overflows or memory corruption.

攻撃タイムライン

2017-05-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.48% (65% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントbase64

ベンダーosv

影響範囲修正版

—0.5.2

0.0.0-00.5.2

タイムライン

公開日2017-05-03
更新日2023-11-08
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な軽減策は、base64 Rust crateをバージョン0.5.2以降にアップグレードすることです。アップグレードがアプリケーションの互換性に影響を与える場合は、一時的な回避策として、入力文字列の長さを制限することを検討してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるbase64エンコードリクエストをブロックすることも有効です。この脆弱性の悪用を検出するために、メモリ破壊に関連する異常な動作を監視するIDS（侵入検知システム）ルールを作成することも推奨されます。アップグレード後、メモリ破壊の兆候がないか、base64エンコード処理を注意深く監視して、脆弱性が完全に修正されていることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2017-1000430 — バッファオーバーフローのbase64 Rust crateとは何ですか？

CVE-2017-1000430は、Rustのbase64 crateのencodeconfigbufおよびencode_config関数における整数オーバーフロー脆弱性です。入力文字列が大きすぎる場合にバッファオーバーフローが発生し、メモリ破壊につながる可能性があります。

CVE-2017-1000430のbase64 Rust crateの影響はありますか？

バージョン0.5.2より前のbase64 Rust crateを使用している場合は、影響を受けます。この脆弱性は、攻撃者が任意のコードを実行する可能性があります。

CVE-2017-1000430のbase64 Rust crateを修正するにはどうすればよいですか？

base64 Rust crateをバージョン0.5.2以降にアップグレードしてください。これにより、脆弱性が修正されます。

CVE-2017-1000430のbase64 Rust crateは積極的に悪用されていますか？

現時点では、公開されている悪用事例は確認されていませんが、整数オーバーフローの脆弱性は悪用が容易であるため、将来的に悪用される可能性があります。

CVE-2017-1000430のbase64 Rust crateの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、NVDデータベースで確認できます: https://nvd.nist.gov/vuln/detail/CVE-2017-1000430