rustls-webpki 0.103.12 にCRLパース時の到達可能パニック -- tauri-plugin-updater経路でDoS脆弱性（RUSTSEC-2026-0104）

Rust暗号ライブラリ群に深刻な脆弱性が確認された。`rustls-webpki 0.103.12`における証明失効リスト（CRL）のパース処理に到達可能なパニックが存在し、RUSTSEC-2026-0104としてアドバイザリが発行されている。この脆弱性は、Tauri製デスクトップアプリケーションの自動更新機構である`tauri-plugin-updater`を通じて実際に悪用される恐れがあり、アップデータが起動時にTLSハンドシェイクとCRL検証を行う際に、悪意あるまたは破損したサーバー証明書・CRLを返すMITM攻撃やリリース配信元の乗っ取りにより、アップデータのクラッシュを引き起こすDoS状態を実現できる。

依存ツリーの分析によると、`rustls-webpki 0.103.12`は`rustls-platform-verifier 0.6.2`経由で`reqwest 0.13.2`に組み込まれ、さらに`tarp-plugin-updater 2.10.1`と`tauri 2.10.3`がこれに依存している。アップデーターはアプリケーション起動時に自動的に実行される設計のため、攻撃者は更新プロセスを永続的に妨害できる立場を得る。具体的な攻撃成功の条件や現時点での実害報告は未確認だが、`cargo audit`による静的解析で本脆弱性が検出済みであり、修正済みバージョンへの移行が強く推奨される状態にある。

修正バージョンは`>=0.103.13, <0.104.0-alpha.1`または`>=0.104.0-alpha.7`へのアップグレードが示されている。RustSecアドバイザリではURL https://rustsec.org/advisories/RUSTSEC-2026-0104 にて詳細が公開されており、影響を受けるプロジェクトの依存関係ツリーの見直しと、Cargo.lockの更新が急務となる。Tauriを利用しており自動更新機能を実装している開発者は特に注意が必要で、リリース配信インフラのセキュリティ状態も同時に確認すべきと警告されている。