TARmageddon漏洞：废弃Rust库中的高危漏洞可导致远程代码执行

在现已废弃的async-tar Rust库及其分支中发现了一个高危漏洞，攻击者可利用此漏洞在运行未修补软件的系统上实现远程代码执行。

该漏洞被追踪为CVE-2025-62518，是一个逻辑缺陷，源于异步问题，允许未经身份验证的攻击者在TAR文件提取过程中注入额外的归档条目。这种情况特别发生在处理嵌套TAR文件且ustar和PAX扩展头不匹配时，会导致解析器跳转到文件内容并将其误认为tar头，从而提取攻击者提供的文件。

发现此漏洞并将其命名为TARmageddon的网络安全公司Edera解释说，威胁行为者可以利用此漏洞在供应链攻击中覆盖文件，通过替换配置文件并劫持构建后端。

此安全漏洞不仅影响使用async-tar的项目，还影响tokio-tar——这是一个在crates.io上拥有超过700万次下载的极其流行的分支，但同样已被废弃。

虽然活跃分支已被修补，但Edera表示由于包括tokio-tar在内的分支广泛存在，无法准确估计此漏洞的影响。

“由于tokio-tar以各种形式广泛存在，无法真正预先量化此漏洞在整个生态系统中的影响范围，“Edera表示。“虽然活跃分支已成功修补（另见Astral安全公告），但此披露突显了一个重大的系统性挑战：高下载量的tokio-tar仍然未修补。”

TARmageddon漏洞影响许多广泛使用的项目，包括Binstalk、Astral的uv Python包管理器、wasmCloud通用应用平台、liboxen和开源testcontainers库。

虽然Edera联系的一些下游项目已宣布计划移除易受攻击的依赖项或切换到已修补的分支，但其他项目尚未回应，且可能有更多未收到通知的项目也在使用它。

Edera建议开发者要么升级到已修补版本，要么立即移除易受攻击的tokio-tar依赖项。如果他们的项目依赖于易受攻击的tokio-tar库，应切换到主动维护的astral-tokio-tar分支。Edera的async-tar分支（krata-tokio-tar）将被归档，以减少生态系统中的混淆。