Investigadores de Edera revelaron una vulnerabilidad crítica en la biblioteca abandonada async‑tar y varios forks, incluido el popular tokio‑tar. El fallo, denominado TARmageddon e identificado como CVE‑2025‑62518, permite a un atacante no autenticado inyectar entradas adicionales en un archivo TAR durante la extracción, posibilitando la ejecución remota de código (RCE) cuando los artefactos resultantes se consumen en procesos de compilación o despliegue automatizados.
Cómo se explota: desincronización de cabeceras PAX y ustar en archivos TAR
El error aparece al procesar archivos TAR anidados con metadatos inconsistentes entre las cabeceras ustar y PAX extended. Un fallo en el parser provoca una desincronización: el extractor “salta” a la región de datos del archivo y interpreta bytes de contenido como cabeceras TAR válidas. Un atacante puede preparar “pseudoentradas” que el extractor tratará como ficheros legítimos, permitiendo introducir o sobrescribir archivos de forma silenciosa.
En entornos de CI/CD y cadenas de suministro, esta técnica facilita la sustitución de scripts de build, configuraciones o binarios cacheados. El impacto práctico incluye escalada de privilegios en agentes de construcción y propagación de componentes manipulados a etapas posteriores del pipeline. La situación recuerda a incidentes históricos de extracción insegura de archivos comprimidos, como Zip Slip (Snyk, 2018), donde parsers laxos derivaron en sobrescrituras y ejecución imprevista.
Alcance en el ecosistema Rust y proyectos afectados
Además de async‑tar, su fork más difundido, tokio‑tar (con más de 7 millones de descargas en crates.io), también es vulnerable y se encuentra sin mantenimiento. Algunos forks activos ya publicaron parches, pero la extensa red de dependencias transitorias dificulta estimar el alcance real.
Entre los ecosistemas y herramientas potencialmente impactados se mencionan Binstalk, el gestor de paquetes Python uv (Astral), la plataforma wasmCloud, liboxen y la biblioteca testcontainers. Varias organizaciones han anunciado planes de migración a ramas corregidas o la eliminación de la dependencia vulnerable; otras aún no han comunicado medidas, lo que mantiene un riesgo latente.
Estado de los parches, coordinación y forks seguros
Según Edera, la coordinación fue compleja por la ausencia de SECURITY.md y contactos públicos, requiriendo movilización comunitaria. Se han publicado parches para async‑tar y astral‑tokio‑tar, pero tokio‑tar continúa sin corrección. Se recomienda migrar a astral‑tokio‑tar como reemplazo seguro (cadena de forks: edera‑dev/tokio‑tar → vorot93/tokio‑tar → dignifiedquire/async‑tar → alexcrichton/tar‑rs). El fork krata‑tokio‑tar de Edera será archivado para evitar mayor fragmentación.
Riesgos para CI/CD y cadena de suministro de software
Los vectores de riesgo incluyen la extracción automática de artefactos TAR desde registros externos, cachés y repositorios de dependencias. La inyección de archivos durante la extracción permite reemplazar configuraciones, insertar hooks de compilación y modificar dependencias binarias, con posibilidad de RCE si los artefactos inyectados se ejecutan o se cargan con privilegios en etapas posteriores.
Mitigación y buenas prácticas de seguridad
Para equipos de desarrollo
Migración inmediata: elimine tokio‑tar y adopte astral‑tokio‑tar u otro fork mantenido; fije versiones y regenere los lockfiles. Auditoría de dependencias: utilice SCA y SBOM para detectar usos directos y transitivos; añada reglas de denylist para paquetes y ramas vulnerables. Extracción segura: no descomprima archivos no confiables automáticamente; extraiga en contenedores/sandboxes con mínimos privilegios, umask restrictiva, sin heredar propietarios y con ejecución deshabilitada por defecto. Integridad: verifique firmas y hashes, aplique allowlists, limite symlinks y el manejo de archivos TAR anidados.
Para equipos de seguridad
Inventario y monitoreo: localice async‑tar/tokio‑tar en código y pipelines, incluya dependencias transitivas y forks. Políticas CI/CD: ejecute la extracción en sandbox con registro detallado; alerte por anomalías, como aparición de entradas inesperadas o desalineación de cabeceras. Respuesta: ante indicios de explotación, rote secretos, reconstruya artefactos con fuentes confiables y realice forensia en agentes de build.
El caso TARmageddon evidencia un problema estructural: bibliotecas críticas abandonadas persisten en la cadena de suministro durante años. Para reducir el riesgo de RCE, migre hoy a forks soportados, desactive la extracción automática de archivos no confiables y fortalezca los controles de integridad en CI/CD. Cuanto antes se adopten estas medidas, menor será la superficie de ataque y el coste de una posible intrusión.
