Дослідники Edera повідомили про критичну логічну помилку в закинутій бібліотеці async-tar та її форках, включно з популярною tokio-tar. Уразливість отримала назву TARmageddon та ідентифікатор CVE-2025-62518. Помилка дозволяє неавтентифікованому зловмиснику підмішувати додаткові записи в TAR-архів під час розпаковки, що створює передумови для віддаленого виконання коду (RCE) і компрометації середовищ збірки та розгортання.
Як працює атака: десинхронізація заголовків PAX і ustar
Проблема проявляється при розпаковці вкладених TAR-архівів з несумісними метаданими у заголовках ustar і PAX extended. Через помилку парсера відбувається зсув позицій: процес переходить у область даних файлу, інтерпретуючи їх як валідні заголовки TAR, після чого розпаковує підготовлені зловмисником «псевдозаписи». Це відкриває шлях до непомітного додавання файлів, перезапису конфігурацій, інжекції скриптів збірки і, зрештою, до захоплення контролю над робочим середовищем.
Масштаб впливу та уражені проєкти
Окрім вихідної async-tar, уразливою виявилася її найвідоміша гілка tokio-tar, яка має понад 7 млн завантажень на crates.io і теж не підтримується. Хоча активні форки вже отримали виправлення, складна мережа залежностей у Rust ускладнює оцінку реального «радіуса ураження».
Серед відомих дотичних екосистем і інструментів згадуються Binstalk, менеджер Python-пакетів uv від Astral, платформа wasmCloud, liboxen та бібліотека testcontainers. Частина команд анонсувала міграцію на пропатчені форки або відмову від уразливої залежності, однак деякі проєкти на момент публікації ще не надали відповіді.
Стан виправлень і координація відповідальності
Edera повідомляє про труднощі з комунікацією: у репозиторіях бракувало SECURITY.md та публічних контактів, що змусило залучати спільноту і використовувати соціальну інженерію для ескалації. Врешті патчі опубліковано для async-tar і astral-tokio-tar, однак найпоширеніший tokio-tar залишається без виправлення.
Edera рекомендує прибрати tokio-tar із залежностей та перейти на підтримувані альтернативи. Як безпечну заміну вказано astral-tokio-tar (ланцюжок форків: edera-dev/tokio-tar → vorot93/tokio-tar → dignifiedquire/async-tar → alexcrichton/tar-rs). Власний форк Edera, krata-tokio-tar, команда архівує, аби не посилювати фрагментацію.
Ризики для ланцюжків постачання та CI/CD
Найвищі ризики виникають там, де автоматично розпаковують архіви з реєстрів, кешів або сторонніх артефактів збірки. Вразливість може дозволити підмінити конфігурації, сценарії збірки й бінарні залежності, що призведе до компрометації агентів CI/CD та подальшого поширення шкідливих артефактів ланцюжком постачання.
Рекомендації щодо захисту
Для розробників
Міграція та фіксація версій: перейдіть з tokio-tar на astral-tokio-tar або приберіть уразливу залежність. Зафіксуйте версії (pin) і оновіть lock-файли.
Аудит залежностей: застосовуйте SCA-інструменти та SBOM, додайте політики блокування відомих уразливих пакетів і гілок, моніторте нові форки та дзеркала.
Безпечна розпаковка TAR: не розгортуйте недовірені архіви автоматично; виконуйте розпаковку у ізольованих каталогах/контейнерах з мінімальними привілеями та вимкненими виконуваними бітами за замовчуванням.
Контроль цілісності: перевіряйте підписи й хеші артефактів, використовуйте allowlist, обмежуйте слідування симлінкам і глибину вкладених архівів.
Для команд безпеки
Інвентаризація: перевірте кодову базу та артефакти на наявність async-tar/tokio-tar, включно з транзитивними залежностями.
Політики CI/CD: примусова перевірка цілісності, розпаковка у sandbox, журналювання та оповіщення про аномалії (наприклад, появу несподіваних записів під час екстракції).
Реагування: у разі підозри на експлуатацію — ротуйте секрети, перевипустіть артефакти з довірених джерел, проведіть форензик аналіз билд-агентів.
TARmageddon демонструє системну проблему залежності від закинутих бібліотек у критичному шляху збірки. Щоб знизити імовірність RCE-інцидентів, оновіть залежності до пропатчених форків, відмовтеся від автоматичної розпаковки недовірених архівів і запровадьте жорсткі політики цілісності в CI/CD. Прийняття цих кроків зараз зменшить ризики компрометації та зупинить каскадний вплив на ланцюжок постачання.
