В заброшенной библиотеке async-tar и ее форках (включая tokio-tar) обнаружили опасную уязвимость, получившую название TARmageddon, которая позволяет удаленно выполнить произвольный код.
Проблема получила идентификатор CVE-2025-62518 и представляет собой логическую ошибку, вызванную десинхронизацией, которая дает неаутентифицированным атакующим возможность внедрять дополнительные записи в архив во время распаковки TAR-файлов.
Уязвимость проявляется при обработке вложенных TAR-архивов с несовпадающими заголовками ustar и PAX extended. Из-за бага парсер перескакивает в содержимое файла, принимает его за tar-заголовки и распаковывает файлы, подготовленные злоумышленником.
Специалисты компании Edera, обнаружившие уязвимость, объясняют, что атакующие могут эксплуатировать проблему для перезаписи файлов во время атак на цепочки поставок — подменять конфигурационные файлы и перехватывать контроль над системами сборки.
Основная опасность CVE-2025-62518 связана с тем, что уязвимость затрагивает не только проекты, использующие саму async-tar, но и tokio-tar — популярнейший форк, насчитывающий более 7 млн скачиваний на crates.io, который тоже заброшен разработчиками.
Хотя активные форки уже получили патчи, исследователи Edera предупреждают, что точно оценить масштаб проблемы невозможно из-за крайне широкого распространения прочих форков, включая tokio-tar.
«Из-за повсеместного использования tokio-tar в разных формах невозможно заранее точно оценить радиус поражения этого бага в экосистеме, — говорят в Edera. — Хотя поддерживаемые форки успешно пропатчены, этот случай подчеркивает серьезную системную проблему: чрезвычайно популярный tokio-tar остается неисправленным».
Так, проблема TARmageddon затрагивает множество популярных проектов, включая Binstalk, менеджер Python-пакетов uv от Astral, платформу wasmCloud, liboxen и опенсорсную библиотеку testcontainers.
Команда Edera сообщает, что связаться с разработчиками async-tar и tokio-tar оказалось крайне трудно, поскольку «ни у одного из проектов нет SECURITY.md или публичного способа связи». Специалистам пришлось прибегнуть к социальной инженерии и подключить к расследованию сообщество, чтобы найти нужных людей. В результате async-tar и astral-tokio-tar получили патчи, а популярнейший tokio-tar — нет.
Также разработчики некоторых зависимых проектов, с которыми связывались специалисты Edera, сообщили, что планируют удалить уязвимую зависимость или перейти на исправленный форк. Однако другие не ответили вовсе, и множество проектов могут использовать уязвимую библиотеку, даже не подозревая о проблеме.
В Edera советуют всем либо обновиться до пропатченной версии, либо немедленно удалить уязвимую зависимость от tokio-tar, который выглядит заброшенным. Исследователи рекомендуют перейти, например, на активно поддерживаемый форк astral-tokio-tar (является форком edera-dev/tokio-tar, который, в свою очередь, является форком vorot93/tokio-tar, который, в свою очередь, является форком dignifiedquire/async-tar, основанного на alexcrichton/tar-rs).
При этом собственный форк Edera (krata-tokio-tar) будет заархивирован, чтобы не создавать дополнительную путаницу в экосистеме.
