Când o bibliotecă de programare neîntreținută poate facilita un atac: un bug în async-tar și în fork-urile sale permite executarea de cod la distanță pe sisteme nepătrate. Vulnerabilitatea, descoperită de firma de securitate Edera, afectează și tokio-tar, un fork larg răspândit.
Edera a găsit o eroare de logică, înregistrată ca CVE-2025-62518, care apare la procesarea arhivelor TAR în interiorul altor TAR-uri. Mai precis, dacă un fișier TAR conține un alt TAR și antetele ustar și PAX nu se aliniază, parserul poate fi deraiat și să interpreteze conținutul unui fișier ca fiind antete TAR. Aceasta dă unui atacator neautentificat posibilitatea de a insera intrări suplimentare în arhivă și, în final, de a extrage fișiere create de atacator. Edera a numit problema TARmageddon. Formularea sună alarmant, dar esența e clară: nepotrivirea antetelor duce la confuzia parserului și la extragere neintenționată de fișiere periculoase.
Impactul este semnificativ: atacatorii pot suprascrie fișiere în lanțurile de aprovizionare software, înlocuind fișiere de configurare sau subvertind fluxuri de build, ceea ce deschide căi pentru compromiterea sistemelor. Problema nu se limitează la async-tar original; fork-ul tokio-tar, cu peste 7 milioane de descărcări pe crates.io, este și el abandonat și vulnerabil. Deși unele fork-uri active au primit deja remedieri, Edera avertizează că, din cauza multitudinii de variații ale tokio-tar, nu se poate estima precis aria afectată.
Mai multe proiecte cunoscute folosesc variante vulnerabile: Binstalk, managerul de pachete uv de la Astral, platforma wasmCloud, liboxen și biblioteca open-source testcontainers figurează printre cele menționate. Edera a contactat unele dintre aceste proiecte; unele au anunțat că vor elimina dependența vulnerabilă sau vor migra la un fork patch-uit, altele nu au răspuns, iar altele probabil nu au fost încă informate. Cazul reamintește că o bibliotecă aparent mică și neîntreținută poate produce efecte majore în ecosistemul software.
Recomandarea practică este clară: dezvoltatorii ar trebui să facă upgrade la o versiune patch-uită sau să elimine imediat dependența tokio-tar vulnerabilă. Edera recomandă migrarea la fork-ul astral-tokio-tar, care este în prezent activ întreținut. Pentru a reduce confuziile din ecosistem, Edera va arhiva propriul fork async-tar, krata-tokio-tar.
Detaliile tehnice ale CVE-2025-62518 scot în evidență o problemă mai largă: pachetele foarte populare, dar abandonate, pot rămâne profund integrate în proiecte diverse, iar identificarea și remedierea automată a tuturor instanțelor devine aproape imposibilă. Chiar și când apar patch-uri, aplicarea lor în lanțurile de build și în infrastructurile distribuite poate întârzia suficient încât atacatorii să exploateze vulnerabilitățile. Acest caz arată că menținerea activă a unui ecosistem software nu înseamnă doar scrierea de cod nou, ci și monitorizare, notificare și coordonarea remediilor la scară largă.
Edera a folosit eticheta TARmageddon pentru a evidenția potențialul impact asupra lanțurilor de aprovizionare, dar denumirea nu înlocuiește necesitatea de a acționa: actualizați sau eliminați dependențele, verificați build-urile care ambalează tar-uri în interiorul altor tar-uri și urmați recomandările furnizorilor de securitate. Ce proiect folosiți care ar putea depinde de tokio-tar și când veți verifica dependențele?
Fii primul care comentează