Μια ευπάθεια υψηλής σοβαρότητας στην πλέον εγκαταλελειμμένη βιβλιοθήκη async-tar Rust και τα πιρούνια της μπορεί να αξιοποιηθεί για να επιτευχθεί απομακρυσμένη εκτέλεση κώδικα σε συστήματα που εκτελούν μη επιδιορθωμένο λογισμικό.
Παρακολούθηση ως CVE-2025-62518αυτό το λογικό ελάττωμα προκύπτει από ένα ζήτημα αποσυγχρονισμού που επιτρέπει σε μη επαληθευμένους εισβολείς να εισάγουν πρόσθετες εγγραφές αρχείου κατά την εξαγωγή αρχείου TAR.
Αυτό συμβαίνει ειδικά κατά την επεξεργασία ένθετων αρχείων TAR με αταίριαστες εκτεταμένες κεφαλίδες ustar και PAX, με αποτέλεσμα ο αναλυτής να μεταπηδήσει στο περιεχόμενο του αρχείου και να το μπερδέψει με κεφαλίδες tar, οδηγώντας στην εξαγωγή αρχείων που παρέχονται από τον εισβολέα.
Η Edera, η εταιρεία κυβερνοασφάλειας που ανακάλυψε την ευπάθεια και την μετονόμασε TARmageddonεξηγεί ότι οι φορείς απειλών μπορούν να την εκμεταλλευτούν για να αντικαταστήσουν αρχεία σε επιθέσεις εφοδιαστικής αλυσίδας αντικαθιστώντας αρχεία διαμόρφωσης και παραβιάζοντας backends build.
Αυτό το ελάττωμα ασφαλείας επηρεάζει όχι μόνο έργα που χρησιμοποιούν async-tar αλλά και tokio-tar, ένα εξαιρετικά δημοφιλές πιρούνι με πάνω από 7 εκατομμύρια λήψεις στο crates.io που έχει επίσης εγκαταλειφθεί.
Ενώ τα ενεργά πιρούνια έχουν ήδη μπαλωμένοο Edera λέει ότι δεν είναι δυνατό να εκτιμηθεί με ακρίβεια ο αντίκτυπος αυτής της ευπάθειας λόγω της διαδεδομένης φύσης των πιρουνιών του, συμπεριλαμβανομένου του tokio-tar.
“Λόγω της ευρέως διαδεδομένης φύσης του tokio-tar σε διάφορες μορφές, δεν είναι δυνατό να ποσοτικοποιηθεί πραγματικά εκ των προτέρων η ακτίνα έκρηξης αυτού του σφάλματος σε όλο το οικοσύστημα.” είπε η Εντέρα.
“Ενώ τα ενεργά πιρούνια έχουν επιδιορθωθεί επιτυχώς (δείτε επίσης το Astral Security Advisory), αυτή η αποκάλυψη υπογραμμίζει μια σημαντική συστημική πρόκληση: το tokio-tar με υψηλή λήψη παραμένει μη επιδιορθωμένο.”
Η ευπάθεια TARmageddon επηρεάζει πολλά έργα που χρησιμοποιούνται ευρέως, όπως το Binstalk, τον διαχειριστή πακέτων uv Python της Astral, την καθολική πλατφόρμα εφαρμογών wasmCloud, το liboxen και τη βιβλιοθήκη δοκιμαστικών κοντέινερ ανοιχτού κώδικα.
Ενώ ορισμένα από τα μεταγενέστερα έργα με τα οποία επικοινώνησε η Edera έχουν ανακοινώσει σχέδια για την κατάργηση της ευάλωτης εξάρτησης ή τη μετάβαση σε ένα διορθωμένο πιρούνι, άλλα δεν έχουν ανταποκριθεί και περισσότερα έργα που δεν έχουν ειδοποιηθεί πιθανότατα θα το χρησιμοποιούν επίσης.
Η Edera συμβουλεύει τους προγραμματιστές είτε να αναβαθμίσουν σε μια ενημερωμένη έκδοση είτε να αφαιρέσουν αμέσως την ευάλωτη εξάρτηση tokio-tar. Θα πρέπει να στραφούν στο ενεργά διατηρούμενο astral-tokio-tar fork εάν τα έργα τους εξαρτώνται από την ευάλωτη βιβλιοθήκη tokio-tar. Το πιρούνι ασύγχρονης πίσσας του Edera (krata-tokio-tar) θα αρχειοθετηθεί για να μειωθεί η σύγχυση στο οικοσύστημα.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
