Ezen a héten vált nyilvánossá a CVE-2025-62518, közismert nevén TARmageddon, egy súlyos biztonsági sérülékenység a népszerű async-tar Rust könyvtárban és annak forkjaiban, például a tokio-tar-ban. A sérülékenység közvetett hatással van más szoftverekre is, például a Python uv csomagkezelőre és egyéb, a könyvtárat használó projektekre.

A probléma lényege

Az Edera biztonsági kutatócsapata fedezte fel a kritikus boundary-parsing hibát, amely lehetővé teszi a remote code execution (RCE) támadásokat fájlfelülíráson keresztül. A TARmageddon komoly veszélyt jelent, mivel a Rust nyelv memóriabiztonsági garanciái ellenére is sikerült létrehozni egy ilyen exploit lehetőséget.

A problémát súlyosbítja, hogy a tokio-tar gyakorlatilag elhanyagolt, nincs aktív upstream karbantartás. Emiatt az Edera decentralizált javítást szervezett a legfontosabb downstream forkokhoz, együttműködve a Binstalk, opa-wasm és más projektek fejlesztőivel.

Hatás és teendők

• Hatás: RCE lehetőség, fájlok felülírása támadó kontroll alatt, potenciális rendszerkárosodás.
• Érintett könyvtárak: async-tar, tokio-tar és ezek forkjai, uv Python csomagkezelő, más kapcsolódó projektek.
• Javítás: A decentralizált patch-ek és frissítések a legfontosabb forkokban már elérhetők. A fejlesztőknek és felhasználóknak azonnal érdemes frissíteniük a könyvtárak legújabb biztonságos verzióira.

További részletekért és a javítások követéséhez az Edera.dev blog nyújt tájékoztatást.