TARmageddon
Az Edera.dev biztonsági kutatói fedtek fel egy súlyos biztonsági sérülékenységet, amelyet TARmageddon néven (CVE-2025-62518) azonosítottak. A hiba a népszerű async-tar Rust könyvtárban és annak számos forkjában, például a tokio-tar-ban jelentkezett, és lehetővé teszi a távollról végrehajtott kód (RCE) támadásokat fájlfelülíráson keresztül. A probléma lényege, hogy a könyvtárban található határfeldolgozási hiba miatt a támadók képesek voltak manipulálni a TAR archívumok fejezetét, így káros kódot juttathattak be a rendszerbe, vagy kritikus konfigurációs fájlokat cserélhettek le.
A TARmageddon különösen veszélyes, mert a Rust nyelv memóriabiztonsági garanciái ellenére is sikerült létrehozni egy ilyen exploit lehetőséget. A helyzetet súlyosbítja, hogy a tokio-tar könyvtár gyakorlatilag elhanyagolt, nincs aktív karbantartója, így a hiba nem kaphatott hivatalos javítást az eredeti forrásból. Az Edera kutatói ezért decentralizált módon szervezték meg a javítások elterjesztését, közvetlenül a legfontosabb leágazások (forkok) fejlesztőivel együttműködve. A javított változatok már elérhetők, és a fejlesztőknek erősen ajánlott a frissítés, vagy a TAR feldolgozók szigorúbb ellenőrzésre való átállítása.
A TARmageddon nemcsak a közvetlenül érintett könyvtárakra, hanem számos más, ezekre épülő projektre is veszélyt jelent. A hiba például érinti a Python uv csomagkezelőt, a wasmCloud platformot, valamint számos más nyílt forráskódú eszközt és keretrendszert. Az eset kiemeli, hogy a nyílt forráskódú projektek elhanyagolása és a karbantartás hiánya komoly kockázatot jelenthet a szoftverellátási lánc biztonságára nézve. Az Edera kutatói hangsúlyozzák, hogy a Rust nyelv sem nyújt teljes védelmet a biztonsági hibák ellen, ha az alapul szolgáló könyvtárak nem kapnak megfelelő karbantartást és frissítéseket
