Bir Rust kütüphanesinde, Rust ekosisteminden yararlanan geliştiricilerin ve BT karar vericilerinin derhal ilgilenmesini gerektiren kritik bir kusur tespit edildi. CVE‑2025‑62518 olarak takip edilen güvenlik açığı, yaygın olarak kullanılan eşzamansız tar kitaplığı ekosisteminde ciddi uzaktan kod yürütme (RCE) risklerini açığa çıkarıyor.
Sorunun kökü, önemli bir Rust bileşenindeki sınır ayrıştırma hatasında yatmaktadır. Merkezdeki kütüphane, eşzamansız katran sandık “ailesidir”: orijinal eşzamansız kütüphane ve popüler tokiotar ve astral tokiotar da dahil olmak üzere birçok çatalı. Güvenlik açığı listelerine göre astral-tokio-tar’ın 0.5.6’dan önceki sürümleri bu kusuru içeriyor. NVD kayıtları 21 Ekim 2025’te yayınlandığını doğruluyor.
Edera’daki araştırmacılar, güvenlik açığını “TARmageddon” olarak adlandırdı ve bunu, Rust kütüphanesindeki, yapılandırma dosyalarını değiştirmek veya yapı arka uçlarını ele geçirmek gibi dosya üzerine yazma saldırıları yoluyla RCE’ye yol açabilen bir sınır ayrıştırma hatası olarak tanımladı.
CVE‑2025‑62518 Güvenlik Açığına Teknik Genel Bakış
Sorun, etkilenen Rust kitaplığında TAR dosyası çıkarma sırasında PAX ve ustar başlıklarının tutarsız işlenmesinden kaynaklanıyor. Bazı TAR arşivlerinde, bir PAX başlığı bir dosya boyutunu (örneğin X bayt) gösterebilirken, eşlik eden ustar başlığı hatalı bir şekilde sıfır baytı gösterir.
Güvenlik açığı bulunan kitaplık, akışı ilerletirken ustar boyutunu (sıfır) kullanıyor ve iç içe geçmiş arşivin gerçek dosya verilerini atlayamıyor. Sonuç olarak ayrıştırıcı, iç içe geçmiş arşivin başlıklarını yanlış hizalar ve dış arşivdeki girişler olarak ele alır. Bu yanlış hizalama şunları sağlar:
- Çıkarma sırasında dosyanın üzerine yazma saldırıları
- Yapı sistemleri veya paket yöneticileri yoluyla tedarik zinciri zehirlenmesi
- İç içe geçmiş arşivleri gizleyerek güvenlik tarayıcılarını veya manifest kontrollerini atlamak
Örnek bir senaryoda, bir saldırgan, güvenlik açığı bulunan Rust kitaplığı (derleme veya CI sisteminde) aracılığıyla ayıklama sırasında, gizli iç TAR’ın dosyaları beklenmedik bir şekilde enjekte etmesini veya üzerine yazmasını sağlayacak şekilde kötü amaçlı bir arşiv oluşturur ve potansiyel olarak saldırgana uzaktan kod yürütme (RCE) ayrıcalıkları verir.
Kapsam ve etkilenen ekosistem
Tokio-tar’ın 5 milyondan fazla indirilmesi ve yaygın olarak kullanılması (çoğunlukla dolaylı bir bağımlılık olarak) nedeniyle patlama yarıçapı büyüktür. Etkilendiği bilinen projeler arasında uv (bir Python paket yöneticisi), testcontainers ve wasmCloud yer alıyor.
Karmaşıklık, en popüler çatalın (tokio-tar) bakımsız görünmesi (“ware’i terk etme”) nedeniyle daha da kötüleşiyor, bu da düzeltmenin basitçe yukarıya itilemeyeceği ve otomatik olarak devralınamayacağı anlamına geliyor.
Açıklama zaman çizelgesi
Güvenlik açığının ifşası, yukarı akışın terk edilmesi nedeniyle standart olmayan, merkezi olmayan bir süreç izledi. Önemli tarihler:
- 21 Ağustos 2025: Edera tarafından keşfedilen hata ve minimum düzeyde bir yeniden oluşturma oluşturuldu.
- 22 Ağustos: 60 günlük ambargo kapsamında (21 Ekim’de sona erecek) oluşturulan yamalar ve kütüphane yöneticilerine ve seçili alt kullanıcılara yapılan ilk açıklamalar.
- 2 Eylül: Yukarı akış eşzamansız tar projesinden teşekkür.
- 21 Ekim 2025: Tavsiye ve yamaların kamuya açıklanması.
Çözüm
Etkilenen Rust kitaplığını kullanan kuruluşların, eşzamansız tar ekosisteminde yüksek önem derecesine sahip bir RCE güvenlik açığı olan CVE-2025-62518 sorununu gidermek için hızlı bir şekilde harekete geçmesi gerekmektedir. En güvenli adım, astral-tokio-tar 0.5.6 veya sonraki bir sürüme yükseltmek veya tokio-tar gibi bakımı yapılmayan çatallardan uzaklaşmaktır.
Anında düzeltme eki uygulamak mümkün değilse korumalı alana çıkarma, dosya boyutu sınırları ve çıkarma sonrası taramalar gibi azaltıcı önlemleri uygulayın ve dolaylı teşhir için bağımlılıkları gözden geçirin. TARmageddon kusuru, Rust’un güçlü güvenlik özelliklerinin bile mantık hatalarını önleyemediğini vurguluyor.