Async-tar Rust kütüphanesinde ve yaygın olarak kullanılan tokio-tar da dahil olmak üzere popüler çatallarında ciddi bir güvenlik açığı var. TARmageddon olarak adlandırılan ve CVE-2025-62518 olarak takip edilen hatanın CVSS puanı 8,1 olup, yüksek önem derecesi olarak sınıflandırılmaktadır.
Saldırganların TAR arşiv ayrıştırmasını manipüle etmesine, potansiyel olarak yapılandırma komut dosyaları gibi kritik dosyaların üzerine yazmasına ve etkilenen sistemlerde uzaktan kod yürütmeyi (RCE) tetiklemesine olanak tanır.
Edra’ya göre kusur, özellikle PAX genişletilmiş başlıkları ustar başlıklarıyla çakıştığında, yuvalanmış TAR dosyalarını yanlış işleyen bir sınır ayrıştırma hatasından kaynaklanıyor.
Güvenlik açığı bulunan sürümlerde ayrıştırıcı, PAX başlığındaki doğru boyutu göz ardı ederken, ustar başlığındaki yanıltıcı sıfır bayt boyutuna dayalı olarak gerçek dosya verilerini atlıyor.
Bu senkronizasyonun bozulması, iç arşivlerdeki gizli girişlerin dış ayıklamaya “kaçmasına” ve hedef dizindeki dosyaların üzerine yazılmasına olanak tanır.
Astral’ın uv Python paket yöneticisi, konteyner testi için test kapsayıcıları ve wasmCloud gibi büyük projeler, tokio-tar’ın Rust ekosisteminde her yerde bulunması nedeniyle güvenlik açığının erişiminin milyonlarca indirmeye yayılması nedeniyle risk altında.
Terkedilmiş Çatalların Labirentinde Gezinmek
TARmageddon’un ifşa edilmesi ve yamalanmasının alışılmadık derecede karmaşık olduğu ortaya çıktı, çünkü 5 milyondan fazla chest.io çekimiyle en çok indirilen çatal olan tokio-tar, aktif bir bakım sağlayıcısı, SECURITY.md dosyası yok ve yetersiz iletişim bilgisi ile terk edilmiş görünüyor.
Edera, çatal soyunda merkezi olmayan bir çabayı koordine etti: kök eşzamansız tar’dan tokio-tar’a, ardından kendi krata-tokio-tar’larına (artık arşivlendi) ve Astral’ın aktif olarak muhafaza ettiği astral-tokio-tar’a kadar.
Araştırmacılar aktif çatallar için yamalar geliştirdiler, bunları 21 Ağustos 2025’ten itibaren 60 günlük ambargo altında paylaştılar ve binstalk ve opa-wasm gibi alt projelere ulaştılar.
Astral, düzeltmeyi hızlı bir şekilde uv’ye ve çatalına entegre ederken, diğerlerinden gelen yanıtlar karışıktı; bazıları bağımlılığı bırakmayı planlarken, temas kurulmayan kullanıcılar açıkta kalmaya devam ediyor.
Orijinal tokio-tar ve asenkron tar’da yama bulunmaması, kullanıcıları manuel olarak geçiş yapmaya zorluyor. Edera, önerilen alternatif olarak astral-tokio-tar ile yamalı sürümlere derhal yükseltme yapılması veya bağımlılığın kaldırılması çağrısında bulunuyor.
Yama, boyut kontrolleri için PAX başlık önceliğini zorunlu kılar, başlık tutarlılığını doğrular ve yanlış hizalamayı önlemek için sınır korumaları ekler.
Hızlı bir şekilde geçiş yapamayanlar için geçici çözümler arasında eşzamanlı katran sandığı veya bildirim doğrulama ve korumalı alan çıkarma gibi çalışma zamanı kontrolleri yer alır.
Saldırganlar TARmageddon’dan aldatıcı şekillerde yararlanabilirler. Bir senaryoda, kötü amaçlı bir PyPI paketi, zararsız bir pyproject.toml içeren bir dış TAR kullanır, ancak iç içe geçmiş bir iç TAR, hileli bir yapı arka ucuyla bunun üzerine yazar ve geliştirici veya CI makinelerinde kurulum sırasında kodu çalıştırır.
Test kapsayıcıları gibi kapsayıcı çerçeveler, bozuk görüntü katmanlarını çıkararak ve arka kapılara neden olarak test ortamlarını zehirleme riski taşır. Güvenlik tarayıcıları, malzeme listesi kontrollerini atlayarak yalnızca taranmamış kötü amaçlı yazılımların çıkarılması için “temiz” bir dış arşivi onaylayabilir.
Bu olay Rust’un sınırlarının altını çiziyor: Bellek hatalarını engellese de bunun gibi mantık kusurları, bakımı yapılmayan kodda varlığını sürdürüyor.
21 Ağustos’taki keşiften 21 Ekim’deki koordineli sürüme kadar olan 60 günlük zaman çizelgesi, çatal ağırlıklı ekosistemlerin verimsizliklerini vurguluyor.
Edera, kendi ürünlerinin derinlemesine savunma yoluyla darbeden kaçındığını belirtiyor ancak bu bölüm, açık kaynakta daha iyi bakım sinyalleri ve proaktif çatallanma çağrısında bulunuyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
