Edera güvenlik ekibi, eşzamansız tar Rust kitaplığında ve yaygın olarak kullanılan tokio-tar da dahil olmak üzere onun alt öğelerinde kritik bir güvenlik açığı keşfetti.
TARmageddon olarak adlandırılan ve CVE-2025-62518 atanan bu kusur, CVSS puanı 8,1 (Yüksek) taşıyor ve saldırganların, yapılandırma dosyalarının üzerine yazarak ve kritik yapı sistemlerini ele geçirerek uzaktan kod yürütmesine olanak tanıyor.
| Alan | Detaylar |
| CVE Kimliği | CVE-2025-62518 |
| Güvenlik Açığı Adı | TARmageddon |
| Etkilenen Kütüphaneler | eşzamansız-tar, tokio-tar, astral-tokio-tar |
| CVSS 3.1 Puanı | 8.1 |
| Şiddet | Yüksek |
Saldırı Vektörünü Anlamak
Güvenlik açığı, saldırganların dosya kaçakçılığı adı verilen bir teknik aracılığıyla gizli dosyaları TAR arşiv çıkarımlarına eklemesine olanak tanıyan bir sınır ayrıştırma hatasından kaynaklanıyor.
Ayrıştırıcı, eşleşmeyen PAX (Taşınabilir Arşiv eXchange) ve ustar başlıklarına sahip iç içe geçmiş TAR dosyalarıyla karşılaştığında, dosya sınırlarını doğru şekilde hesaplayamaz.
Özellikle, eğer PAX üstbilgisi 1 MB’lık bir dosya boyutu bildirirken ustar üstbilgisi 0 bayt talep ediyorsa, ayrıştırıcı tüm dosya içeriğinin ötesine atlamak yerine yanlışlıkla yalnızca 0 baytı atlar.
Bu senkronizasyonun bozulması, ayrıştırıcının gizli iç arşivlerdeki verileri dış arşive ait meşru girişler olarak yanlış yorumlamasına neden olur ve saldırganların kötü amaçlı dosyaları güvenlik kontrollerinden geçip çıkarma dizinlerine etkili bir şekilde kaydırmasına olanak tanır.
Bu kusur, uv (Astral’ın Python paket yöneticisi), testcontainers, wasmCloud ve diğer birçok bağımlılık dahil olmak üzere büyük projeleri etkiliyor.
Tokio-tar’ın ekosistemdeki yaygın dağılımı nedeniyle etkilenen sistemlerin tam kapsamı bilinmiyor.
Terk Edilme Sorunu
TARmageddon’u özellikle endişe verici kılan şey, Crates.io’da 5 milyondan fazla indirilen en popüler çatal olan tokio-tar’ın terk edilmiş ve artık aktif olarak sürdürülmüyor gibi görünmesi.
Tek bir yukarı akış yamasının tüm alt kullanıcılara yayıldığı tipik güvenlik açığı açıklamalarından farklı olarak Edera ekibi, net bir bakım yapısı olmayan parçalanmış bir çatal ortamıyla karşı karşıya kaldı.
Ekip, async-tar (kök), tokio-tar (popüler ancak bakımı yapılmayan çatal), krata-tokio-tar (arşivlenmiş) ve astral-tokio-tar (Astral tarafından aktif olarak korunan) genelinde yamaları koordine eden merkezi olmayan bir açıklama süreci yürütmek zorunda kaldı.
Güvenlik iletişim bilgileri olmadan, araştırmacıların sosyal mühendislik ve topluluk araştırması yoluyla bakım sağlayıcıları bulmaları ve ardından 60 günlük sıkı bir ambargo dönemi altında eş zamanlı yama uygulamasını koordine etmeleri gerekiyordu.
Saldırganlar TARmageddon’dan çeşitli tehlikeli şekillerde yararlanabilirler. Bir Python derlemesi arka uç ele geçirme saldırısı, PyPI’ye, güvenliği ihlal edilmiş yapı yapılandırması içeren gizli bir iç TAR içeren kötü amaçlı bir paketin yüklenmesini içerebilir ve bu da geliştirici makinelerde ve CI sistemlerinde paket kurulumu sırasında RCE’ye yol açabilir.
Benzer şekilde, konteyner test çerçeveleri, zehirli görüntü katmanlarını işlemek için kandırılabilir ve test ortamlarına beklenmeyen dosyalar sunulabilir.
Güvenlik açığı ayrıca, ayrı tarama ve çıkarma aşamalarının saldırganların onaylanmamış dosyaları onay sistemlerinden geçirmesine olanak tanıyan güvenlik kontrolü geçişlerine de olanak tanıyor.
Astral-tokio-tar dahil aktif çatallara başarıyla yama uygulandı ve Edera ekibi etkilenen sürümler için yamalar yayınladı.
Ancak tokio-tar terk edildiği için yama yapılmadı. Kullanıcılar derhal yamalı sürümlere geçmeli veya astral-tokio-tar gibi aktif olarak bakımı yapılan alternatiflere geçiş yapmalıdır.
Edera çatalı krata-tokio-tar, çabaları pekiştirmek ve ekosistemdeki kafa karışıklığını azaltmak için arşivlenecek.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.