Artık terk edilmiş olan eşzamansız tar Rust kütüphanesindeki ve onun çatallarındaki yüksek önemdeki bir güvenlik açığı, yama yapılmamış yazılım çalıştıran sistemlerde uzaktan kod yürütülmesini sağlamak için kullanılabilir.
CVE-2025-62518 olarak izlenen bu mantık hatası, kimliği doğrulanmamış saldırganların TAR dosyasının çıkarılması sırasında ek arşiv girişleri eklemesine olanak tanıyan bir senkronizasyon sorunu nedeniyle ortaya çıkıyor.
Bu, özellikle eşleşmeyen ustar ve PAX genişletilmiş başlıklarına sahip iç içe geçmiş TAR dosyalarını işlerken ortaya çıkar ve ayrıştırıcının dosya içeriğine atlamasına ve onu tar başlıkları sanarak saldırgan tarafından sağlanan dosyaların çıkarılmasına yol açmasına neden olur.
Bu güvenlik açığını keşfeden ve buna TARmageddon adını veren siber güvenlik şirketi Edera, tehdit aktörlerinin, yapılandırma dosyalarını değiştirerek ve yapı arka uçlarını ele geçirerek tedarik zinciri saldırılarında dosyaların üzerine yazmak için bu güvenlik açığından yararlanabileceğini açıklıyor.
Bu güvenlik açığı yalnızca async-tar kullanan projeleri değil, aynı zamanda Crates.io’da 7 milyondan fazla indirilen ve yine terk edilmiş olan son derece popüler bir çatal olan tokio-tar’ı da etkiliyor.
Aktif çatallar halihazırda yamalanmış olsa da Edera, tokio-tar da dahil olmak üzere çatallarının yaygın yapısı nedeniyle bu güvenlik açığının etkisini doğru bir şekilde tahmin etmenin mümkün olmadığını söylüyor.
Edera, “Tokio-tarın çeşitli formlardaki yaygın doğası nedeniyle, bu böceğin ekosistemdeki patlama yarıçapını gerçekten önceden ölçmek mümkün değil” dedi.
“Aktif çatallar başarılı bir şekilde yamalanmış olsa da (ayrıca Astral Güvenlik Danışmanlığı’na bakın), bu açıklama büyük bir sistemik zorluğun altını çiziyor: yüksek oranda indirilen tokio-tar yama yapılmadan kalıyor.”
TARmageddon güvenlik açığı, Binstalk, Astral’ın uv Python paket yöneticisi, wasmCloud evrensel uygulama platformu, liboxen ve açık kaynaklı testcontainers kütüphanesi dahil olmak üzere yaygın olarak kullanılan birçok projeyi etkiliyor.
Edera’nın iletişime geçtiği alt projelerden bazıları, savunmasız bağımlılığı ortadan kaldırma veya yamalı bir çatala geçme planlarını açıklarken, diğerleri yanıt vermedi ve bilgilendirilmeyen daha fazla proje de muhtemelen bunu kullanıyor.
Edera, geliştiricilere ya yamalanmış bir sürüme yükseltme yapmalarını ya da savunmasız tokio-tar bağımlılığını derhal kaldırmalarını tavsiye ediyor. Projeleri savunmasız tokio-tar kütüphanesine bağlıysa, aktif olarak bakımı yapılan astral-tokio-tar çatalına geçmeleri gerekir. Edera’nın eşzamansız tar çatalı (krata-tokio-tar), ekosistemdeki karışıklığı azaltmak için arşivlenecek.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.