以安全著称的RUST高危漏洞CVE-2025-62518

eric2013

https://edera.dev/stories/tarmageddon

大意就部分漏洞已经修改，但有个高达500万下载量的tokio-tar分支还没有修改，而且复杂的是这个库已经不在actively maintained，给修复带来较大难度

部分原文：
Edera团队在流行的async-tar Rust库及其一系列衍生分支（包括广泛使用的tokio-tar）中发现了一个严重的边界解析漏洞，命名为TARmageddon（CCE-2025-62518）。在最坏情况下，该漏洞的严重性评级为8.1（高危），可能通过文件覆盖攻击（例如替换配置文件或劫持构建后端）导致远程代码执行（RCE）。

此漏洞影响了多个主流且广泛使用的项目，包括uv（Astral的超高速Python包管理器）、testcontainers和wasmCloud。由于tokio-tar以多种形式广泛存在，目前无法准确评估该漏洞在生态系统中的影响范围。

尽管活跃的分支已成功修复（另见Astral安全公告），但此次披露突显了一个重大的系统性挑战：下载量极高的tokio-tar仍未修复。

我们建议立即升级到已修复的版本或移除该依赖。如果依赖tokio-tar，请考虑迁移到 actively maintained 的分支，例如astral-tokio-tar。此外，Edera的分支krata-tokio-tar将被归档，以便将所有工作集中到astral分支，减少生态系统的混乱。


攻击场景
Python构建后端劫持
目标：使用tokio-tar的Python包管理器（例如uv）。攻击者向PyPI上传恶意包。该包的外部TAR包含合法的pyproject.toml，但隐藏的内部TAR包含恶意的pyproject.toml，用于劫持构建后端。在包安装过程中，恶意配置覆盖合法配置，导致开发者和CI系统上的RCE。

容器镜像投毒
目标：容器测试框架（例如testcontainers）。用于分析镜像层的测试框架可能被诱骗处理使用此嵌套TAR结构制作的层。隐藏的内部TAR引入意外或被覆盖的文件，从而允许测试环境泄露和供应链污染。

BOM/清单绕过
目标：任何具有独立“扫描/批准”与“提取/部署”阶段的系统。安全扫描器分析外部干净的TAR并批准其有限文件集。然而，使用易受攻击库的提取过程会从内部TAR引入额外的、未经批准且未扫描的文件，导致安全控制绕过和策略违规。