Pesquisadores de segurança detalharam uma vulnerabilidade grave na biblioteca async-tar e em seus forks, entre eles tokio-tar, que pode permitir execução remota de código (RCE) em determinadas condições.
O problema, registrado como CVE-2025-62518 e com pontuação CVSS 8,1, foi apelidado de TARmageddon pela empresa de segurança Edera, que identificou a falha no fim de agosto de 2025. Projetos populares como testcontainers e wasmCloud utilizam o componente afetado.
Biblioteca sem manutenção
Apesar de contar com milhares de downloads no repositório crates.io, o fork tokio-tar não recebe atualizações desde 15 de julho de 2023. Sem correção disponível, os desenvolvedores são orientados a migrar para astral-tokio-tar, que disponibilizou a versão 0.5.6 com o ajuste necessário.
Detalhes técnicos
Segundo o mantenedor da Astral, William Woodruff, versões anteriores a 0.5.6 apresentam “uma vulnerabilidade de análise de fronteira que permite aos invasores infiltrar entradas adicionais no arquivo ao explorar o tratamento inconsistente de cabeçalhos PAX/ustar”.
Na prática, cabeçalhos PAX (Portable Archive Interchange) fornecem metadados estendidos nos arquivos TAR. A falha ocorre quando o cabeçalho PAX especifica corretamente o tamanho do arquivo, mas o cabeçalho ustar correspondente indica tamanho zero. O parser avança 0 bytes, não ignora o conteúdo real (um TAR aninhado) e interpreta seus cabeçalhos internos como parte do arquivo externo, abrindo caminho para a injeção de novos itens.
Risco de sobrescrita de arquivos
Edera explica que o comportamento permite “contrabandear” arquivos extras durante a extração, possibilitando sobrescrever dados em diretórios de destino. Em um cenário hipotético, um invasor poderia publicar no PyPI um pacote contendo um pyproject.toml legítimo no TAR externo e um arquivo malicioso no TAR interno, substituindo o original durante a instalação e assumindo o backend de build.
Imagem: Internet
Embora a linguagem Rust reduza falhas de segurança de memória, “ela não elimina erros de lógica, e esta inconsistência de parsing é fundamentalmente um bug lógico”, observou a Edera.
Usuários de tokio-tar devem adotar imediatamente o fork corrigido ou outra alternativa segura para mitigar o risco.
Com informações de The Hacker News
