Tokio-Tar

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

Pesquisadores em cibersegurança identificaram uma vulnerabilidade de alta severidade na biblioteca async-tar, utilizada em diversos projetos populares, como testcontainers e wasmCloud. A falha, classificada como CVE-2025-62518 e com um escore CVSS de 8.1, pode permitir a execução remota de código (RCE) através de ataques de sobrescrita de arquivos. O problema é agravado pelo fato de que a biblioteca tokio-tar, que depende do async-tar, não recebe atualizações desde julho de 2023, tornando-a essencialmente abandonada. Para mitigar os riscos, os usuários são aconselhados a migrar para a versão 0.5.6 da biblioteca astral-tokio-tar, que corrige a vulnerabilidade. A falha decorre de uma inconsistência no tratamento de cabeçalhos PAX e ustar, permitindo que atacantes ’escondam’ arquivos maliciosos dentro de arquivos TAR legítimos. Essa vulnerabilidade é um lembrete de que, apesar das garantias de segurança do Rust, falhas lógicas ainda podem ocorrer e devem ser monitoradas de perto pelos desenvolvedores.