Uma vulnerabilidade de alta severidade, apelidada de "TARmageddon", foi descoberta na agora abandonada biblioteca async-tar da linguagem de programação Rust e suas derivações, podendo ser explorada para executar código remotamente em sistemas que utilizem software desatualizado.
Esta falha, registada como CVE-2025-62518, representa um risco significativo, especialmente em ataques à cadeia de abastecimento de software.
O que é a falha TARmageddon?
A vulnerabilidade reside numa falha de lógica que provoca um problema de dessincronização durante a extração de ficheiros TAR. De acordo com a empresa de cibersegurança Edera, que descobriu o problema, atacantes não autenticados podem explorar esta falha para injetar e extrair ficheiros maliciosos no sistema da vítima.
O cenário de ataque ocorre especificamente quando se processam ficheiros TAR aninhados (um arquivo dentro de outro) que possuem cabeçalhos estendidos PAX e ustar incompatíveis. Esta incompatibilidade faz com que o analisador salte para o conteúdo do ficheiro, interpretando-o erradamente como novos cabeçalhos de arquivo, o que permite a extração de ficheiros fornecidos pelo atacante. Na prática, isto pode ser usado para substituir ficheiros de configuração cruciais, sequestrando processos de compilação de software e abrindo a porta a ataques mais complexos.
O perigo silencioso das bibliotecas abandonadas
O que torna esta vulnerabilidade particularmente perigosa é o seu alcance. A falha de segurança não afeta apenas a biblioteca original async-tar, mas também as suas derivações, incluindo a tokio-tar, uma versão extremamente popular com mais de 7 milhões de downloads que também se encontra abandonada e, por isso, por corrigir.
"Devido à natureza generalizada da tokio-tar em várias formas, não é possível quantificar verdadeiramente o raio de impacto deste bug em todo o ecossistema", afirmou a Edera. "Embora as derivações ativas tenham sido corrigidas com sucesso, esta divulgação realça um grande desafio sistémico: a tokio-tar, altamente descarregada, permanece sem correção."
A lista de projetos afetados inclui ferramentas amplamente utilizadas como o gestor de pacotes Python uv da Astral, a plataforma de aplicações universal wasmCloud, Binstalk, liboxen e a biblioteca de testes open-source testcontainers.
Como proteger os seus projetos
Embora algumas das empresas contactadas pela Edera já tenham anunciado planos para remover a dependência vulnerável ou mudar para uma versão corrigida, outras não responderam, e é provável que existam muitos mais projetos afetados que ainda não foram notificados.
A recomendação para os programadores é clara: devem atualizar para uma versão corrigida ou remover imediatamente a dependência vulnerável da tokio-tar. Para projetos que dependem desta biblioteca, a solução passa por migrar para a derivação astral-tokio-tar, que está a ser ativamente mantida. Para reduzir a confusão no ecossistema de programação, a própria Edera irá arquivar a sua derivação da async-tar (krata-tokio-tar).
Nenhum comentário
Seja o primeiro!