概要:Rustライブラリの深刻な脆弱性「TARmageddon」
現在では開発が放棄されているRustライブラリ「async-tar」およびそのフォークに、リモートコード実行(RCE)を可能にする高 severity の脆弱性が発見されました。この脆弱性はCVE-2025-62518として追跡されており、「TARmageddon」と名付けられています。パッチが適用されていないソフトウェアを実行しているシステムでは、攻撃者がこの脆弱性を悪用してリモートでコードを実行する可能性があります。
脆弱性の詳細と攻撃手法
この論理的欠陥は、TARファイルの抽出中に発生する同期解除の問題に起因します。これにより、認証されていない攻撃者が追加のアーカイブエントリを挿入することが可能になります。具体的には、ustarとPAX拡張ヘッダーが一致しないネストされたTARファイルを処理する際に、パーサーがファイルコンテンツに誤ってジャンプし、それをTARヘッダーと誤認します。結果として、攻撃者が提供したファイルを抽出してしまうことになります。
影響と広範な波及
この脆弱性を発見したサイバーセキュリティ企業Ederaは、攻撃者が設定ファイルを置き換えたり、ビルドバックエンドを乗っ取ったりすることで、サプライチェーン攻撃においてファイルを上書きする目的で悪用できると説明しています。このセキュリティ上の欠陥は、async-tarを使用しているプロジェクトだけでなく、700万回以上ダウンロードされ、同様に開発が放棄されている非常に人気のあるフォークである「tokio-tar」にも影響を及ぼします。
Ederaは、この脆弱性の影響範囲を正確に推定することは困難であると述べています。その理由として、tokio-tarのフォークが広範囲にわたっていることを挙げています。現在アクティブなフォークはすでにパッチが適用されていますが、最も広く利用されているtokio-tar自体は未だにパッチが適用されていません。
TARmageddon脆弱性は、Binstalk、Astralのuv Pythonパッケージマネージャー、wasmCloudユニバーサルアプリケーションプラットフォーム、liboxen、オープンソースのtestcontainersライブラリなど、多くの広く使用されているプロジェクトに影響を与えています。
開発者への推奨事項
Ederaは、開発者に対し、以下のいずれかの対応を強く推奨しています。
- パッチが適用されたバージョンにアップグレードする。
- 脆弱なtokio-tarの依存関係を直ちに削除する。
- プロジェクトが脆弱なtokio-tarライブラリに依存している場合は、現在活発にメンテナンスされている「astral-tokio-tar」フォークに切り替える。
なお、Ederaのasync-tarフォーク(krata-tokio-tar)は、エコシステム内の混乱を減らすためにアーカイブされる予定です。