在現代軟體開發中，開源函式庫的依賴性是提高效率的基石，但也隱藏著巨大的安全風險。近期，一項被命名為「TARmageddon」的高嚴重性邏輯缺陷在 Rust 程式語言的生態系統中浮現，再次敲響了軟體供應鏈安全的警鐘。這個漏洞（追蹤編號：CVE-2025-62518）存在於一個早已被廢棄的 async-tar 函式庫及其流行的分支中，使運行未修補軟體的系統面臨遭受遠端程式碼執行（RCE）攻擊的威脅。

已廢棄的 async-tar Rust 庫及其分支中存在一個高嚴重性漏洞，可利用該漏洞在運行未修補軟體的系統上執行遠端程式碼。此邏輯缺陷編號為CVE-2025-62518，源自於一個不同步問題，該問題允許未經身份驗證的攻擊者在 TAR 檔案提取期間注入額外的存檔條目 (archive entries)。這種情況尤其發生在處理具有不匹配的 ustar 和 PAX 擴展頭的嵌套 TAR 檔案時，導致解析器跳到檔案內容並將其誤認為是 tar 頭，從而提取攻擊者提供的檔案。

資安公司 Edera 發現了這個漏洞，並將其命名為「TARmageddon」，解釋稱攻擊者可以利用此缺陷在供應鏈攻擊中覆蓋重要檔案，例如替換配置檔案或劫持建構後端（build backends），從而達到惡意目的。這是一種極為危險的攻擊手段，因為它允許未經身份驗證的攻擊者在受害者系統上提取並執行惡意程式碼。

此安全漏洞不僅影響使用 async-tar 的項目，還影響 tokio-tar，tokio-tar 是一個非常流行的分支，在 crates.io 上的下載量超過 700 萬次，也已被放棄。儘管活躍的分叉已經被修補，但 Edera 表示，由於包括 tokio-tar 在內的分叉的廣泛性，無法準確估計此漏洞的影響。

Edera 指出，「由於 tokio-tar 以各種形式被廣泛使用，因此不可能預先準確量化此漏洞在整個生態系統中的爆炸半徑。」儘管活躍的分支（Forks）已經成功修補，但這個問題凸顯了一個重大的系統性挑戰：下載量巨大的 tokio-tar 函式庫仍然處於未修補的狀態。

「TARmageddon」漏洞的影響範圍廣泛，它影響了許多被廣泛使用的專案，包括 Binstalk、Astral 的 uv Python 套件管理器、wasmCloud 通用應用程式平台、liboxen，以及開源的 testcontainers 函式庫。雖然 Edera 已聯繫了部分下游專案，且有些專案已宣布計畫移除易受攻擊的依賴項或切換到已修補的分支，但仍有許多專案尚未回應，且可能有更多未被通知的專案也在使用這些易受攻擊的函式庫。

Edera 建議開發者升級到已修復的版本，或立即移除易受攻擊的tokio-tar 依賴項。如果他們的專案依賴於易受攻擊的 tokio-tar 庫，則應切換到積極維護的 astral-tokio-tar 分支。 Edera 的 async-tar 分支（krata-tokio-tar）將被歸檔，以減少生態系統中的混亂。

此事件為廣大開發者和企業再次提供了寶貴的教訓。首先，任何被「放棄」或「未積極維護」的開源函式庫，無論其過往的流行程度或下載量有多高，都應被視為潛在的安全隱患，應盡快評估並替換為有活躍社群支持的版本。其次，開發者必須對所有處理檔案解壓縮或解析的代碼進行嚴格的安全審查，特別是涉及巢狀結構或不同格式標頭的處理邏輯，以防止此類「不同步」的邏輯缺陷被惡意利用。最後，在軟體供應鏈中，使用資產清單工具和安全掃描儀來追蹤所有第三方依賴項，並即時了解其安全狀態，是防禦類似「TARmageddon」供應鏈攻擊的關鍵步驟。 Edera 的最終行動——歸檔自己的 async-tar 分支，以減少生態系統的混亂，雖然是善意之舉，但其揭示的軟體維護與生態混亂問題，仍然是業界必須共同面對的長期挑戰。

資料來源：https://www.bleepingcomputer.com/news/security/tarmageddon-flaw-in-abandoned-rust-library-enables-rce-attacks/