Ederaのセキュリティ専門家が、Rustプログラミング言語向けのオープンソース非同期tarアーカイブライブラリの初期かつ既に放棄されたコードにおいて、高深刻度の脆弱性を発見し、公開しました。
研究者らは、リモートコード実行を可能にする潜在的な悪用が、広範なフォークとコード利用状況の可視性の欠如により、重大な影響を及ぼす可能性があると警告しました。
「uvパッケージマネージャーのような重要かつ広く展開されているツールで使用されていることを考えると、多くの企業のビルドシステムや本番環境に対する潜在的な影響は非常に大きいです」と、Ederaの最高技術責任者兼共同創業者のAlex Zenla氏はCyberScoopへのメールで述べました。
境界解析の脆弱性 — CVE-2025-62518(CVSSスコア8.1)は、async-tar Rustライブラリおよび多くのフォーク(tokio-tar、Pythonパッケージマネージャーuv、testcontainers、wasmCloud、astral-tokio-tar、krata-tokio-tarなど)に影響します。最も人気のあるフォークであるtokio-tarはcrates.ioで500万回以上ダウンロードされていますが、Ederaによるとすでにメンテナンスされていません。
「この脆弱性は、オープンソースのアバンダンウェア問題の典型例です。元のバグは初期バージョンのコードで導入され、その後、元のプロジェクトがメンテナンスされなくなったことで繰り返しフォークされました」とZenla氏は述べました。
「このバグはこれらのフォークの深い系譜にわたって複製されました」と彼女は付け加えました。「あるプロジェクトがコードのメンテナンスをやめると、そのバグは下流のすべてのファミリーに引き継がれ、追跡や効率的な修正が非常に困難なシステミックリスクを生み出します。」
Ederaは8月21日に自社の内部プラットフォームの開発中にこの脆弱性を発見しました。サイバーセキュリティ企業は翌日にパッチを作成し、火曜日に公表する前にできるだけ多くのアクティブなフォークやオープンソースプロジェクトに修正を適用するよう努めました。
Zenla氏によると、tokio-tarおよびそのフォークはRustエコシステム全体で非同期アーカイブ処理の基盤となっています。これらのtarアーカイブは配布の基礎であり、潜在的な影響範囲は非常に広いと彼女は付け加えました。
「最も懸念されるのは無自覚であることです」とZenla氏は述べました。「この脆弱なコードはしばしば間接的な依存関係であり、ビルドツールやコンテナパイプラインの奥深くに埋もれています。ほとんどのエンドユーザーや企業は自分たちがこれを実行していることすら知りません。そのため、公開による開示が重要な是正措置となるのです。」
Ederaによると、攻撃者はこの脆弱性を悪用し、ファイルの上書きを通じてリモートコード実行を達成できます。この欠陥は複雑なメモリ破損問題ではなく、論理的な欠陥であり、悪用は容易だとZenla氏は述べました。
RustはCやC++で一般的なメモリ安全性の脆弱性を排除するため、より安全なプログラミング言語として広く認識されています。しかし、Ederaが「TARmageddon」と名付けたCVE-2025-62518は、どんな言語も完全に安全ではなく、より安全な言語であっても人的ミスには依然として脆弱であることを証明していますとZenla氏は述べました。
この欠陥はまた、オープンソースコードに潜むリスク、特に元のバージョンが放棄されたりメンテナンスされなくなったときに責任の連鎖が断たれるリスクを改めて思い起こさせるものです。
「つまり、私たちは単に1つのパッチを上流に提出するだけでは済みませんでした。困難で分散した開示を行い、複数のアクティブなフォークや下流の利用者を追跡し、パッチがすべてに適用されるよう調整する必要がありました」とZenla氏は述べました。
「プロジェクトが完全に放棄されると、責任はエコシステム全体にとって煩雑で手作業が多く、非常に非効率なプロセスとなります。」
翻訳元: https://cyberscoop.com/async-tar-rust-open-source-vulnerability/
