現在は放棄されたasync-tar Rustライブラリおよびそのフォークに存在する重大な脆弱性が、未修正のソフトウェアが稼働しているシステムでリモートコード実行を可能にします。
この脆弱性を発見し、TARmageddonと名付けたサイバーセキュリティ企業Ederaは、攻撃者がサプライチェーン攻撃で設定ファイルを置き換えたり、ビルドバックエンドを乗っ取ったりすることでファイルを上書きできると説明しています。
このセキュリティ欠陥はasync-tarを利用するプロジェクトだけでなく、crates.ioで700万回以上ダウンロードされている非常に人気のあるフォークであるtokio-tarにも影響し、こちらも放棄されています。
アクティブなフォークはすでに修正されていますが、Ederaはtokio-tarを含むフォークが広範囲に存在するため、この脆弱性の影響範囲を正確に見積もることはできないと述べています。
「tokio-tarがさまざまな形で広く使われているため、このバグがエコシステム全体に与える影響範囲を事前に正確に定量化することはできません」とEderaは述べています。
「アクティブなフォークは正常に修正されています(Astral Security Advisoryも参照)。しかし、この公開は重大なシステム的課題を浮き彫りにしています。非常に多くダウンロードされているtokio-tarは未修正のままです。」
TARmageddon脆弱性は、Binstalk、Astralのuv Pythonパッケージマネージャー、wasmCloudユニバーサルアプリケーションプラットフォーム、liboxen、オープンソースのtestcontainersライブラリなど、多くの広く利用されているプロジェクトに影響します。
Ederaが連絡した下流プロジェクトの中には、脆弱な依存関係を削除するか修正済みフォークへ切り替える計画を発表したものもありますが、返答がないプロジェクトもあり、通知されていない他のプロジェクトでも利用されている可能性があります。
Ederaは、開発者に対して修正済みバージョンへアップグレードするか、直ちに脆弱なtokio-tar依存を削除するよう推奨しています。プロジェクトが脆弱なtokio-tarライブラリに依存している場合は、積極的にメンテナンスされているastral-tokio-tarフォークへ切り替えるべきです。Ederaのasync-tarフォーク(krata-tokio-tar)は、エコシステム内の混乱を減らすためアーカイブされます。
