CSIRT Toscana TARmageddon: rilevata vulnerabilità a nella libreria Rust async-tar (AL02/251022/CSIRT-ITA)
Ricercatori di sicurezza hanno recentemente rilasciato un bollettino di sicurezza che descrive una vulnerabilità con gravità “alta” – denominata TARmageddon – presente nella popolare libreria Rust async-tar ed ereditata nelle sue numerose fork. Tale vulnerabilità, dovuta a un’errata desincronizzazione del parser della libreria TAR, consentirebbe — tramite archivi opportunamente annidati — di inserire voci extra non previste durante l’estrazione e di sovrascrivere file arbitrari, potenzialmente indirizzando il processo di build verso l’esecuzione di codice malevolo.