TARmageddon: rilevata vulnerabilità a nella libreria Rust async-tar (AL02/251022/CSIRT-ITA)

Data:
22 Ottobre 2025

Impatto Sistemico

Medio (64.23)

Sintesi

Ricercatori di sicurezza hanno recentemente rilasciato un bollettino di sicurezza che descrive una vulnerabilità con gravità “alta” – denominata TARmageddon – presente nella popolare libreria Rust async-tar ed ereditata nelle sue numerose fork. Tale vulnerabilità, dovuta a un’errata desincronizzazione del parser della libreria TAR, consentirebbe — tramite archivi opportunamente annidati — di inserire voci extra non previste durante l’estrazione e di sovrascrivere file arbitrari, potenzialmente indirizzando il processo di build verso l’esecuzione di codice malevolo.

Tipologia

Remote Code Execution

Prodotti e versioni affette

astral-tokio-tar, versioni precedenti alla 0.5.6
krata-tokio-tar, versioni precedenti alla 0.5.6
tokio-tar, tutte le versioni
async-tar, tutte le versioni

Azioni di mitigazione

In linea con le indicazioni dei ricercatori, si raccomanda di aggiornare i prodotti vulnerabili alle versioni supportate e sicure, dismettendo completamente le versioni non più mantenute. Indicazioni dettagliate sono disponibili nel bollettino di sicurezza riportato nella sezione Riferimenti.

Riferimenti

https://edera.dev/stories/tarmageddon

CVE

CVE-ID
CVE-2025-62518

Change log

Versione	Note	Data
1.0	Pubblicato il 22-10-2025	22/10/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

22 Ottobre 2025, 10:21

CSIRT Toscana

CSIRT Toscana