CVE-2025-62518

TARmageddon : Une faille dans la gestion des archives TAR

Une vulnérabilité critique, baptisée “TARmageddon” (CVE-2025-62518), a été découverte dans la librairie Rust astral-tokio-tar. Cette faille découle d’une mauvaise gestion des en-têtes PAX et ustar lors du traitement d’archives TAR comportant des en-têtes étendus PAX avec des tailles spécifiées. Le processus d’analyse détermine incorrectement la position dans le flux, se basant sur la taille de l’en-tête ustar (souvent nulle) plutôt que sur celle spécifiée dans l’en-tête PAX.

Points clés :

• Nature de la vulnérabilité : Problème de parsing des limites dans la librairie astral-tokio-tar.
• Cause : Incohérence dans le traitement des en-têtes PAX et ustar, notamment lors de tailles spécifiées dans les en-têtes PAX.
• Impact potentiel : Permet à un attaquant d’injecter des entrées supplémentaires lors de l’extraction d’archives TAR.
• Risques : Écrasement de fichiers et potentiellement exécution de code à distance.
• Systèmes affectés : Divers projets utilisant la librairie async-tar et ses variantes, tels que tokio-tar, uv (gestionnaire de paquets Python d’Astral), testcontainers, et wasmCloud.

Vulnérabilité :

• CVE : CVE-2025-62518

Recommandations :

• Mettre à jour la librairie astral-tokio-tar vers la version 0.5.6 ou une version ultérieure.

Source