كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية خطيرة في مكتبة async-tar بلغة Rust، إلى جانب نسخها المتفرعة مثل tokio-tar، يمكن أن تؤدي – في ظروف معينة – إلى تنفيذ أوامر عن بُعد (RCE) على الأنظمة المتأثرة.
تفاصيل الثغرة وخطورتها
الثغرة التي تم تتبعها بالمعرّف CVE-2025-62518 وحملت الاسم الرمزي “TARmageddon” اكتشفتها شركة Edera في أغسطس 2025، وتبلغ درجة خطورتها وفق مقياس CVSS 8.1 (عالية الخطورة).
وتؤثر الثغرة في مشاريع واسعة الاستخدام مثل testcontainers وwasmCloud، وقد تتيح للمهاجمين التحكم في النظام عبر استبدال ملفات التكوين أو اختطاف بيئات البناء داخل المشاريع المستهدفة.
أوضحت الشركة أن الخطر الأكبر يتمثل في قدرة المهاجم على حقن أو تهريب ملفات إضافية داخل أرشيفات TAR بشكل غير مرئي، ما يسمح له بكتابة ملفات خبيثة في مجلدات الاستخراج وتنفيذ تعليمات برمجية ضارة.
سبب المشكلة والتفاصيل التقنية
تعود الثغرة إلى خلل منطقي في آلية تحليل رؤوس ملفات PAX وustar عند تحديد حدود البيانات داخل أرشيفات TAR.
فعندما يحتوي الأرشيف على رؤوس PAX موسّعة تحدد حجم الملف بدقة، بينما تشير رؤوس ustar إلى حجم صفري، تفشل المكتبة في تجاوز البيانات الفعلية وتعتبرها رؤوسًا جديدة، مما يؤدي إلى تفسير الأرشيف الداخلي على أنه جزء من الأرشيف الخارجي.
وقالت شركة Edera في توضيحها:”يتعامل المفسر مع الأرشيف الداخلي كما لو كان جزءًا من الأرشيف الأصلي، مما يسمح للمهاجم بتهريب ملفات إضافية يمكنها استبدال ملفات أصلية أثناء فك الضغط.”
التهديد العملي والإصلاحات المتاحة
في سيناريو هجومي واقعي، يمكن للمهاجم تحميل حزمة خبيثة إلى مستودع مثل PyPI تحتوي على أرشيف TAR مزدوج الطبقات، حيث يبدو الأرشيف الخارجي شرعيًا، بينما يحتوي الداخلي على ملفات خبيثة تستبدل ملفات حساسة مثل pyproject.toml أثناء عملية التثبيت.
وأشار الباحثون إلى أن مكتبة tokio-tar لم تتلق أي تحديث منذ يوليو 2023، مما يجعلها عمليًا مشروعًا مهجورًا رغم استمرار استخدامها في آلاف المشاريع.
ونصح الخبراء المستخدمين بالانتقال إلى astral-tokio-tar التي أطلقت الإصدار 0.5.6 لمعالجة الثغرة.
وأوضح المطور ويليام وودرف من Astral أن الإصدارات السابقة للإصدار 0.5.6 تحتوي على ثغرة في تحليل الحدود يمكن استغلالها لتهريب محتوى إضافي إلى الأرشيفات.
تحذير للمطورين
رغم أن لغة Rust تُعرف بقدرتها على الحد من أخطاء الذاكرة مثل تجاوزات السعة، إلا أن الباحثين شددوا على أن الأخطاء المنطقية لا تزال ممكنة.
وأكدت شركة Edera أن “الأمان لا يتحقق باللغة وحدها، بل بالوعي المستمر والاختبار الدقيق”، داعية المطورين إلى مراجعة مكتباتهم والتحقق من سلامة التبعيات المستخدمة في المشاريع الإنتاجية.
