Tarmageddon Open Source Abandonware
7 months ago
- #vulnerability
- #opensource
- #security
- 漏洞影响uv、testcontainers和wasmCloud等主流项目,因tokio-tar被广泛使用所致
- 活跃分支已修复漏洞,但主分支tokio-tar仍未修补,构成系统性风险
- 建议升级至修复版本或迁移至astral-tokio-tar等活跃维护的分支
- 该漏洞属于异步流缺陷,允许攻击者在TAR解压时注入额外归档条目
- 攻击场景包括Python构建后端劫持、容器镜像投毒和绕过物料清单/清单文件
- 补丁优先采用PAX头确定文件大小,并验证PAX与ustar记录间的头一致性
- 临时解决方案包括使用标准tar库或实施运行时缓解措施(如解压后目录扫描)
- 事件披露凸显废弃开源依赖项的治理难题,强调纵深防御策略的必要性
- 时间线详细记录了60天保密期内漏洞发现、修补和协调披露的全过程