プログラマの雑談部屋 ★375 (991レス)
上下前次1-新
971: 11/13(木)15:23 AAS
Rustのメジャーなtarライブラリにデカい脆弱性
TARMAGEDDON (CVE-2025-62518): RCE VULNERABILITY HIGHLIGHTS THE CHALLENGES OF OPEN SOURCE ABANDONWARE
外部リンク:edera.dev
TARmageddon(CVE-2025-62518)は、Rust製の非同期TARアーカイブ処理ライブラリで広く使用されていた「tokio-tar」およびその派生に存在した深刻なRCE(リモートコード実行)脆弱性です。
脆弱性の概要
• 「tokio-tar」はメンテナンスが停止した状態(いわゆる「アバンドンウェア」)にもかかわらず、5百万件以上プロジェクトで利用されてきました。
• 脆弱性の本質はアーカイブのパース時の「デスクリティプシンクロナイゼーション」によるもので、攻撃者は特定の条件でネストされたTARファイルを仕込むことで、意図しないファイル上書きやRCEを誘発できます。
上下前次1-新書関写板覧索設栞歴
あと 20 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.008s