THE-CSIRT

Rust: ช่องโหว่ใน async-tar library (และลูกหลาน) ทำให้ผู้ร้ายทำ Remote Code Execution (RCE) ได้

October 22, 2025

นิตยสารออนไลน์ The Hacker News ลงข่าวว่า

นักวิจัยของ Edera ค้นพบช่องโหว่ CVE-2025-62518

ระดับความรุนแรง “สูง” คะแนนความรุนแรง 8.1

ตั้งชื่อช่องโหว่นี้ว่า TARmageddon ใน

async-tar

และลูกหลานที่ตามมา เช่น tokio-tar (ใช้งานแพร่หลาย), krata-tokio-tar, astral-tokio-tar เป็นต้น

ทั้งหมดนี้เป็น library ในภาษา Rust

ซอฟต์แวร์ใดที่ใช้ library (ที่ไม่ได้ update)ข้างต้น ผู้ร้ายสามารถใช้ช่องโหว่ทำ Remote Code Execution (RCE) ได้

ช่องโหว่นี้ ไม่ใช่ Memory Safety bug (ซึ่ง Rust ขึ้นชื่อในการป้องกัน) แต่เป็น Logic bug

*** ปัญหาคือ tokio-tar ไม่มีผู้ดูแลแล้ว ***

ตัวอย่างโปรเจคที่ใช้ library ข้างต้น เช่น

uv

testcontainers

wasmCloud

binstalk-downloader

liboxen

opa-wasm

จึงแจ้งมาเพื่อทราบ,

ภาคผนวก:

อ่านข่าวฉบับเต็มของ The Hacker News ได้ที่:

https://thehackernews.com/2025/10/tarmageddon-flaw-in-async-tar-rust.html

อ่านการวิเคราะห์ช่องโหว่อย่างละเอียดของ Edera ได้ที่:

https://edera.dev/stories/tarmageddon

← Back to Home