Aus Linux-Magazin 01/2026

Attacke gegen Rust-Bibliothek async-tar

© Volodymyr Tverdokhlib / 123RF.com

Die Rust-Bibliothek async-tar und ihre Forks enthalten eine Sicherheitslücke, über die entfernte Angreifer manipulierte Tar-Archive einschleusen und so weitere Angriffe auslösen können.

Die Bibliothek »async-tar« dient dem asynchronen Lesen und Schreiben von Tar-Archiven und ist deutlich flinker als die klassische, synchron arbeitende Rust-Bibliothek »tar«. In »async-tar« tauchte nun eine Sicherheitslücke auf, die es Angreifern ermöglicht, unbemerkt Inhalte in Tar-Archive einzuschleusen. Die Schwachstelle, bekannt als TARmageddon, betrifft die Bibliothek selbst sowie zahlreiche Forks, darunter »tokio-tar, krata-tokio-tar« und »astral-tokio-tar«.

Konkret besteht der Fehler darin, dass der Parser beim Lesen einer Datei innerhalb des Archivs zwei unterschiedliche Header auswertet: Der PAX-Header gibt die korrekte Dateigröße an, etwa ein Megabyte, während der ustar-Header eine falsche Größe von 0 Byte angibt. Statt sich nach der tatsächlichen PAX-Größe zu richten, verlässt sich der fehlerhafte Parser auf den ustar-Wert. Dadurch springt er im Datenstrom nicht über den eigentlichen Dateiinhalt hinweg, sondern bleibt an dessen Anfang stehen.

Wenn der eingebettete Dateiinhalt tatsächlich ein weiteres TAR-Archiv ist, trifft der Parser sofort auf den Beginn dieses inneren Archivs und interpretiert dessen Header fälschlicherweise als reguläre Einträge des äußeren Archivs. So entsteht eine Desynchronisation zwischen tatsächlicher und erwarteter Datenstruktur, wodurch die inneren TAR-Dateien “herausgeschmuggelt” werden können. Auf diese Weise lassen sich zusätzliche Dateien in das Entpackungsergebnis einschleusen, die dort eigentlich nichts zu suchen haben. Die Folge ist, dass ein Angreifer Archive konstruieren kann, die beim Entpacken unerwartete oder gefährliche Dateien erzeugen.

Praktisch kann das zu Dateiverfälschungen, Supply-Chain-Angriffen und dem Umgehen von Sicherheitsprüfungen führen. Beispielsweise lässt sich ein manipuliertes Archiv so gestalten, dass eine äußere Tar-Datei lediglich harmlose Einträge enthält, während ein inneres, verstecktes Tar-Archiv zusätzliche Dateien birgt. Scanner und Sicherheitswerkzeuge prüfen nur den äußeren Inhalt. Beim Entpacken mit »async-tar« werden die versteckten Dateien jedoch ebenfalls extrahiert. Dadurch sind Angriffe möglich, die Dateien überschreiben, das Build-System manipulieren oder Prüfungen der Komponentenliste umgehen.

Ein realistisches Angriffsszenario betrifft den Python-Paketmanager »uv«, der auf »astral-tokio-tar« basiert. Ein bösartiges Paket könnte ein scheinbar legitimes »pyproject.toml« umfassen, während ein verstecktes Inneres eine manipulierte Variante beherbergt, die beim Entpacken das Build-System kompromittiert. Ähnliche Angriffe sind in Container-Umgebungen denkbar: Frameworks wie Testcontainers oder WasmCloud ließen sich durch präparierte Archive dazu bringen, zusätzliche oder manipulierte Layer zu verarbeiten. Selbst Sicherheitsscanner, die saubere Archive freigeben, ließen sich dadurch austricksen.

Mehrere Projekte sind von der Schwachstelle potenziell betroffen, darunter »uv«, »testcontainers«, »wasmCloud«, »binstalk-downloader«, »liboxen« und »opa-wasm«. Da »tokio-tar« in vielen Varianten im Einsatz ist, lässt sich das genaue Ausmaß dieser Schwachstelle schwer beziffern. Besonders problematisch: Der ursprüngliche Fork »tokio-tar« wird nicht mehr gepflegt, obwohl er über sieben Millionen Downloads auf »crates.io« verzeichnet.

Die Entdeckung von TARmageddon verdeutlicht, dass Rust zwar Speicherfehler weitgehend ausschließt, aber logische Fehler wie Parsing-Inkonsistenzen weiterhin möglich sind. Die Lücke zeigt zugleich ein strukturelles Problem vieler Open-Source-Ökosysteme: Weitverbreitete, aber verwaiste Projekte können über Jahre Millionen von Nutzern gefährden. (jcb)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben