关键漏洞信息 漏洞概述 CVE编号: CVE-2025-62518 名称: TARmageddon 描述: 该漏洞存在于tokio-tar及其相关异步tar库中,当处理包含PAX扩展头的tar文件时,如果这些扩展头覆盖了文件大小,库在计算下一个头的位置之前没有应用这些覆盖值。 影响 根本原因: 库使用实际文件大小(通常是零)而不是PAX覆盖值进行位置计算。 后果: 解析器跳入文件内容并将其误认为tar头,导致提取错误的文件。 受影响库 async-tar: https://github.com/edera-dev/async-tar tokio-tar: https://github.com/vanooijp3/tokio-tar crate tokio-tar: https://crates.io/crates/tokio-tar xerial-rust-tar: https://github.com/xerial/xerial-rust-tar 快速开始 要求: CMake, Rust/Cargo, C++编译器, 系统tar命令 构建步骤: 项目结构 : 安全披露文档 : 生成带有PAX扩展头的tar文件的C++工具 : 检测tar文件中的bug的Rust工具 : 正确处理PAX tar的Windows PAX实现 : 使用同一方法解压tar文件的测试系统 : 构建系统 : 报告生成 : 说明文件 技术细节 修复要求: 在位置计算前应用PAX覆盖值。