Rust async‑tar уязвимость TARmageddon CVE-2025

В библиотеках Rust для формата TAR обнаружена уязвимость TARmageddon, позволяющая распаковывать из вложенного архива #docker В библиотеке async‑tar (написана на Rust), предоставляющей функции для чтения и записи tar‑архивов, обнаружена уязвимость CVE-2025-62518 (кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar‑архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar‑архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.

link