27 лет Linux.org.ru
27 лет назад, в октябре 1998 года, был зарегистрирован домен Linux.org.ru.
По традиции просьба написать в комментариях, что бы вы хотели изменить на сайте, чего не хватает и какие функции стоит дальше развивать. Интересны и идеи по развитию, и мелочи, которые хотелось бы поменять, например, мешающие проблемы юзабилити и баги.
lor
👉@sysadminoff
https://www.linux.org.ru/news/linux-org-ru/18117921
27 лет назад, в октябре 1998 года, был зарегистрирован домен Linux.org.ru.
По традиции просьба написать в комментариях, что бы вы хотели изменить на сайте, чего не хватает и какие функции стоит дальше развивать. Интересны и идеи по развитию, и мелочи, которые хотелось бы поменять, например, мешающие проблемы юзабилити и баги.
lor
👉@sysadminoff
https://www.linux.org.ru/news/linux-org-ru/18117921
www.linux.org.ru
27 лет Linux.org.ru
27 лет назад, в октябре 1998 года, был зарегистрирован домен Linux.org.ru. По традиции просьба написать в комментариях, что бы вы хотели изменить на сайте, чего не хватает и какие функции стоит дальше развивать. Интересны и идеи по развитию, и мелочи...
🔥1
Релиз среды рабочего стола KDE Plasma 6.5
После четырёх месяцев разработки опубликован релиз среды рабочего стола KDE Plasma 6.5. Для оценки работы новых выпусков KDE можно воспользоваться сборками от проектов KDE Neon и openSUSE (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE Tumbleweed).
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64089
После четырёх месяцев разработки опубликован релиз среды рабочего стола KDE Plasma 6.5. Для оценки работы новых выпусков KDE можно воспользоваться сборками от проектов KDE Neon и openSUSE (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE Tumbleweed).
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64089
www.opennet.ru
Релиз среды рабочего стола KDE Plasma 6.5
После четырёх месяцев разработки опубликован релиз среды рабочего стола KDE Plasma 6.5. Для оценки работы новых выпусков KDE можно воспользоваться сборками от проектов KDE Neon и openSUSE (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE…
📰 AMD PMF Linux Driver Working On AMD SystemDeck Support
The AMD Platform Management Framework "PMF" Linux driver is being extended to enable better integration with user-space tooling. AMD SystemDeck is the initial beneficiary of the integration improvements to this AMD platform Linux driver...
🔗 Source:
👉@sysadminoff
https://www.phoronix.com/news/AMD-PMF-Linux-SystemDeck
The AMD Platform Management Framework "PMF" Linux driver is being extended to enable better integration with user-space tooling. AMD SystemDeck is the initial beneficiary of the integration improvements to this AMD platform Linux driver...
🔗 Source:
👉@sysadminoff
https://www.phoronix.com/news/AMD-PMF-Linux-SystemDeck
Phoronix
AMD PMF Linux Driver Working On AMD SystemDeck Support
The AMD Platform Management Framework 'PMF' Linux driver is being extended to enable better integration with user-space tooling
Download and import Windows 11 25H2 security baseline
Microsoft released the security baseline for Windows 11 version 25H2 on September 30, 2025. The baseline introduces configuration changes focused on network security, attack surface reduction, and legacy protocol elimination. You can download and import a security baseline into Active Directory Group Policy.
Source
👉@sysadminoff
https://4sysops.com/archives/download-and-import-windows-11-25h2-security-baseline/
Microsoft released the security baseline for Windows 11 version 25H2 on September 30, 2025. The baseline introduces configuration changes focused on network security, attack surface reduction, and legacy protocol elimination. You can download and import a security baseline into Active Directory Group Policy.
Source
👉@sysadminoff
https://4sysops.com/archives/download-and-import-windows-11-25h2-security-baseline/
KDE Plasma 6.5 Released with Auto Theme Switching, Clipboard Pinning + More
KDE Plasma 6.5 has been released with automatic light and dark theme switching, pinned clipboard items and a variety of other improvements. This is the sixth major update in the KDE Plasma 6 series, and continues to add to the many (many) new features and foundational improvements that have been introduced since 2024. For regular users, the “immediate wins” are largely through smaller, subtle changes that reduce friction, smooth out inconsistencies and extend functionality. The most eye-catching change is that Breeze-themed windows now use rounded bottom corners (the same radii as on tips at the top of windows). If you […]
You're reading KDE Plasma 6.5 Released with Auto Theme Switching, Clipboard Pinning + More, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.
👉@sysadminoff
https://www.omgubuntu.co.uk/2025/10/kde-plasma-6-5-new-features-changes-release
KDE Plasma 6.5 has been released with automatic light and dark theme switching, pinned clipboard items and a variety of other improvements. This is the sixth major update in the KDE Plasma 6 series, and continues to add to the many (many) new features and foundational improvements that have been introduced since 2024. For regular users, the “immediate wins” are largely through smaller, subtle changes that reduce friction, smooth out inconsistencies and extend functionality. The most eye-catching change is that Breeze-themed windows now use rounded bottom corners (the same radii as on tips at the top of windows). If you […]
You're reading KDE Plasma 6.5 Released with Auto Theme Switching, Clipboard Pinning + More, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.
👉@sysadminoff
https://www.omgubuntu.co.uk/2025/10/kde-plasma-6-5-new-features-changes-release
VirtualBox 7.2.4 Released with Initial Support for Linux Kernel 6.18
VirtualBox 7.2.4 open-source virtualization software is now available for download with initial support for Linux kernel 6.18 and other changes. Here's what's new!
The post VirtualBox 7.2.4 Released with Initial Support for Linux Kernel 6.18 appeared first on 9to5Linux - do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
👉@sysadminoff
https://9to5linux.com/virtualbox-7-2-4-released-with-initial-support-for-linux-kernel-6-18
VirtualBox 7.2.4 open-source virtualization software is now available for download with initial support for Linux kernel 6.18 and other changes. Here's what's new!
The post VirtualBox 7.2.4 Released with Initial Support for Linux Kernel 6.18 appeared first on 9to5Linux - do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
👉@sysadminoff
https://9to5linux.com/virtualbox-7-2-4-released-with-initial-support-for-linux-kernel-6-18
👍1
📰 VirtualBox 7.2.4 Released with Linux Kernel 6.18 Support
VirtualBox 7.2.4 adds initial Linux 6.18 support, fixes NAT port forwarding issues, and resolves GUI crashes when resuming from sleep.
🔗 Source:
👉@sysadminoff
https://linuxiac.com/virtualbox-7-2-4-released-with-linux-kernel-6-18-support/
VirtualBox 7.2.4 adds initial Linux 6.18 support, fixes NAT port forwarding issues, and resolves GUI crashes when resuming from sleep.
🔗 Source:
👉@sysadminoff
https://linuxiac.com/virtualbox-7-2-4-released-with-linux-kernel-6-18-support/
Linuxiac
VirtualBox 7.2.4 Released with Linux Kernel 6.18 Support
VirtualBox 7.2.4 adds initial Linux kernel 6.18 support, fixes NAT port forwarding issues, and resolves GUI crashes when resuming from sleep.
📰 Valve doing more of a Steam Deck push with their Steam Deck Verified game pages
Valve are still pushing their Steam Deck ahead with many developers now adding their own special dedicated Steam Deck Verified page..Read the full article on GamingOnLinux.
🔗 Source:
👉@sysadminoff
https://www.gamingonlinux.com/2025/10/valve-doing-more-of-a-steam-deck-push-with-their-steam-deck-verified-game-pages/
Valve are still pushing their Steam Deck ahead with many developers now adding their own special dedicated Steam Deck Verified page..Read the full article on GamingOnLinux.
🔗 Source:
👉@sysadminoff
https://www.gamingonlinux.com/2025/10/valve-doing-more-of-a-steam-deck-push-with-their-steam-deck-verified-game-pages/
GamingOnLinux
Valve doing more of a Steam Deck push with their Steam Deck Verified game pages
Valve are still pushing their Steam Deck ahead with many developers now adding their own special dedicated Steam Deck Verified page.
Clonezilla Live 3.3.0-33 Adds Support for Cloning MTD Block and eMMC Boot Devices
Clonezilla Live 3.3.0-33 open-source and free disk cloning/imaging tool is now available for download with various changes and updated components. Here’s what’s new!
The post Clonezilla Live 3.3.0-33 Adds Support for Cloning MTD Block and eMMC Boot Devices appeared first on 9to5Linux - do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
👉@sysadminoff
https://9to5linux.com/clonezilla-live-3-3-0-33-adds-support-for-cloning-mtd-block-and-emmc-boot-devices
Clonezilla Live 3.3.0-33 open-source and free disk cloning/imaging tool is now available for download with various changes and updated components. Here’s what’s new!
The post Clonezilla Live 3.3.0-33 Adds Support for Cloning MTD Block and eMMC Boot Devices appeared first on 9to5Linux - do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
👉@sysadminoff
https://9to5linux.com/clonezilla-live-3-3-0-33-adds-support-for-cloning-mtd-block-and-emmc-boot-devices
👍1
📰 TARmageddon Strikes: High Profile Security Vulnerability In Popular Rust Library
Going public today is CVE-2025-62518, or better known by the name given by the security researchers involved: TARmageddon. The TARmageddon vulnerability affects the popular async-tar Rust library and its various forks like tokio-tar. In turn TARmageddon impacts the uv Python package manager and other users of this library...
🔗 Source:
👉@sysadminoff
https://www.phoronix.com/news/Rust-TARmageddon
Going public today is CVE-2025-62518, or better known by the name given by the security researchers involved: TARmageddon. The TARmageddon vulnerability affects the popular async-tar Rust library and its various forks like tokio-tar. In turn TARmageddon impacts the uv Python package manager and other users of this library...
🔗 Source:
👉@sysadminoff
https://www.phoronix.com/news/Rust-TARmageddon
Phoronix
TARmageddon Strikes: High Profile Security Vulnerability In Popular Rust Library
Going public today is CVE-2025-62518, or better known by the name given by the security researchers involved: TARmageddon
Обновление VirtualBox 7.2.4 с устранением уязвимостей
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.4, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме уязвимостей в новой версии представлено 6 изменений.
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64094
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.4, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме уязвимостей в новой версии представлено 6 изменений.
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64094
www.opennet.ru
Обновление VirtualBox 7.2.4 с устранением уязвимостей
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.4, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме…
📰 Russian hackers evolve malware pushed in "I am not a robot" captchas
The Russian state-backed Star Blizzard hacker group has ramped up operations with new, constantly evolving malware families (NoRobot, MaybeRobot) deployed in complex delivery chains that start with ClickFix social engineering attacks.
🔗 Source:
👉@sysadminoff
https://www.bleepingcomputer.com/news/security/russian-hackers-evolve-malware-pushed-in-i-am-not-a-robot-clickfix-attacks/
The Russian state-backed Star Blizzard hacker group has ramped up operations with new, constantly evolving malware families (NoRobot, MaybeRobot) deployed in complex delivery chains that start with ClickFix social engineering attacks.
🔗 Source:
👉@sysadminoff
https://www.bleepingcomputer.com/news/security/russian-hackers-evolve-malware-pushed-in-i-am-not-a-robot-clickfix-attacks/
BleepingComputer
Russian hackers evolve malware pushed in "I am not a robot" captchas
The Russian state-backed Star Blizzard hacker group has ramped up operations with new, constantly evolving malware families (NoRobot, MaybeRobot) deployed in complex delivery chains that start with ClickFix social engineering attacks.
В ядро Linux 6.18 принята реализация Binder IPC для Android, написанная на Rust
В кодовую базу ядра Linux, на основе которой формируется релиз 6.18, принята реализация механизма межпроцессного взаимодействия Binder, написанная на языке Rust.
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64092
В кодовую базу ядра Linux, на основе которой формируется релиз 6.18, принята реализация механизма межпроцессного взаимодействия Binder, написанная на языке Rust.
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64092
www.opennet.ru
В ядро Linux 6.18 принята реализация Binder IPC для Android, написанная на Rust
В кодовую базу ядра Linux, на основе которой формируется релиз 6.18, принята реализация механизма межпроцессного взаимодействия Binder, написанная на языке Rust. Binder используется в Android для организации взаимодействия между процессами и удалённого вызова…
🔥1
📰 Intel Nova Lake To Feature 6th Gen NPU
Following the recent Xe3P graphics enablement for Nova Lake as well as Nova Lake compiler target enablement and other early hardware enablement for Intel's Nova Lake processors, today has brought initial enablement for Nova Lake's NPU...
🔗 Source:
👉@sysadminoff
https://www.phoronix.com/news/Intel-Nova-Lake-6th-Gen-NPU
Following the recent Xe3P graphics enablement for Nova Lake as well as Nova Lake compiler target enablement and other early hardware enablement for Intel's Nova Lake processors, today has brought initial enablement for Nova Lake's NPU...
🔗 Source:
👉@sysadminoff
https://www.phoronix.com/news/Intel-Nova-Lake-6th-Gen-NPU
Phoronix
Intel Nova Lake To Feature 6th Gen NPU
Following the recent Xe3P graphics enablement for Nova Lake as well as Nova Lake compiler target enablement and other early hardware enablement for Intel's Nova Lake processors, today has brought initial enablement for Nova Lake's NPU.
📰 Clonezilla Live 3.3.0-33 Adds Support for Cloning MTD Block and eMMC Boot Devices
Clonezilla Live 3.3.0-33 open-source and free disk cloning/imaging tool is now available for download with various changes and updated components. Here’s what’s new!
🔗 Source:
👉@sysadminoff
https://9to5linux.com/clonezilla-live-3-3-0-33-adds-support-for-cloning-mtd-block-and-emmc-boot-devices
Clonezilla Live 3.3.0-33 open-source and free disk cloning/imaging tool is now available for download with various changes and updated components. Here’s what’s new!
🔗 Source:
👉@sysadminoff
https://9to5linux.com/clonezilla-live-3-3-0-33-adds-support-for-cloning-mtd-block-and-emmc-boot-devices
9to5Linux
Clonezilla Live 3.3.0-33 Adds Support for Cloning MTD Block and eMMC Boot Devices - 9to5Linux
Clonezilla Live 3.3.0-33 open-source and free disk cloning/imaging tool is now available for download with various changes and updated components.
📰 Hackers exploit 34 zero-days on first day of Pwn2Own Ireland
On the first day of Pwn2Own Ireland 2025, security researchers exploited 34 unique zero-days and collected $522,500 in cash awards.
🔗 Source:
👉@sysadminoff
https://www.bleepingcomputer.com/news/security/hackers-exploit-34-zero-days-on-first-day-of-pwn2own-ireland/
On the first day of Pwn2Own Ireland 2025, security researchers exploited 34 unique zero-days and collected $522,500 in cash awards.
🔗 Source:
👉@sysadminoff
https://www.bleepingcomputer.com/news/security/hackers-exploit-34-zero-days-on-first-day-of-pwn2own-ireland/
BleepingComputer
Hackers exploit 34 zero-days on first day of Pwn2Own Ireland
On the first day of Pwn2Own Ireland 2025, security researchers exploited 34 unique zero-days and collected $522,500 in cash awards.
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64093
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64093
www.opennet.ru
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые…
🤔1
SuperTuxKart 1.5 Released with Improved Graphics + More
SuperTuxKart 1.5 released with graphics overhaul, new benchmark mode and egg hunt tracks. It's also the final 1.x release before SuperTuxKart Evolution arrives.
You're reading SuperTuxKart 1.5 Released with Improved Graphics + More, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.
👉@sysadminoff
https://www.omgubuntu.co.uk/2025/10/supertuxkart-1-5-released
SuperTuxKart 1.5 released with graphics overhaul, new benchmark mode and egg hunt tracks. It's also the final 1.x release before SuperTuxKart Evolution arrives.
You're reading SuperTuxKart 1.5 Released with Improved Graphics + More, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.
👉@sysadminoff
https://www.omgubuntu.co.uk/2025/10/supertuxkart-1-5-released
🔥1
Foot 1.25
Состоялся выпуск эмулятора терминала Foot 1.25.
Foot — быстрый, легковесный и активно развиваемый эмулятор терминала для композиторов, использующий протокол Wayland.
Ключевые особенности:
Минимум зависимостей. Установка foot в систему со Sway WM приводит к добавлению 3 мегабайт зависимостей.
Ручная отрисовка. Foot не использует OpenGL или Vulkan и полагается исключительно на API, предоставляемые композитором Wayland.
( читать дальше... )
foot, terminal, wayland
👉@sysadminoff
https://www.linux.org.ru/news/opensource/18118664
Состоялся выпуск эмулятора терминала Foot 1.25.
Foot — быстрый, легковесный и активно развиваемый эмулятор терминала для композиторов, использующий протокол Wayland.
Ключевые особенности:
Минимум зависимостей. Установка foot в систему со Sway WM приводит к добавлению 3 мегабайт зависимостей.
Ручная отрисовка. Foot не использует OpenGL или Vulkan и полагается исключительно на API, предоставляемые композитором Wayland.
( читать дальше... )
foot, terminal, wayland
👉@sysadminoff
https://www.linux.org.ru/news/opensource/18118664
www.linux.org.ru
Foot 1.25
Состоялся выпуск https://codeberg.org/dnkl/foot/releases/tag/1.25.0 эмулятора терминала Foot 1.25. Foot https://codeberg.org/dnkl/foot — быстрый, легковесный и активно развиваемый эмулятор терминала для композиторов, использующий протокол Wayland. Кл...
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.
Уязвимость также проявляется в форках библиотеки async-tar, таких как tokio-tar, krata-tokio-tar и astral-tokio-tar, а также в утилитах на их основе, например, в пакетном менеджере uv, развиваемом в качестве высокопроизводительной замены «pip» для проектов на языке Python. Из популярных проектов, использующих уязвимые библиотеки, также отмечаются инструментарий testcontainers для запуска docker-контейнеров и WebAssembly runtime wasmCloud. В репозитории crates.is за последние 90 дней библиотека async-tar насчитывает 1.3 млн загрузок, tokio-tar - 2.2 млн, testcontainers - 2.9 млн.
Уязвимость вызвана некорректным выбором позиции при разборе разных значений размера в заголовках ustar и PAX. В tar-архивах в формате PAX для каждого файла внутри архива указываются два заголовка - классический ustar и расширенный PAX. Проблема вызвана тем, что уязвимые библиотеки при распаковке файлов вместо вычисления смещения на основе размера из расширенного заголовка PAX, брали размер из устаревшего заголовка ustar. При нулевом значении размера в заголовке ustar, идущее за ним содержимое файла обрабатывалось как корректный блок TAR-заголовков для следующего файла.
Для совершения атаки достаточно создать TAR-архив, в котором в ustar-заголовке указан нулевой размер, а в заголовке для формата PAX актуальный размер, из-за чего содержимое файла с другим tar-архивом будет обработано как часть основного архива. Пример кода для создания подобных архивов размещён на GitHub. Уязвимость устранена в выпусках tokio-tar 0.5.6 и uv 0.9.5. Для остальных библиотек исправления пока не опубликованы, но для astral-tokio-tar, async-tar и krata-tokio-tar отдельно подготовлены патчи.
Уязвимости в библиотеках присвоен уровень опасности 8.1 из 10, так как проблема может использоваться для перезаписи распаковываемых файлов (в уязвимых реализациях будут распакованы не те файлы, что были видны в архиве). При этом уязвимость в пакетном менеджере uv отмечена как неопасная, так как если атакующий может влиять на содержимое исходного архива, нет смысла усложнять атаку и эксплуатировать уязвимость через вложенный архив, когда можно добиться выполнения кода через сборочные сценарии в основном архиве.
Выявившие уязвимость исследователи предложили несколько гипотетических сценариев атак, позволяющих обойти проверки безопасности и добиться выполнения кода через замену файлов конфигурации или вмешательство в сборочный процесс. Подразумевается, что присланный архив сможет пройти автоматизированную проверку сканером безопасности и ручной аудит, в ходе которого проверяющий не обратит внимание на странный вложенный архив с другими файлами, после чего при распаковке при помощи Rust-библиотек из архива будет извлечено иное содержимое, чем ожидалось.
Например, атакующий может загрузить модифицированный архив в репозиторий PyPI, который пройдёт проверку на основе анализа содержимого основного архива, содержащего легитимный файл pyproject.toml. При обработке данного пакета при помощи утилиты uv легитимный pyproject.toml будет заменён на вредоносный вариант из вложенного архива, содержащий команды, которые будут выполнены при сборке на компьютере разработчика или в системе непрерывной интеграции. Аналогично, можно организовать перезапись файлов контейнера при извлечении образа контейнера при помощи инструментария testcontainers.
rust, tar, безопасность
👉@sysadminoff
https://www.linux.org.ru/news/security/18118692
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.
Уязвимость также проявляется в форках библиотеки async-tar, таких как tokio-tar, krata-tokio-tar и astral-tokio-tar, а также в утилитах на их основе, например, в пакетном менеджере uv, развиваемом в качестве высокопроизводительной замены «pip» для проектов на языке Python. Из популярных проектов, использующих уязвимые библиотеки, также отмечаются инструментарий testcontainers для запуска docker-контейнеров и WebAssembly runtime wasmCloud. В репозитории crates.is за последние 90 дней библиотека async-tar насчитывает 1.3 млн загрузок, tokio-tar - 2.2 млн, testcontainers - 2.9 млн.
Уязвимость вызвана некорректным выбором позиции при разборе разных значений размера в заголовках ustar и PAX. В tar-архивах в формате PAX для каждого файла внутри архива указываются два заголовка - классический ustar и расширенный PAX. Проблема вызвана тем, что уязвимые библиотеки при распаковке файлов вместо вычисления смещения на основе размера из расширенного заголовка PAX, брали размер из устаревшего заголовка ustar. При нулевом значении размера в заголовке ustar, идущее за ним содержимое файла обрабатывалось как корректный блок TAR-заголовков для следующего файла.
Для совершения атаки достаточно создать TAR-архив, в котором в ustar-заголовке указан нулевой размер, а в заголовке для формата PAX актуальный размер, из-за чего содержимое файла с другим tar-архивом будет обработано как часть основного архива. Пример кода для создания подобных архивов размещён на GitHub. Уязвимость устранена в выпусках tokio-tar 0.5.6 и uv 0.9.5. Для остальных библиотек исправления пока не опубликованы, но для astral-tokio-tar, async-tar и krata-tokio-tar отдельно подготовлены патчи.
Уязвимости в библиотеках присвоен уровень опасности 8.1 из 10, так как проблема может использоваться для перезаписи распаковываемых файлов (в уязвимых реализациях будут распакованы не те файлы, что были видны в архиве). При этом уязвимость в пакетном менеджере uv отмечена как неопасная, так как если атакующий может влиять на содержимое исходного архива, нет смысла усложнять атаку и эксплуатировать уязвимость через вложенный архив, когда можно добиться выполнения кода через сборочные сценарии в основном архиве.
Выявившие уязвимость исследователи предложили несколько гипотетических сценариев атак, позволяющих обойти проверки безопасности и добиться выполнения кода через замену файлов конфигурации или вмешательство в сборочный процесс. Подразумевается, что присланный архив сможет пройти автоматизированную проверку сканером безопасности и ручной аудит, в ходе которого проверяющий не обратит внимание на странный вложенный архив с другими файлами, после чего при распаковке при помощи Rust-библиотек из архива будет извлечено иное содержимое, чем ожидалось.
Например, атакующий может загрузить модифицированный архив в репозиторий PyPI, который пройдёт проверку на основе анализа содержимого основного архива, содержащего легитимный файл pyproject.toml. При обработке данного пакета при помощи утилиты uv легитимный pyproject.toml будет заменён на вредоносный вариант из вложенного архива, содержащий команды, которые будут выполнены при сборке на компьютере разработчика или в системе непрерывной интеграции. Аналогично, можно организовать перезапись файлов контейнера при извлечении образа контейнера при помощи инструментария testcontainers.
rust, tar, безопасность
👉@sysadminoff
https://www.linux.org.ru/news/security/18118692
www.linux.org.ru
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
В написанной на языке Rust библиотеке async-tar https://github.com/dignifiedquire/async-tar , предоставляющей функции для чтения и записи tar-архивов, выявлена https://edera.dev/stories/tarmageddon уязвимость (CVE-2025-62518, кодовое имя TARmageddon)...