anonhaven

CVE-2026-33055

MEDIUM CVSS 4.0: 5,1 EPSS 0.01%
Обновлено 23 марта 2026
Alexcrichton
Параметр Значение
CVSS 5,1 (MEDIUM)
Уязвимые версии до 0.4.45
Устранено в версии 0.4.45
Тип уязвимости CWE-843 (Смешение типов)
Поставщик Alexcrichton
Публичный эксплойт Нет

tar-rs — это библиотека чтения/записи tar-архивов для Rust. Версии 0.4.44 и ниже имеют условную логику, которая пропускает заголовок размера PAX в случаях, когда размер базового заголовка не равен нулю. В рамках CVE-2025-62518 проект astral-tokio-tar был изменен, чтобы правильно учитывать заголовки размера PAX в случае, когда он отличался от базового заголовка.

Это почти обратная проблема астрально-токио-тара. Любое несоответствие в том, как парсеры tar учитывают размер файла, может быть использовано для создания архивов, которые будут выглядеть по-разному при распаковке разными архиваторами. В этом случае крейт tar-rs (Rust tar) является исключением при проверке размера заголовка — другие парсеры tar (включая, например, Go archive/tar) безоговорочно используют переопределение размера PAX.

Это может повлиять на все, что использует крейт tar для анализа архивов и ожидает согласованного представления с другими анализаторами. Эта проблема исправлена ​​в версии 0.4.45.

Показать оригинальное описание (EN)

tar-rs is a tar archive reading/writing library for Rust. Versions 0.4.44 and below have conditional logic that skips the PAX size header in cases where the base header size is nonzero. As part of CVE-2025-62518, the astral-tokio-tar project was changed to correctly honor PAX size headers in the case where it was different from the base header. This is almost the inverse of the astral-tokio-tar issue. Any discrepancy in how tar parsers honor file size can be used to create archives that appear differently when unpacked by different archivers. In this case, the tar-rs (Rust tar) crate is an outlier in checking for the header size - other tar parsers (including e.g. Go archive/tar) unconditionally use the PAX size override. This can affect anything that uses the tar crate to parse archives and expects to have a consistent view with other parsers. This issue has been fixed in version 0.4.45.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-843 Type Confusion (Смешение типов)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Alexcrichton Tar-Rs
cpe:2.3:a:alexcrichton:tar-rs:*:*:*:*:*:rust:*:*
 0.4.45

Ссылки 3

https://github.com/alexcrichton/tar-rs/commit/de1a5870e603758f430073688691165f2…
security-advisories@github.com
https://github.com/alexcrichton/tar-rs/security/advisories/GHSA-gchp-q4r4-x4ff
security-advisories@github.com
https://www.cve.org/CVERecord?id=CVE-2025-62518
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33056

Tar_Project

5,1