tough 0.20.0 之前版本存在多个安全漏洞(CVE)
范围:AWS
内容类型:重要提示(需要注意)
发布日期:太平洋夏令时间 2025/03/27 下午 2:30
说明
更新框架 (TUF) 是一个软件框架,旨在保护自动识别和下载软件更新的机制。t@@ ough 是 TUF 存储库的 Rust 客户端库。
AWS 意识到在 0.20.0 之前的棘手版本中存在以下问题。2025 年 3 月 27 日,我们在 tough 0.20.0 版本中发布了修复补丁,建议客户升级以解决相关安全问题,同时请确保所有分叉代码或衍生代码均已修补,并集成最新修复内容。
- CVE-2025-2885 涉及根元数据版本号验证缺失的问题,攻击者可能利用此漏洞,向客户端提供非预期的版本号,而非根元数据文件中指定的版本,从而篡改客户端最终获取的版本。
- CVE-2025-2886 涉及该库在使用终止型委托角色时,无法正确识别待验证内容对应签名的问题。
- CVE-2025-2888 涉及客户端缓存问题,即在检测到版本回滚并正确拒绝时间戳元数据后,客户端仍错误地缓存该元数据。此漏洞可能导致 tough 无法正常处理后续的有效更新。
- CVE-2025-2887 涉及在使用委托角色时回滚检测不完整的问题。该漏洞可能导致 tough 虽已获取足够的检测依据,却仍无法识别本应发现的版本回滚。
受影响的版本:<0.20.0
分辨率:
针对这些问题的补丁包含在 tough 0.20.0 及以上版本中。
参考:
我们要感谢 Google 通过协调漏洞披露流程在此问题上的合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com 。