发布日期:2025 年 3 月 27 日下午 2:30(太平洋夏令时)
说明
更新框架(TUF)是一种软件框架,旨在保护自动识别和下载软件更新的机制。tough 是 TUF 存储库的 Rust 客户端库。
AWS 发现 tough 0.20.0 之前版本存在以下问题。2025 年 3 月 27 日,我们在 tough 0.20.0 版本中发布了修复补丁,建议客户升级以解决相关安全问题,同时请确保所有分叉代码或衍生代码均已修补,并集成最新修复内容。
- CVE-2025-2885 涉及根元数据版本号验证缺失的问题,攻击者可能利用此漏洞,向客户端提供非预期的版本号,而非根元数据文件中指定的版本,从而篡改客户端最终获取的版本。
- CVE-2025-2886 涉及该库在使用终止型委托角色时,无法正确识别待验证内容对应签名的问题。
- CVE-2025-2888 涉及客户端缓存问题,即在检测到版本回滚并正确拒绝时间戳元数据后,客户端仍错误地缓存该元数据。此漏洞可能导致 tough 无法正常处理后续的有效更新。
- CVE-2025-2887 涉及在使用委托角色时回滚检测不完整的问题。该漏洞可能导致 tough 虽已获取足够的检测依据,却仍无法识别本应发现的版本回滚。
受影响的版本:<0.20.0
解决方法:
针对这些问题的补丁包含在 tough 0.20.0 及以上版本中。
参考:
我们要感谢 Google 通过协调漏洞披露流程在此问题上的合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。