Bulletin-ID: 2026-019-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 24.04.2026, 12.45 Uhr PDT
 

Beschreibung:

In der „tough“-Bibliothek und dem CLI-Dienstprogramm „tuftool“ wurden mehrere Sicherheitsprobleme festgestellt. „tough“ ist eine Rust-Bibliothek, die zum Erstellen, Signieren und Verwalten von TUF-Repositorys (The Update Framework) dient, und „tuftool“ ist die Befehlszeilenschnittstelle für die Verwaltung von Repositorys.

Die folgenden Probleme wurden identifiziert:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

Betroffene Versionen: 

• tough: Versionen 0.1.0 bis 0.21.x (einschließlich)
• tuftool: Versionen 0.1.0 bis 0.14.x (einschließlich)

Lösung:

Diese Probleme wurden in den folgenden Versionen behoben:

• tough 0.22.0 oder höher
• tuftool 0.15.0 oder höher

Wir empfehlen, unverzüglich auf die Version 0.22.0+ von „tough“ und die Version 0.15.0+ von „tuftool“ zu aktualisieren. Überprüfen und aktualisieren Sie außerdem jeglichen abgezweigten oder abgeleiteten Code, um die Sicherheitskorrekturen zu integrieren.

Problemumgehungen:

Es sind keine Abhilfemaßnahmen für diese Probleme bekannt. Ein Upgrade auf die gepuschten Versionen ist erforderlich.

Referenzen:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• GitHub-Repository für „tough“

Danksagung:

Wir möchten uns bei Emily Albini von der Oxide Computer Company und bei Oleh Konko von 1seal.org für ihre Mitarbeit bei diesem Problem im Rahmen des koordinierten Offenlegungsverfahrens bedanken.

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.