Problem mit tough-Versionen vor 0.20.0 (mehrere CVEs)

Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 27.03.2020 14:30 Uhr PDT

Beschreibung

Das Update Framework (TUF) ist ein Software-Framework, das zum Schutz von Mechanismen entwickelt wurde, die Softwareupdates automatisch identifizieren und herunterladen. tough ist eine Rust-Client-Bibliothek für TUF-Repositorys.

AWS ist sich der folgenden Probleme in Tough, Versionen vor 0.20.0 bewusst. Am 27. März 2025 haben wir einen Fix für tough 0.20.0 veröffentlicht. Wir empfehlen unseren Kunden ein Upgrade, um diese Probleme zu beheben und sicherzustellen, dass jeder abgezweigte oder abgeleitete Code gepatcht ist, damit die neuen Fixes integriert werden können.

CVE-2025-2885 bezieht sich auf ein Problem mit einer fehlenden Validierung der Root-Metadaten-Versionsnummer. Dadurch könnte ein Akteur dem Client in der Stamm-Metadatendatei anstelle der beabsichtigten Version eine unerwartete Versionsnummer bereitstellen, sodass die vom Client abgerufene Version geändert wird.
CVE-2025-2886 bezieht sich auf ein Problem beim Identifizieren der richtigen Signatur durch die Bibliothek, wenn diese beim Beenden delegierter Rollen den Inhalt überprüfen soll.
CVE-2025-2888 bezieht sich auf ein Problem, das dazu führt, dass der Client Zeitstempel-Metadaten zwischenspeichert, obwohl sie bei der Erkennung eines Rollbacks korrekt abgelehnt wurden. Dies könnte dazu führen, dass tough anschließend keine gültigen Updates verarbeitet.
CVE-2025-2887 bezieht sich auf ein Problem mit einer unvollständigen Rollback-Erkennung, wenn delegierte Rollen verwendet werden. Dies könnte dazu führen, dass tough Rollbacks nicht erkennt, für deren Erkennung genügend Informationen vorhanden sein dürften.

Betroffene Versionen: < 0.20.0

Auflösung:

Patches für diese Probleme sind in tough ≥ 0.20.0 enthalten.

Referenzen: