Veröffentlichungsdatum: 27.03.2025 14:30 Uhr PDT
Beschreibung
Das Update Framework (TUF) ist ein Software-Framework für den Schutz von Mechanismen, die Software-Updates automatisch identifizieren und herunterladen. tough ist eine Rust-Client-Bibliothek für TUF-Repositorys.
AWS sind die folgenden Probleme in den tough-Versionen vor 0.20.0 bekannt. Am 27. März 2025 haben wir einen Fix für tough 0.20.0 veröffentlicht. Wir empfehlen unseren Kunden ein Upgrade, um diese Probleme zu beheben und sicherzustellen, dass jeder abgezweigte oder abgeleitete Code gepatcht ist, damit die neuen Fixes integriert werden können.
- CVE-2025-2885 bezieht sich auf ein Problem mit einer fehlenden Validierung der Root-Metadaten-Versionsnummer. Dadurch könnte ein Akteur dem Client in der Stamm-Metadatendatei anstelle der beabsichtigten Version eine unerwartete Versionsnummer bereitstellen, sodass die vom Client abgerufene Version geändert wird.
- CVE-2025-2886 bezieht sich auf ein Problem beim Identifizieren der richtigen Signatur durch die Bibliothek, wenn diese beim Beenden delegierter Rollen den Inhalt überprüfen soll.
- CVE-2025-2888 bezieht sich auf ein Problem, das dazu führt, dass der Client Zeitstempel-Metadaten zwischenspeichert, obwohl sie bei der Erkennung eines Rollbacks korrekt abgelehnt wurden. Dies könnte dazu führen, dass tough anschließend keine gültigen Updates verarbeitet.
- CVE-2025-2887 bezieht sich auf ein Problem mit einer unvollständigen Rollback-Erkennung, wenn delegierte Rollen verwendet werden. Dies könnte dazu führen, dass tough Rollbacks nicht erkennt, für deren Erkennung genügend Informationen vorhanden sein dürften.
Betroffene Versionen: < 0.20.0
Lösung:
Patches für diese Probleme sind in tough ≥ 0.20.0 enthalten.
Referenzen:
Wir möchten Google für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.