ID del boletín: 2026-019-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 24/04/2026 12:45 h PDT
 

Descripción:

Se han identificado varios problemas de seguridad en la biblioteca tough y en la utilidad de CLI tuftool. tough es una biblioteca de Rust que se utiliza para generar, firmar y administrar repositorios TUF (The Update Framework), mientras que tuftool es una interfaz de la línea de comandos para las operaciones de administración de repositorios.

Se han identificado los siguientes problemas:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

Versiones afectadas:

• tough: versiones de la 0.1.0 a la 0.21.x (incluidas)
• tuftool: versiones de la 0.1.0 a la 0.14.x (incluidas)

Resolución:

Estos problemas se han solucionado en las siguientes versiones:

• tough: versión 0.22.0 o posterior
• tuftool: versión 0.15.0 o posterior

Recomendamos actualizar de inmediato a la versión 0.22.0 o posterior de tough y a la versión 0.15.0 o posterior de tuftool. Además, revise y actualice cualquier código derivado o bifurcado para incorporar las correcciones de seguridad.

Soluciones alternativas:

No hay soluciones alternativas conocidas para estos problemas. Es necesario actualizar a las versiones parcheadas.

Referencias:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Repositorio de Github de tough

Reconocimiento:

Nos gustaría dar las gracias a Emily Albini de Oxide Computer Company y a Oleh Konko de 1seal.org por colaborar en este tema a través del proceso de divulgación coordinado.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.