Fecha de publicación: 27/03/2025 14:30 h PDT
Descripción
El marco de actualización (TUF) es un marco de software diseñado para proteger los mecanismos que identifican y descargan automáticamente las actualizaciones del software. tough es una biblioteca cliente de Rust para repositorios TUF.
AWS tiene conocimiento de los siguientes problemas en tough, en las versiones anteriores a la 0.20.0. El 27 de marzo de 2025, publicamos una corrección en tough versión 0.20.0 y recomendamos a los clientes actualizar a esta versión para mitigar los problemas identificados, así como aplicar las revisiones correspondientes en cualquier bifurcación o código derivado.
- CVE-2025-2885 se refiere a un problema por falta de validación del número de versión de los metadatos raíz, lo que podría permitir que un actor proporcione al cliente un número de versión inesperado en lugar del número previsto en el archivo de metadatos raíz, y así alterar la versión recuperada por el cliente.
- CVE-2025-2886 se refiere a un problema en la biblioteca que afecta su capacidad de identificar la firma correcta para verificar el contenido cuando se utilizan roles delegados de terminación.
- CVE-2025-2888 se refiere a un problema que hacía que el cliente almacenara en caché los metadatos de marca de tiempo a pesar de haberlos rechazado correctamente al detectarse una reversión. Esto podría hacer que tough no pudiera consumir actualizaciones válidas posteriormente.
- CVE-2025-2887 se refiere a un problema de detección incompleta de reversiones cuando se utilizan roles delegados. Esto podría hacer que tough no detectara reversiones que debería poder identificar con la información disponible.
Versiones afectadas: <0.20.0
Resolución:
Las revisiones para estos problemas están incluidas en tough versión 0.20.0 o superior.
Referencias:
Agradecemos a Google por colaborar en este asunto a través del proceso coordinado de divulgación de vulnerabilidades.
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.