ID du bulletin : 2026-019-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 24/04/2026 à 12 h 45 (heure du Pacifique)
 

Description :

Plusieurs problèmes de sécurité ont été identifiés dans la bibliothèque tough et l’utilitaire CLI tuftool. tough est une bibliothèque Rust utilisée pour générer, signer et gérer des référentiels TUF (The Update Framework) et tuftool est l’interface en ligne de commande pour les opérations de gestion des référentiels.

Les problèmes suivants ont été identifiés :

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

Versions affectées :

• tough : versions 0.1.0 à 0.21.x (incluses)
• tuftool : versions 0.1.0 à 0.14.x (incluses)

Résolution :

Ces problèmes ont été résolus dans les versions suivantes :

• tough 0.22.0 ou version ultérieure
• tuftool 0.15.0 ou version ultérieure

Nous vous recommandons de passer immédiatement à la version tough 0.22.0+ et à la version 0.15.0+ de tuftool. En outre, vérifiez et mettez à jour tout code issu d’un fork ou dérivé pour intégrer les correctifs de sécurité.

Solutions de contournement :

Il n’existe aucune solution de contournement connue pour résoudre ces problèmes. La mise à niveau vers les versions corrigées est requise.

Références :

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Référentiel GitHub tough

Remerciements :

Nous tenons à remercier Emily Albini d’Oxide Computer Company et Oleh Konko de 1seal.org pour leur collaboration sur cette question dans le cadre du processus de divulgation coordonné.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.