Problème avec tough pour les versions antérieures à la version 0.20.0 (plusieurs CVE)

Date de publication : 27/03/2025 à 14 h 30 PDT

Description

The Update Framework (TUF) est un framework logiciel conçu pour protéger les mécanismes qui identifient et téléchargent automatiquement les mises à jour des logiciels. tough est une bibliothèque cliente Rust pour les référentiels TUF.

AWS est conscient des problèmes suivants dans les versions de tough antérieures à la version 0.20.0. Le 27 mars 2025, nous avons publié un correctif pour tough version 0.20.0, et nous recommandons aux clients de procéder à une mise à niveau pour résoudre ces problèmes et de s’assurer que tout code bifurqué ou dérivé est corrigé pour intégrer les nouveaux correctifs.

• Le CVE-2025-2885 concerne un problème de validation manquante du numéro de version des métadonnées racine, ce qui pourrait permettre à un acteur de fournir un numéro de version inattendu au client au lieu de la version prévue dans le fichier de métadonnées racine, modifiant ainsi la version récupérée par le client.
  
• Le CVE-2025-2886 concerne un problème lié à la capacité de la bibliothèque à identifier la signature correcte pour vérifier le contenu lors de l’utilisation de rôles délégués de résiliation.
  
• Le CVE-2025-2888 concerne un problème qui amenait le client à mettre en cache les métadonnées d’horodatage alors qu’elles étaient correctement rejetées lorsqu’un rollback était détecté. Cela pourrait empêcher tough de consommer les mises à jour valides par la suite.
  
• Le CVE-2025-2887 concerne un problème de détection de rollback incomplet lorsque des rôles délégués sont utilisés. Cela pourrait empêcher tough de détecter les rollbacks alors qu’il dispose de suffisamment d’informations pour le faire.
  

Versions concernées : versions antérieures à la version 0.20.0

Résolution :

Les correctifs pour ces problèmes sont inclus dans tough 0.20.0 et versions ultérieures.

Références :

• CVE-2025-2885

• CVE-2025-2886

• CVE-2025-2888

• CVE-2025-2887

• GHSA-5vmp-m5v2-hx47

• GHSA-v4wr-j3w6-mxqc

• GHSA-q6r9-r9pw-4cf7

• GHSA-76g3-38jv-wxh4

• GHSA-j8x2-777p-23fc

Nous tenons à remercier Google pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.