ID bollettino: 2026-019-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 24/04/2026 12:45 PDT
 

Descrizione:

Sono stati identificati diversi problemi di sicurezza nella libreria tough e nella utility dell’interfaccia a riga di comando (CLI) tuftool. Tough è una libreria Rust utilizzata per la generazione, la firma e la gestione di repository TUF (The Update Framework), mentre tuftool è la CLI per le operazioni di gestione dei repository.

Sono state identificate le seguenti vulnerabilità:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

Versioni interessate:

• tough: versioni da 0.1.0 a 0.21.x (incluse)
• tuftool: versioni da 0.1.0 a 0.14.x (incluse)

Risoluzione:

queste vulnerabilità sono state risolte nelle seguenti versioni:

• tough 0.22.0 o successiva
• tuftool 0.15.0 o successiva

Si raccomanda di aggiornare immediatamente alla versione 0.22.0 o successiva di tough e alla versione 0.15.0 o successiva di tuftool. Inoltre, è necessario verificare e aggiornare qualsiasi codice derivato o di cui è stato eseguito il fork per integrare le correzioni di sicurezza.

Soluzioni alternative:

non sono note soluzioni alternative per queste vulnerabilità. È necessario eseguire l’aggiornamento alle versioni con patch.

Riferimenti:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Repository Tough GitHub

Ringraziamenti:

si ringraziano Emily Albini di Oxide Computer Company e Oleh Konko di 1seal.org per la collaborazione su questa segnalazione nell’ambito del processo di divulgazione coordinata delle vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.