Problema con le versioni di Tough precedenti alla 0.20.0 (CVE multiple)

Data di pubblicazione: 27/03/2025 14:30 PDT

Descrizione

The Update Framework (TUF) è un framework software progettato per proteggere i meccanismi che identificano e scaricano automaticamente gli aggiornamenti del software. Tough è una libreria client di Rust per i repository TUF.

AWS è a conoscenza dei seguenti problemi con Tough nelle versioni precedenti alla 0.20.0. Il 27 marzo 2025, abbiamo rilasciato una correzione nella versione 0.20.0 di Tough. Consigliamo ai clienti di eseguire l'aggiornamento per risolvere i problemi riscontrati e garantire che qualsiasi codice derivato o di cui è stato eseguito il fork sia aggiornato per incorporare le nuove correzioni.

• CVE-2025-2885 si riferisce a un problema relativo alla mancata convalida del numero di versione dei metadati root che potrebbe consentire a un attore di fornire un numero di versione inaspettato al client anziché la versione prevista nel file di metadati root, alterando la versione recuperata dal client.
  
• CVE-2025-2886 si riferisce a un problema nella capacità della libreria di identificare la firma corretta per verificare il contenuto quando vengono utilizzati ruoli delegati alla terminazione.
  
• CVE-2025-2888 si riferisce a un problema che ha indotto il client a memorizzare nella cache i metadati del timestamp, nonostante siano stati correttamente rifiutati quando è stato rilevato un ripristino dello stato precedente. Ciò potrebbe causare l'impossibilità per Tough di utilizzare successivamente aggiornamenti validi.
  
• CVE-2025-2887 si riferisce a un problema con il rilevamento di ripristini allo stato precedente incompleti quando sono in uso ruoli delegati. Questo potrebbe impedire a Tough di individuare i ripristini allo stato precedente che dovrebbe essere in grado di rilevare.
  

Versione interessata: <0.20.0

Risoluzione:

Le patch per questi problemi sono incluse in Tough >=0.20.0.

Riferimenti:

• CVE-2025-2885

• CVE-2025-2886

• CVE-2025-2888

• CVE-2025-2887

• GHSA-5vmp-m5v2-hx47

• GHSA-v4wr-j3w6-mxqc

• GHSA-q6r9-r9pw-4cf7

• GHSA-76g3-38jv-wxh4

• GHSA-j8x2-777p-23fc

Desideriamo ringraziare Google per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un'e-mail all'indirizzo aws-security@amazon.com.