速報 ID: 2026-019-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 24 日 午後 12 時 45分 (PDT)
 

説明:

tough ライブラリと tuftool CLI ユーティリティで複数のセキュリティ問題が確認されています。tough は TUF (The Update Framework) リポジトリの生成、署名、管理に使用される Rust ライブラリで、tuftool はリポジトリ管理操作のコマンドラインインターフェイスです。

次の問題が特定されました。

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

影響を受けるバージョン:

• tough: バージョン 0.1.0 から 0.21.x まで (含む)
• tuftool: バージョン 0.1.0 から 0.14.x まで (含む)

解決方法:

これらの問題は次のバージョンで解決されています。

• tough 0.22.0以降
• tuftool 0.15.0 以降

早急に tough バージョン 0.22.0 以降、および tuftool バージョン 0.15.0 以降にアップグレードすることをお勧めします。さらに、フォークしたコードや派生コードを確認および更新して、セキュリティ修正を組み込んでください。

回避策:

これらの問題に対する既知の回避策はありません。パッチが適用されたバージョンへのアップグレードが必要です。

参考情報:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Tough GitHub リポジトリ

謝辞:

調整された開示プロセスを通じてこの問題に協力してくださった Oxide Computer の Emily Albini 氏と 1seal.org の Oleh Konko 氏に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。