公開日: 2025 年 3 月 27 日午後 2 時 30 分 (PDT)
説明
The Update Framework (TUF) は、ソフトウェアのアップデートを自動的に識別してダウンロードするメカニズムを保護するために設計された、ソフトウェアフレームワークです。tough は TUF リポジトリ用の Rust クライアントライブラリです。
AWS は、0.20.0 以前のバージョンの tough で次の問題を認識しています。2025 年 3 月 27 日、Tough 0.20.0 の修正をリリースしました。お客様にはこれらの問題に対処するためにアップグレードを行い、フォークされたコードや派生コードにパッチを適用して新しい修正を組み込むことをお勧めします。
- CVE-2025-2885 は、ルートメタデータのバージョン番号が検証されない問題に関するものです。これにより、アクターがルートメタデータファイルの意図したバージョンの代わりに予期しないバージョン番号をクライアントに提供し、クライアントが取得するバージョンを変更する可能性があります。
- CVE-2025-2886 は、委任されたロールの終了を使用する場合に、ライブラリが正しい署名を識別してコンテンツを確認することができないという問題に関するものです。
- CVE-2025-2888 は、ロールバックが検出された際にタイムスタンプメタデータが正しく拒否されたにもかかわらず、クライアントがタイムスタンプメタデータをキャッシュしてしまう原因となった問題に関するものです。これにより、tough がその後有効なアップデートを利用できなくなる可能性があります。
- CVE-2025-2887 は、委任されたロールが使用されている場合のロールバック検出が不完全になる問題に関するものです。これにより、検出できるだけの十分な情報があるはずのロールバックを tough が検出できなくなる可能性があります。
影響を受けるバージョン: 0.20.0 以前
解決方法:
これらの問題に対するパッチは、tough の 0.20.0 以降に含まれています。
参考情報:
協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Google に感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。