0.20.0 以前のバージョンの tough に関する問題 (複数 CVE)

スコープ:AWS
コンテンツタイプ: 重要 (要注意)
公開日：3月27日2025日午後2時30分（太平洋夏時間）

説明

アップデートフレームワーク (TUF) は、ソフトウェアのアップデートを自動的に識別してダウンロードするメカニズムを保護するために設計されたソフトウェアフレームワークです。ough は TUF リポジトリ用の Rust クライアントライブラリです。

AWS は 0.20.0 より前の厳しいバージョンでは以下の問題を認識しています。2025 年 3 月 27 日、Tough 0.20.0 の修正をリリースしました。お客様にはこれらの問題に対処するためにアップグレードを行い、フォークされたコードや派生コードにパッチを適用して新しい修正を組み込むことをお勧めします。

CVE-2025-2885 は、ルートメタデータのバージョン番号が検証されない問題に関するものです。これにより、アクターがルートメタデータファイルの意図したバージョンの代わりに予期しないバージョン番号をクライアントに提供し、クライアントが取得するバージョンを変更する可能性があります。
CVE-2025-2886 は、委任されたロールの終了を使用する場合に、ライブラリが正しい署名を識別してコンテンツを確認することができないという問題に関するものです。
CVE-2025-2888 は、ロールバックが検出された際にタイムスタンプメタデータが正しく拒否されたにもかかわらず、クライアントがタイムスタンプメタデータをキャッシュしてしまう原因となった問題に関するものです。これにより、tough がその後有効なアップデートを利用できなくなる可能性があります。
CVE-2025-2887 は、委任されたロールが使用されている場合のロールバック検出が不完全になる問題に関するものです。これにより、検出できるだけの十分な情報があるはずのロールバックを tough が検出できなくなる可能性があります。

影響を受けるバージョン: 0.20.0 以前

解像度:

これらの問題に対するパッチは、tough の 0.20.0 以降に含まれています。

参考情報: