공지 ID: 2026-019-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 4월 24일 오후 12시 45분(PDT)
 

설명:

tough 라이브러리 및 tuftool CLI 유틸리티에서 여러 보안 문제가 확인되었습니다. tough는 TUF(업데이트 프레임워크) 리포지토리를 생성, 서명 및 관리하는 데 사용되는 Rust 라이브러리이며 tuftool은 리포지토리 관리 작업을 위한 명령줄 인터페이스입니다.

다음과 같은 문제가 확인되었습니다.

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

영향을 받는 버전:

• tough: 버전 0.1.0부터 0.21.x까지(해당 버전 포함)
• tuftool: 버전 0.1.0부터 0.14.x까지(해당 버전 포함)

해결 방법:

이러한 문제는 다음 버전에서 해결되었습니다.

• tough 0.22.0 이상
• tuftool 0.15.0 이상

즉시 tough 버전 0.22.0 이상 및 tuftool 버전 0.15.0 이상으로 업그레이드하는 것이 좋습니다. 또한 포크된 코드나 파생된 코드를 검토하고 업데이트하여 보안 픽스를 통합하세요.

대안:

이러한 문제에 대한 알려진 해결 방법은 없습니다. 패치된 버전으로 업그레이드해야 합니다.

참고 사항:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Tough GitHub 리포지토리

도움을 주신 분:

조정된 공개 프로세스를 통해 이 문제와 관련해 협력해 주신 Oxide Computer Company의 Emily Albini와 1seal.org의 Oleh Konko에 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.