발행일: 2025년 3월 27일 오후 2시 30분(태평양 표준시)
설명
The Update Framework(TUF)는 소프트웨어 업데이트의 자동 식별 및 다운로드 메커니즘을 보호하기 위해 설계된 소프트웨어 프레임워크입니다. Tough는 TUF 리포지토리용 Rust 클라이언트 라이브러리입니다.
AWS는 Tough 0.20.0 이전 버전에서 다음 문제가 발생한 것을 확인했습니다. AWS는 2025년 3월 27일에 Tough 0.20.0의 수정 사항을 릴리스했으며, 고객이 업그레이드를 통해 이 문제를 해결하고 포크된 코드나 파생 코드를 패치하여 새로운 수정 사항을 적용할 것을 권장합니다.
- CVE-2025-2885 문제는 루트 메타데이터 버전 번호의 검증 누락과 관련이 있습니다. 이로 인해 행위자가 의도한 루트 메타데이터 파일 버전 대신 의도하지 않은 버전 번호를 클라이언트에게 제공하여 클라이언트가 불러온 버전이 변경될 수 있습니다.
- CVE-2025-2886 문제는 위임된 역할을 종료할 때 올바른 서명을 식별하여 콘텐츠를 검증하는 라이브러리의 기능과 관련이 있습니다.
- CVE-2025-2888 문제는 감지된 롤백이 올바르게 거부되었음에도 불구하고 클라이언트가 타임스탬프 메타데이터를 캐시하는 것과 관련이 있습니다. 이로 인해 Tough가 이후에 유효한 업데이트를 사용하지 못할 수 있습니다.
- CVE-2025-2887 문제는 위임된 역할이 사용 중일 때 롤백이 불완전하게 감지되는 것과 관련이 있습니다. 이로 인해 Tough가 감지할 수 있는 정보가 충분한데도 롤백을 감지하지 못할 수 있습니다.
영향을 받는 버전: Tough 0.20.0 이전 버전
해결 방법:
해당 문제에 대한 패치는 Tough 0.20.0 이상 버전에 포함되어 있습니다.
참고 사항:
조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Google에 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.