ID do boletim: 2026-019-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 24/04/2026 12:45 PM PDT
 

Descrição:

Foram identificadas várias falhas de segurança na biblioteca tough e no utilitário de linha de comando tuftool. A tough é uma biblioteca em Rust usada para gerar, assinar e gerenciar repositórios TUF (The Update Framework), e tuftool é a interface de linha de comando para operações de gerenciamento de repositórios.

Os seguintes problemas foram identificados:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

Versões afetadas:

• tough: versões de 0.1.0 a 0.21.x (incluindo)
• tuftool: versões de 0.1.0 a 0.14.x (incluindo)

Resolução:

Esses problemas foram resolvidos nas seguintes versões:

• tough 0.22.0 ou posterior
• tuftool 0.15.0 ou posterior

Recomendamos fazer upgrade imediatamente para a versão 0.22.0+ da tough e a versão 0.15.0+ do tuftool. Além disso, revise e atualize qualquer código derivado ou com fork para incorporar as correções de segurança.

Soluções alternativas:

Não há soluções alternativas conhecidas para esses problemas. É necessário fazer upgrade para as versões com patch.

Referências:

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Repositório Github da Tough

Agradecimentos:

Gostaríamos de agradecer a Emily Albini, da Oxide Computer Company, e a Oleh Konko, da 1seal.org, pela colaboração para solucionar esse problema por meio do processo de divulgação coordenada.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.