Problema com versões difíceis anteriores à 0.20.0 (vários CVEs)

Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 2025/03/27 14:30 PDT

Descrição

O Update Framework (TUF) é uma estrutura de software projetada para proteger mecanismos que identificam e baixam automaticamente atualizações de software. tough é uma biblioteca cliente Rust para repositórios TUF.

A AWS está ciente dos seguintes problemas em versões difíceis anteriores à 0.20.0. Em 27 de março de 2025, lançamos uma correção na tough 0.20.0 e recomendamos que os clientes façam upgrade para resolver esses problemas e garantir que qualquer código derivado ou bifurcado seja corrigido para incorporar as novas correções.

O CVE-2025-2885 está relacionado a um problema com a falta de validação do número de versão dos metadados raiz, o que poderia permitir que um agente fornecesse ao cliente um número de versão inesperado em vez da versão pretendida no arquivo de metadados raiz, alterando a versão obtida pelo cliente.
O CVE-2025-2886 está relacionado a um problema na capacidade da biblioteca de identificar a assinatura correta para verificar o conteúdo quando são usadas funções delegadas de encerramento.
O CVE-2025-2888 está relacionado a um problema que fazia com que o cliente armazenasse em cache os metadados de registro de data/hora, apesar de eles terem sido corretamente rejeitados quando uma reversão era detectada. Isso pode fazer com que a tough não consiga consumir atualizações válidas.
O CVE-2025-2887 está relacionado a um problema com a detecção incompleta de reversões quando funções delegadas estão em uso. Isso pode fazer com que a tough não detecte reversões que deveriam ter informações suficientes para serem detectadas.

Versão afetada: <0.20.0

Resolução:

Os patches para esses problemas estão incluídos na tough >=0.20.0.

Referências: