Data da publicação: 27/03/2025 14:30 PDT
Descrição
O Update Framework (TUF) é um framework de software projetado para proteger mecanismos que identificam e baixam atualizações de software automaticamente. A tough é uma biblioteca cliente Rust para repositórios TUF.
A AWS está ciente dos seguintes problemas em versões anteriores a 0.20.0 da tough. Em 27 de março de 2025, lançamos uma correção na tough 0.20.0 e recomendamos que os clientes façam upgrade para resolver esses problemas e garantir que qualquer código derivado ou bifurcado seja corrigido para incorporar as novas correções.
- O CVE-2025-2885 está relacionado a um problema com a falta de validação do número de versão dos metadados raiz, o que poderia permitir que um agente fornecesse ao cliente um número de versão inesperado em vez da versão pretendida no arquivo de metadados raiz, alterando a versão obtida pelo cliente.
- O CVE-2025-2886 está relacionado a um problema na capacidade da biblioteca de identificar a assinatura correta para verificar o conteúdo quando são usadas funções delegadas de encerramento.
- O CVE-2025-2888 está relacionado a um problema que fazia com que o cliente armazenasse em cache os metadados de registro de data/hora, apesar de eles terem sido corretamente rejeitados quando uma reversão era detectada. Isso pode fazer com que a tough não consiga consumir atualizações válidas.
- O CVE-2025-2887 está relacionado a um problema com a detecção incompleta de reversões quando funções delegadas estão em uso. Isso pode fazer com que a tough não detecte reversões que deveriam ter informações suficientes para serem detectadas.
Versão afetada: <0.20.0
Resolução:
Os patches para esses problemas estão incluídos na tough >=0.20.0.
Referências:
Gostaríamos de agradecer ao Google por colaborar nessa questão por meio do processo coordenado de divulgação de vulnerabilidades.
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.