公告 ID：2026-019-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 24 日中午 12:45 (太平洋夏令時間)
 

描述：

tough 程式庫與 tuftool CLI 公用程式中已發現多個安全性問題。tough 是用於產生、簽署與管理 TUF (The Update Framework，更新架構) 儲存庫的 Rust 程式庫，而 tuftool 是用於儲存庫管理作業的命令列介面。

已發現下列問題：

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

受影響版本：

• tough：0.1.0 至 0.21.x 版 (含)
• tuftool：0.1.0 至 0.14.x 版 (含)

解決方案：

這些問題已在下列版本中解決：

• tough 0.22.0 或更新版本
• tuftool 0.15.0 或更新版本

建議立即升級至 tough 0.22.0+ 版與 tuftool 0.15.0+ 版。此外，請檢閱並更新任何分支或衍生程式碼，以納入這些安全性修正。

解決方法：

這些問題目前沒有已知的解決方法。必須升級至已修補版本。

參考資料：

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Tough GitHub 儲存庫

致謝：

我們誠摯感謝 Oxide Computer Company 的 Emily Albini 與 1seal.org 的 Oleh Konko 透過協調式揭露程序，與我們共同處理此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。