關於 tough 0.20.0 之前版本的問題 (多個 CVE)
範圍:AWS
內容類型:重要 (需要注意)
出版日期:2022 年 3 月 27 日 (太平洋時間) 下午 2 時 30 分
描述
更新框架(TUF)是一個軟件框架,旨在保護自動識別和下載軟件更新的機制。hard 是用於 TUF 存儲庫的 Rust 客戶端庫。
AWS 在 0.20.0 之前的嚴格版本中知道下列問題。2025 年 3 月 27 日,我們發布了 tough 0.20.0 版本的修補程式,並建議客戶升級來解決這些問題,確保修補任何分叉或衍生程式碼以套用新的修補程式。
- CVE-2025-2885 與缺少根中繼資料版本號驗證的問題有關,可能導致有意行為者向用戶端提供其他版本號,而非根中繼資料檔案中應有的版本號,從而改變用戶端獲取的版本。
- CVE-2025-2886 與程式庫在使用終止委派角色時識別正確簽章以驗證內容的能力問題有關。
- CVE-2025-2888 與導致用戶端快取時間戳記中繼資料 (儘管在偵測到回復時它已被正確拒絕) 的問題有關。這可能會導致 tough 隨後無法使用有效更新。
- CVE-2025-2887 與使用委派角色時回復偵測不完整的問題有關。這可能導致 tough 無法獲得足夠的資訊,從而無法偵測到回復。
受影響的版本:早於 0.20.0
解析度:
這些問題的修補程式包含在 tough 0.20.0 及之後版本中。
參考資料:
我們誠摯感謝 Google 透過協調的漏洞披露程序,與我們協作解決此問題。
如有任何安全問題或疑慮,請發送電子郵件 aws-security@amazon.com 。