發布日期:2025 年 3 月 27 日下午 02:30 (太平洋夏令時間)
描述
更新架構 (TUF) 是一種軟體框架,旨在保護自動識別和下載軟體更新的機制。tough 是 TUF 儲存庫的 Rust 用戶端程式庫。
AWS 已知曉 tough 0.20.0 之前的版本中存在以下問題。2025 年 3 月 27 日,我們發布了 tough 0.20.0 版本的修補程式,並建議客戶升級來解決這些問題,確保修補任何分叉或衍生程式碼以套用新的修補程式。
- CVE-2025-2885 與缺少根中繼資料版本號驗證的問題有關,可能導致有意行為者向用戶端提供其他版本號,而非根中繼資料檔案中應有的版本號,從而改變用戶端獲取的版本。
- CVE-2025-2886 與程式庫在使用終止委派角色時識別正確簽章以驗證內容的能力問題有關。
- CVE-2025-2888 與導致用戶端快取時間戳記中繼資料 (儘管在偵測到回復時它已被正確拒絕) 的問題有關。這可能會導致 tough 隨後無法使用有效更新。
- CVE-2025-2887 與使用委派角色時回復偵測不完整的問題有關。這可能導致 tough 無法獲得足夠的資訊,從而無法偵測到回復。
受影響的版本:早於 0.20.0
解決方案:
這些問題的修補程式包含在 tough 0.20.0 及之後版本中。
參考資料:
我們誠摯感謝 Google 透過協調的漏洞披露程序,與我們協作解決此問題。
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。