Das Update Framework (TUF) ist ein Software-Framework, das entwickelt wurde, um Mechanismen zu schützen, die automatisch Software-Updates identifizieren und herunterladen. Die "tough"-Bibliothek ist ein Rust-Client für TUF-Repositories. AWS hat mehrere Probleme in "tough"-Versionen vor 0.20.0 identifiziert, die in der neuesten Version behoben wurden. Zu den Problemen gehören die fehlende Validierung der Root-Metadaten-Versionsnummer, eine fehlerhafte Signaturprüfung, das Caching von Zeitstempel-Metadaten trotz Ablehnung und eine unvollständige Rollback-Erkennung. Diese Probleme werden unter CVE-2025-2885, CVE-2025-2886, CVE-2025-2888 und CVE-2025-2887 nachverfolgt. Betroffen sind Versionen vor 0.20.0. Um diese Probleme zu beheben, wird Benutzern empfohlen, auf "tough" Version 0.20.0 oder höher zu aktualisieren. Patches für diese Probleme sind in der neuesten Version enthalten. AWS dankt Google für die Zusammenarbeit an diesem Problem durch den koordinierten Verfahren zur Offenlegung von Sicherheitslücken. Benutzer mit Sicherheitsfragen oder -bedenken können eine E-Mail an [email protected] senden.