The Update Framework (TUF) は、ソフトウェアへのアップデートを自動的に識別しダウンロードするメカニズムを保護するために設計されたソフトウェアフレームワークです。 tough ライブラリは、TUF リポジトリ向けの Rust クライアントです。 AWS は、tough のバージョン 0.20.0 以前にいくつかの問題を発見し、最新リリースで修正されました。 問題には、ルートメタデータバージョン番号の検証の欠如、署名検証の誤り、拒否にも関わらずタイムスタンプメタデータのキャッシュ、不完全なロールバック検出などが含まれます。 これらの問題は、CVE-2025-2885、CVE-2025-2886、CVE-2025-2888、および CVE-2025-2887 として追跡されています。 影響を受けるバージョンは、0.20.0 以前のものです。 これらの問題を解決するために、ユーザーは tough バージョン 0.20.0 以降にアップグレードすることが推奨されます。 これらの問題に対するパッチは、最新リリースに含まれています。 AWS は、調整された脆弱性公開プロセスを通じてこの問題に協力してくれた Google に感謝します。 セキュリティに関する質問や懸念がある場合は、[email protected] にメールでご連絡ください。