公告 ID：2026-019-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 24 日下午 12:45（太平洋夏令时）
 

描述：

在 tough 库和 tuftool CLI 实用程序中发现了多个安全问题。tough 是一个用于生成、签署和管理 TUF（更新框架）存储库的 Rust 库，而 tuftool 是存储库管理操作的命令行接口。

已发现以下问题：

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968

受影响的版本：

• tough：版本 0.1.0 到 0.21.x（包括在内）
• tuftool：版本 0.1.0 到 0.14.x（包括在内）

解决方法：

这些问题已在以下版本中予以解决：

• tough 0.22.0 或更高版本
• tuftool 0.15.0 或更高版本

我们建议立即升级到 tough 版本 0.22.0+ 和 tuftool 版本 0.15.0+。此外，审核并更新任何分叉代码或派生代码，以纳入安全修复。

临时措施：

这些问题尚无已知的临时措施。需要升级到打补丁的版本。

参考：

• CVE-2026-6966
• CVE-2026-6967
• CVE-2026-6968
• GHSA-8m7c-8m39-rv4x
• GHSA-4v58-8p28-2rq3
• GHSA-v57p-gppj-p9vg
• Tough GitHub 存储库

致谢：

我们非常感谢 Oxide Computer Company 的 Emily Albini 和 1seal.org 的 Oleh Konko 通过协调披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。