RustFS — это распределенная система хранения объектов, построенная на Rust. От >= 1.0.0-alpha.1 до 1.0.0-alpha.79 недопустимые подписи RPC заставляют сервер регистрировать общий секрет HMAC (и ожидаемую подпись), что раскрывает секрет читателям журнала и позволяет подделать вызовы RPC. В crates/ecstore/src/rpc/http_auth.rs ветвь недействительной подписи регистрирует конфиденциальные данные.
Эта строка журнала включает секретную подпись и ожидаемую_подпись, полученные из общего ключа HMAC. Любой недействительно подписанный запрос запускает этот путь. Функция доступна из обработчиков запросов RPC и администратора.
Эта уязвимость исправлена в версии 1.0.0-alpha.80.
Показать оригинальное описание (EN)
RustFS is a distributed object storage system built in Rust. From >= 1.0.0-alpha.1 to 1.0.0-alpha.79, invalid RPC signatures cause the server to log the shared HMAC secret (and expected signature), which exposes the secret to log readers and enables forged RPC calls. In crates/ecstore/src/rpc/http_auth.rs, the invalid signature branch logs sensitive data. This log line includes secret and expected_signature, both derived from the shared HMAC key. Any invalidly signed request triggers this path. The function is reachable from RPC and admin request handlers. This vulnerability is fixed in 1.0.0-alpha.80.
Характеристики атаки
Последствия
Строка CVSS v4.0