RustFS is a distributed object storage system built in Rust. From >= 1.0.0-alpha.1 to 1.0.0-alpha.79, invalid RPC signatures cause the server to log the shared HMAC secret (and expected signature), which exposes the secret to log readers and enables forged RPC calls. In crates/ecstore/src/rpc/http_auth.rs, the invalid signature branch logs sensitive data. This log line includes secret and expected_signature, both derived from the shared HMAC key. Any invalidly signed request triggers this path. The function is reachable from RPC and admin request handlers. This vulnerability is fixed in 1.0.0-alpha.80.
RustFS versions 1.0.0-alpha.1 through 1.0.0-alpha.79 expose shared HMAC secrets in server logs when processing invalid RPC signatures, enabling attackers with log access to forge authenticated RPC calls. The vulnerability exists in the HTTP authentication handler which logs sensitive cryptographic material during signature validation failures.
تعرض RustFS أسرار HMAC المشتركة في سجلات الخادم عند معالجة توقيعات RPC غير الصحيحة من الإصدارات 1.0.0-alpha.1 إلى 1.0.0-alpha.79. يمكن لأي شخص لديه إمكانية الوصول إلى السجلات استخراج المفاتيح السرية واستخدامها لتزوير استدعاءات RPC مصرح بها. تم إصلاح المشكلة في الإصدار 1.0.0-alpha.80.
نظام RustFS الإصدارات من 1.0.0-alpha.1 إلى 1.0.0-alpha.79 يكشف أسرار HMAC المشتركة في سجلات الخادم عند معالجة توقيعات RPC غير الصحيحة، مما يسمح للمهاجمين الذين لديهم إمكانية الوصول إلى السجلات بتزوير استدعاءات RPC مصرح بها. يوجد الثغرة في معالج المصادقة HTTP الذي يسجل مواد تشفيرية حساسة أثناء فشل التحقق من التوقيع.
Upgrade RustFS to version 1.0.0-alpha.80 or later immediately. Rotate all HMAC secrets and shared authentication keys used with affected versions. Review server logs from affected systems for exposure of sensitive authentication material and implement log encryption and access controls. Monitor for unauthorized RPC calls and implement request signing validation.
قم بترقية RustFS إلى الإصدار 1.0.0-alpha.80 أو أحدث على الفور. قم بتدوير جميع أسرار HMAC ومفاتيح المصادقة المشتركة المستخدمة مع الإصدارات المتأثرة. راجع سجلات الخادم من الأنظمة المتأثرة للكشف عن تعريض مواد المصادقة الحساسة وتطبيق تشفير السجلات وضوابط الوصول. راقب استدعاءات RPC غير المصرح بها وطبق التحقق من توقيع الطلب.