Rand-Tech

**Nome do Software Vulnerável e Versões Afetadas** Versões do RustFS de 1.0.0-alpha.1 até 1.0.0-alpha.79 **Descrição** O RustFS é um sistema de armazenamento de objetos distribuído desenvolvido em Rust. Assinaturas RPC inválidas fazem com que o servidor registre em log o segredo HMAC compartilhado e a assinatura esperada. Isso expõe o segredo aos leitores de log, potencialmente permitindo chamadas RPC forjadas. A vulnerabilidade reside no arquivo `crates/ecstore/src/rpc/http auth.rs`, especificamente dentro da ramificação de assinatura inválida, onde dados sensíveis são registrados. Qualquer requisição com assinatura inválida aciona este registro, e a função é acessível a partir de manipuladores de requisição RPC e administrativos. As informações registradas incluem o `secret` e o `expected signature`, ambos derivados da chave HMAC compartilhada. **Recomendações** Atualize para a versão 1.0.0-alpha.80 ou posterior do RustFS.