Skandragon

**Nome do Software Vulnerável e Versões Afetadas** RustFS versões anteriores a 1.0.0-beta.2 **Descrição** A camada RPC internode autentica requisições usando uma assinatura HMAC-SHA256 com um segredo compartilhado. A função `get shared secret()` em crates/ecstore/src/rpc/http auth.rs utiliza por padrão uma chave pública incorporada na árvore de origem `DEFAULT SECRET KEY` ("rustfsadmin") caso a variável de ambiente `RUSTFS RPC SECRET` e a chave secreta global do S3 não estejam configuradas. **Recomendações** Atualize para a versão 1.0.0-beta.2. Configure a variável de ambiente `RUSTFS RPC SECRET` ou a chave secreta global do S3 para evitar o uso da chave secreta padrão.

**Nome do Software Vulnerável e Versões Afetadas** RustFS versões anteriores a 1.0.0-beta.2 **Description** O software inclui uma chave privada RSA de 2048 bits como uma constante de string chamada `TEST PRIVATE KEY` no arquivo crates/appauth/src/token.rs. Esta chave é utilizada em produção pela função `parse license()` para verificar tokens de licença. Como a chave está incorporada em todos os lançamentos de código-fonte e binários publicados, um invasor com acesso ao repositório ou ao binário pode extraí-la para criar tokens de licença arbitrários com qualquer assunto ou data de expiração. Isso anula o mecanismo de imposição de licença quando o recurso Cargo de licença está habilitado. **Recommendations** Atualizar para a versão 1.0.0-beta.2.

**Nome do Software Vulnerável e Versões Afetadas** RustFS versões anteriores a 1.0.0-beta.2 **Descrição** Quando a variável `RUSTFS CORS ALLOWED ORIGINS` não está definida, a ConditionalCorsLayer do listener S3 reflete qualquer valor de Origin da requisição de volta como Access-Control-Allow-Origin. Além disso, define Access-Control-Allow-Credentials: true e Access-Control-Allow-Headers: * nas respostas, incluindo respostas de preflight e de erro. Isso cria uma política de cross-domain permissiva com origens não confiáveis, permitindo que um navegador que visite uma página controlada por um invasor emita requisições cross-origin autenticadas para uma implantação do RustFS. Isso possibilita a leitura de respostas quando o navegador da vítima possui credenciais ambientes para a origem do RustFS, como credenciais de HTTP Basic Auth salvas, cookies de SSO de proxy reverso ou certificados de cliente TLS. **Recomendações** Atualizar para a versão 1.0.0-beta.2.

**Nome do Software Vulnerável e Versões Afetadas** RustFS versões anteriores a 1.0.0-beta.2 **Descrição** O endpoint do console "GET /rustfs/console/license" retorna metadados de licença analisados, incluindo o assunto da licença e o carimbo de data/hora de expiração em formato JSON, sem exigir autenticação. Qualquer cliente capaz de alcançar o listener do console pode consultar este endpoint sem fornecer credenciais. **Recomendações** Atualize para a versão 1.0.0-beta.2.