Vulnerabilidad en Rucio (CVE-2025-54064)

Rucio es un framework de software que proporciona funcionalidad para organizar, administrar y acceder a grandes volúmenes de datos científicos mediante políticas personalizables. Los diagramas de Helm comunes de Rucio para `rucio-server`, `rucio-ui` y `rucio-webui` definen el formato de registro para el registro de acceso de Apache de estos componentes. El `X-Rucio-Auth-Token`, que forma parte de cada encabezado de solicitud enviado a Rucio, es parte de este formato de registro. Por lo tanto, cada línea de registro de acceso expone potencialmente las credenciales (token interno de Rucio o JWT en caso de autenticación OIDC) del usuario. Debido a la longitud del token (especialmente para un JWT), los tokens a menudo se truncan y, por lo tanto, no se pueden usar como credenciales; sin embargo, la credencial (parcial) no debe formar parte del archivo de registro. El impacto de este problema se amplifica si los registros de acceso se ponen a disposición de un grupo más amplio de personas que los propios administradores de instancias. Se ha publicado una versión actualizada para los diagramas de Helm `rucio-server`, `rucio-ui` y `rucio-webui`. El cambio también se implementó para las versiones LTS de Rucio actualmente compatibles. Las versiones parcheadas son rucio-server 37.0.2, 35.0.1 y 32.0.1; rucio-ui 37.0.4, 35.0.1 y 32.0.2; y rucio-webui 37.0.2, 35.1.1 y 32.0.1. Como solución alternativa, se puede actualizar la variable `logFormat` y eliminar el `X-Rucio-Auth-Token`.