关键漏洞信息 漏洞标题 Insertion of X-Rucio-Auth-Token in apache access logfiles 严重性 Moderate CVE ID CVE-2025-54064 影响的包和版本 rucio-server (helm-charts) - 受影响版本: <=37.0.1 (except for 35.0.1, 35.0.1, and 32.0.1) - 修复版本: 37.0.2, 35.0.1, 32.0.1 rucio-ui (helm-charts) - 受影响版本: <=37.0.3 (except for 35.0.1 and 32.0.2) - 修复版本: 37.0.4, 35.0.1, 32.0.2 rucio-webui (helm-charts) - 受影响版本: <=37.0.1 (except for 35.1.1 and 32.0.1) - 修复版本: 37.0.2, 35.1.1, 32.0.1 描述与影响 问题: Rucio Helm charts 中定义的 Apache 访问日志格式包含 ,这可能会暴露用户的凭据(内部 Rucio 令牌或 JWT)。 风险: 尽管令牌可能被截断而无法使用,但部分凭据不应出现在日志文件中。如果访问日志对更多人开放,问题会更加严重。 修复措施 更新发布: 已为 rucio-server、rucio-ui 和 rucio-webui 提供了更新版本。 修补版本: - rucio-server: 37.0.2, 35.0.1, 32.0.1 - rucio-ui: 37.0.4, 35.0.1, 32.0.2 - rucio-webui: 37.0.2, 35.1.1, 32.0.1 解决方案 更新 变量并移除 。