漏洞风险提示 | MinIO 敏感信息泄露漏洞(CVE-2023-28432)

admin 2023年3月24日02:18:01评论170 views字数 974阅读3分14秒阅读模式
长亭漏洞风险提示

MinIO 敏感信息泄露漏洞

(CVE-2023-28432)

MinIO 提供高性能、与S3 兼容的对象存储系统,让用户自己能够构建自己的云储存服务。MinIO原生支持 Kubernetes,它可用于每个独立的公共云、每个 Kubernetes 发行版、私有云和边缘的对象存储套件。

3月20日,MinIO 官方发布了安全补丁,修复了一处敏感信息泄露漏洞 CVE-2023-28432:

https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

漏洞描述

在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致敏感信息泄漏漏洞,攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。

只有 MinIO 被配置为集群模式时才会受此漏洞影响,漏洞的利用无需用户身份认证,官方建议所有使用集群模式配置的用户尽快升级

影响范围

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z

解决方案

MinIO 官方已发布相应的补丁修复漏洞,用户可通过升级到 RELEASE.2023-03-20T20-16-18Z 版本进行漏洞修复。

产品支持

云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。

洞鉴:支持以自定义POC的形式进行检测。

雷池:已发布自定义规则支持该漏洞利用行为的检测。

牧云(主机安全默认支持该产品的资产采集,同时支持该漏洞的检测。
牧云(容器安全):默认支持该产品的资产采集,同时支持该漏洞的检测。

全悉:已发布更新包支持该漏洞利用行为的检测。

参考资料

  • https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

  • https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | MinIO 敏感信息泄露漏洞(CVE-2023-28432)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月24日02:18:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞风险提示 | MinIO 敏感信息泄露漏洞(CVE-2023-28432)https://cn-sec.com/archives/1624635.html

发表评论

匿名网友 填写信息