MinIO 敏感信息泄露漏洞
(CVE-2023-28432)
MinIO 提供高性能、与S3 兼容的对象存储系统,让用户自己能够构建自己的云储存服务。MinIO原生支持 Kubernetes,它可用于每个独立的公共云、每个 Kubernetes 发行版、私有云和边缘的对象存储套件。
3月20日,MinIO 官方发布了安全补丁,修复了一处敏感信息泄露漏洞 CVE-2023-28432:
https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
漏洞描述
在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致敏感信息泄漏漏洞,攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。
只有 MinIO 被配置为集群模式时才会受此漏洞影响,此漏洞的利用无需用户身份认证,官方建议所有使用集群模式配置的用户尽快升级。
影响范围
MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z
解决方案
MinIO 官方已发布相应的补丁修复漏洞,用户可通过升级到 RELEASE.2023-03-20T20-16-18Z 版本进行漏洞修复。
产品支持
洞鉴:支持以自定义POC的形式进行检测。
雷池:已发布自定义规则支持该漏洞利用行为的检测。
全悉:已发布更新包支持该漏洞利用行为的检测。
参考资料
-
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
-
https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | MinIO 敏感信息泄露漏洞(CVE-2023-28432)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论