>>>> 漏洞名称:
Minio 敏感信息泄露漏洞(CVE-2023-28432)
>>>> 组件名称:
Minio
>>>> 漏洞类型:
敏感信息泄露
>>>> 利用条件:
1、用户认证:不需要用户认证
2、前置条件:集群部署
3、触发方式:远程
>>>> 综合评定利用难度:
简单
>>>> 综合评定威胁等级:
中
漏洞描述
1
组件介绍
MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。
2
漏洞描述
今日,青藤安全响应中心监测到Minio发布了高危漏洞CVE-2023-28432的通告:在集群部署的Minio中,未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录Minio。
影响范围
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
修复建议
1
官方修复建议
升级至修复版本
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
2
青藤产品解决方案
青藤万相·主机自适应安全平台已支持该漏洞的检测
青藤蜂巢·云原生安全平台已支持该漏洞的检测
参考链接
hhttps://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
漏洞时间线
Minio发布了CVE-2023-28432的安全通告
青藤复现漏洞
青藤发布漏洞通告
-完-
原文始发于微信公众号(青藤实验室):【漏洞通告(二次更新)】Minio 敏感信息泄露漏洞(CVE-2023-28432)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论