漏洞公告
近日,安恒信息 CERT 监测到 MinIO 官方发布安全更新,修复了一处信息泄漏漏洞(CVE-2023-28432)。该漏洞允许未经身份验证的远程攻击者通过在集群部署中的 MinIO 发送特殊的 HTTP 请求获取到所有环境变量信息,导致信息泄漏。目前官方发布安全更新,建议受影响的用户尽快采取安全措施。
参考链接:
https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
受影响版本:
MinIO RELEASE.2019-12-17T23-16-33Z <= version < MinIO RELEASE.2023-03-20T20-16-18Z
version>=MinIO RELEASE.2023-03-20T20-16-18Z
version < MinIO RELEASE.2019-12-17T23-16-33Z
MinIO 是一款高性能的对象存储服务器,它兼容 Amazon S3 API。它的设计目的是为了提供云存储服务的性能和可扩展性,同时还保持着本地存储的简单性和易用性。MinIO 可以在 Linux、MacOS 和 Windows 等操作系统上运行,它可以通过命令行界面或 RESTful API 进行管理。
MinIO 信息泄露漏洞(CVE-2023-28432): 在从 RELEASE2019-12-17T23-16-33Z 开始,在 RELEASE2023-03-20T20-16Z 之前的集群部署中,MinIO 返回所有环境变量,包括“MinIO_SSECRET_KEY”和“MinIO_ROOT_PASSWORD”,导致信息泄露。分布式部署的所有用户都会受到影响。
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 是 |
未公开 |
未公开 |
未发现 |
安恒信息 CERT 已验证 MinIO 信息泄露漏洞(CVE-2023-28432)的可利用性:
![MinIO信息泄露漏洞(CVE-2023-28432)风险提示]( "MinIO信息泄露漏洞(CVE-2023-28432)风险提示")
高危:目前漏洞细节已公开,建议受影响用户及时升级到安全版本。
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
目前安恒信息防护类产品均已经集成漏洞防护能力,可通过前往“安恒社区”下载对应产品的策略升级包进行升级。
AiLPHA 大数据平台&AXDR 平台的流量探针(AiNTA)在第一时间加入了对该漏洞的检测规则,请将规则包升级到 1.1.1032 版本(AiNTA-v1.2.5_release_ruletag_1.1.1032)及以上版本。
规则名称:MinIO 信息泄露漏洞(CVE-2023-28432)
AiNTA 流探针规则升级方法:系统管理-> 手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从 AiLPHA 安全中心下载规则包。
https://ailpha.dbappsecurity.com.cn/index.html#/login
APT 攻击预警平台已经在第一时间加入了对 MinIO 信息泄露漏洞(CVE-2023-28432)的检测,请将规则包升级到
GoldenEyeIPv6_xxxxx_strategy2.0.26545.230324.1 及以上版本。
规则名称:MinIO 信息泄露漏洞(CVE-2023-28432)
APT 攻击预警平台规则升级方法:系统-> 升级管理,选择“手动升级”或“在线升级”。
APT 攻击预警平台的规则升级包请到安恒社区下载:
https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc97a68c885b76dd8d8667?type1=5e01818f8a17d82f9f66fb26
WAF 已经在第一时间加入了对 MinIO 信息泄露漏洞(CVE-2023-28432)的检测,请将规则包升级到 2023032001 及以上版本。
平台规则升级方法:策略-> 规则升级,选择“本地上传”或“在线更新”。
WAF 规则升级包请到安恒社区下载:https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc94fe8c885b76dd8d8657?type1=5de8b762a05eab5fe16bc330。
玄武盾已经支持 MinIO 信息泄露漏洞(CVE-2023-28432)的检测。
(1)明鉴漏洞扫描系统/明鉴远程安全评估系统已具备最新的 MinIO 信息泄露漏洞(CVE-2023-28432)的检测能力,将策略库升级至 V1.3.917.941 版本。
升级方法:系统管理-系统服务-系统升级-立即升级 可通过网络在线升级至最新版本,或通过离线下载升级包后至系统管理-系统服务-系统升级-选择离线包上传升级包,升级成功后策略库为最新版本。
http://upgrade.websaas.com.cn/offline-package
(2)云鉴版漏洞扫描系统已具备最新的 MinIO 信息泄露漏洞(CVE-2023-28432)的检测能力,将策略库升级至 V1.3.917.941 版本,具体的升级方式为离线上传更新。具体升级方式可联系杨芳获取。
(3)WebScan7 已具备最新的 MinIO 信息泄露漏洞(CVE-2023-28432)的检测能力,将策略库升级至 V1.0.1.75 版本,具体的升级方式为一键在线升级。策略库离线下载地址:http://upgrade.websaas.com.cn/offline-package?type=web
原文始发于微信公众号(安恒信息CERT):MinIO信息泄露漏洞(CVE-2023-28432)风险提示
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1625942.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论