【安全漏洞公告】MinIO 信息泄露漏洞(CNNVD-202303-1795)
一、漏洞簡介
|
CVE ID
|
CVE-2023-28432
|
公開日期
|
2023-03-29
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
MinIO是(shi)一������個開(kai)源的、云原生的對(dui)象存儲(chu)(chu)服務(wu)。它的設計(ji)目標是(shi)為云原生應用程序提(ti)供(�����gong)高(gao)性(xing)能、高(gao)可用性(xing)、可擴展性(xing)和安全(quan)性(xing)的對(dui)象存儲(chu)(chu)。
當MinIO為(wei)集群模式(shi)配置時,未經身(shen)份(fen)(fen)驗證的攻擊者(zhe)通過(guo)構(g����ou)造特制請(qing)(qing)求包,最終可獲取所有環境變量信息,攻擊者(zhe)可利用(yong)其中(zhong)的MINIO_SECRET_KEY與MINIO_ROOT_PASSWORD以������(yi)管理員身(shen)份(fen)(fen)登錄后(hou)臺。CVSS評分為(wei)7.5,目前漏洞細節(jie)已被公開披露,請(qing)(qing)受影響的用(yong)戶盡快采取措施進行(xing)防護。
二、影響范圍
2019-12-17T23-16-�����33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
三、解決措施
目前官方已發布安(an)全修復版(ban)本,受影響用戶可以(yi)升級到RELEASE.2023-03-20����T20-16-18Z及(ji)以(yi)上版(ban)本。
補丁下載鏈接://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
四、參考鏈接
來源:MISC
鏈接: //github.com/minio/minio/security/ad�����visories/GH������SA-6xvq-wj2x-3h3q
來源:MISC
鏈(lian)接: //www.greynoise.io/blog/openai-minio-and-why-you-should-always-use-docker-cli-s�������can-to-keep-your-supply-chain-clea�����n
來源:MISC
鏈接: //twitter.com/Andrew_�����__Morris/st�����atus/1639325397241278464
來源:MISC
鏈(lian)接: //viz.gr������eynoise.io/tag/mi����nio-information-disclosure-attempt
來源:MISC
鏈接: //github.com/minio/������minio/releases/tag/RELEASE.2023-03-20T20-16-1������8Z
來源(yuan):cxsecurity.com
鏈接: //cxsecurity.com/cveshow/CVE-2023-28432/
