金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

警惕!利用方式已公开,MinIO信息泄露漏洞风险通告
发布时间 :2023年03月27日
分享:

近日,8087金沙娱场城CERT监测到MinIO官方发布安全通告,修复了MinIO中的信息泄露漏洞(CVE-2023-28432)。在集群部署的MinIO中,未经身份验证的恶意攻击者可以通过请求MinIO的部分接口来获得MinIO返回的所有环境变量值,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。成功利用此漏洞可造成系统信息泄露,从而导致恶意攻击者可以利用泄露的密钥信息登录MinIO。目前该漏洞利用方式已在互联网公开,建议受影响用户尽快下载安装修复版本以减少漏洞所带来的风险。


MinIO是一个开源的对象存储服务器,用于存储和检索大规模非结构化数据,如照片、视频和文档等。它兼容Amazon S3 API,因此可以使用各种S3兼容的工具和库与其进行交互。MinIO提供高可用性、高性能和可扩展性,因此非常适合云存储、数据湖、备份和归档等应用场景。


漏洞编号和评分

  • CVE-2023-28432

  • 高危


漏洞状态

漏洞细节

PoCEXP在野利用
已公开已公开已公开未知



受影响版本

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO < MinIO RELEASE.2023-03-20T20-16-18Z


注:MinIO只有在被配置为集群模式的情况下,受此漏洞影响


修复建议

目前该漏洞已经修复,建议受影响用户尽快升级至安全版本RELEASE.2023-03-20T20-16-18Z或更高版本:


https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z


参考链接

  • https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

  • https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z


分享到微信
X