近日,8087金沙娱场城CERT监测到MinIO官方发布安全通告,修复了MinIO中的信息泄露漏洞(CVE-2023-28432)。在集群部署的MinIO中,未经身份验证的恶意攻击者可以通过请求MinIO的部分接口来获得MinIO返回的所有环境变量值,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。成功利用此漏洞可造成系统信息泄露,从而导致恶意攻击者可以利用泄露的密钥信息登录MinIO。目前该漏洞利用方式已在互联网公开,建议受影响用户尽快下载安装修复版本以减少漏洞所带来的风险。
MinIO是一个开源的对象存储服务器,用于存储和检索大规模非结构化数据,如照片、视频和文档等。它兼容Amazon S3 API,因此可以使用各种S3兼容的工具和库与其进行交互。MinIO提供高可用性、高性能和可扩展性,因此非常适合云存储、数据湖、备份和归档等应用场景。
漏洞编号和评分
漏洞状态
漏洞细节 | PoC | EXP | 在野利用 |
已公开 | 已公开 | 已公开 | 未知 |
受影响版本
MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO < MinIO RELEASE.2023-03-20T20-16-18Z
注:MinIO只有在被配置为集群模式的情况下,受此漏洞影响
修复建议
目前该漏洞已经修复,建议受影响用户尽快升级至安全版本RELEASE.2023-03-20T20-16-18Z或更高版本:
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
参考链接