【安全漏洞公告】MinIO 信息泄露漏洞(CNNVD-202303-1795)
一、漏洞簡介
|
CVE ID
|
CVE-2023-28432
|
公開日期
|
2023-03-29
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
����
MinIO是一個開源的、云原生的對象存儲服務。它的設計目標是為云原生應用程序提供高性能、高可用性、可擴展性和安全性的對象存儲。
�������
當MinIO為集群模式配置時,未經身份驗證的攻擊者通過構造特制請求包,最終可獲取所有環境變量信息,攻擊者可利用其中的MINIO_SECRET_KEY與MINIO_ROOT_PASSWORD以管理員身份登錄后臺。CVSS評分為7.5,目前漏洞細節已被公開披露,請受影響的用戶盡快采取措施進行防護。
二、影響范圍
����
2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
三、解決措施
������
目前官方已發布安全修復版本,受影響用戶可以升級到RELEASE.2023-03-20T20-16-18Z及以上版本。
補丁下載鏈接://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
四、參考鏈接
來源:MISC
�������
鏈接: //github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
來源:MISC
������
鏈接: //www.greynoise.io/blog/openai-minio-and-why-you-should-always-use-docker-cli-scan-to-keep-your-supply-chain-clean
來源:MISC
����
鏈接: //twitter.com/Andrew___Morris/status/1639325397241278464
來源:MISC
�����
鏈接: //viz.greynoise.io/tag/minio-information-disclosure-attempt
來源:MISC
�������
鏈接: //github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
來源:cxsecurity.com
鏈接: //cxsecurity.com/cveshow/CVE-2023-28432/
