警惕!利用(yòng)方式已公開(kāi),MinIO信息洩露¶"α≤漏洞風(fēng)險通(tōng)告
近(jìn)日(rì),亞信安全CERT監測到(dào)MinIO官方發布安全通(tōng)告,修↕♣複了(le)MinIO中的(de)信息洩露漏洞(CVE-2023-28432)。在集群部署的(§↕★↓de)MinIO中,未經身(shēn)份驗證"€的(de)惡意攻擊者可(kě)以通(tōng)過請(qǐng)求MinIOε>的(de)部分(fēn)接口來(lái)獲得(de)MinIO返回的(de)所有(yǒu)環境↕₽←變量值,包括MINIO_SECRET_KEY和(hé)MINIO_ROOT_PASSWO↕Ω₹→RD。成功利用(yòng)此漏洞可(kě)造成系統信息洩露,從(cóng)而導↕✘緻惡意攻擊者可(kě)以利用(yòng)洩露的↕β☆(de)密鑰信息登錄MinIO。目前該漏洞利用(yòng)方式已在互聯網公開(kāi),建議(yì)受影 ™(yǐng)響用(yòng)戶盡快(kuài)下(xià)載安裝修↑<€σ複版本以減少(shǎo)漏洞所帶來(lái)的(de)風(fēng)險。
MinIO是(shì)一(yī)個(gè)開(kāi)源的(dλ<e)對(duì)象存儲服務器(qì),用(yòng)于存儲和(hé)≤Ω'檢索大(dà)規模非結構化(huà)數(shù)據,如ε"(rú)照(zhào)片、視(shì)頻(pín)和(₩₩♣hé)文(wén)檔等。它兼容Amazon S3 API,因此可(kě)以使用(yòng)各種S3₽Ω↑£兼容的(de)工(gōng)具和(hé)庫與其進行(xíng)交¶'互。MinIO提供高(gāo)可(kě)用(yòng)≥∑✘性、高(gāo)性能(néng)和(hé)可(kě)擴展★Ω性,因此非常适合雲存儲、數(shù)據湖(hú)、備份和(hé)歸檔等應用(¶ΩΩ¶yòng)場(chǎng)景。
漏洞編号和(hé)評分(fēn)
CVE-2023-28432
高(gāo)危
漏洞狀态
漏洞細節 | PoC | EXP | 在野利用(yòng) |
| 已公開(kāi) | 已公開(kāi) | 已公開(kāi) | 未知(zhī) |
受影(yǐng)響版本
MinIO RELEASE.2019-12-17T23-16-33Z <£εσ;= MinIO < MinIO RELEASE.2023-03-2 ¶♣0T20-16-18Z
注:MinIO隻有(yǒu)在被配置為(wèi)集群模式的(de)情$ β況下(xià),受此漏洞影(yǐng)響
修複建議(yì)
目前該漏洞已經修複,建議(yì)受影(yǐng)響用(yòng)戶盡®£₩§快(kuài)升級至安全版本RELEASE.2023-03-20T20-16-18Z∏•或更高(gāo)版本:
https://github.com/minio/minio/releasλ≠ ↑es/tag/RELEASE.2023-03-20T20-16-18©>∑♣Z
參考鏈接
https://github.com/minio/minio/security/advisorφ↕δ™ies/GHSA-6xvq-wj2x-3h3q
https://github.com/minio/minio/releases/ta★∑≈g/RELEASE.2023-03-20T20-16-18Z