四川嘉行科技有限公司歡迎您

新聞中心

NEWS CENTER

028-85520929

歡迎您來(lái)電咨詢(xún)
現在的位置:首頁(yè) > 新聞中心 > 行業(yè)新聞 > 詳情

警惕!利用方式已公開(kāi),MinIO信息泄露漏洞風(fēng)險通告

近日,亞信安全CERT監測到MinIO官方發(fā)布安全通告,修復了MinIO中的信息泄露漏洞(CVE-2023-28432)。在集群部署的MinIO中,未經(jīng)身份驗證的惡意攻擊者可以通過(guò)請求MinIO的部分接口來(lái)獲得MinIO返回的所有環(huán)境變量值,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。成功利用此漏洞可造成系統信息泄露,從而導致惡意攻擊者可以利用泄露的密鑰信息登錄MinIO。目前該漏洞利用方式已在互聯(lián)網(wǎng)公開(kāi),建議受影響用戶(hù)盡快下載安裝修復版本以減少漏洞所帶來(lái)的風(fēng)險。


MinIO是一個(gè)開(kāi)源的對象存儲服務(wù)器,用于存儲和檢索大規模非結構化數據,如照片、視頻和文檔等。它兼容Amazon S3 API,因此可以使用各種S3兼容的工具和庫與其進(jìn)行交互。MinIO提供高可用性、高性能和可擴展性,因此非常適合云存儲、數據湖、備份和歸檔等應用場(chǎng)景。


漏洞編號和評分

  • CVE-2023-28432

  • 高危


漏洞狀態(tài)

漏洞細節

PoCEXP在野利用
已公開(kāi)已公開(kāi)已公開(kāi)未知



受影響版本

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO < MinIO RELEASE.2023-03-20T20-16-18Z


注:MinIO只有在被配置為集群模式的情況下,受此漏洞影響


修復建議

目前該漏洞已經(jīng)修復,建議受影響用戶(hù)盡快升級至安全版本RELEASE.2023-03-20T20-16-18Z或更高版本:


https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z


參考鏈接

  • https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

  • https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z