【复现】MinIO信息泄露漏洞(CVE-2023-28432)风险通告
2023-3-23 16:40:27 Author: 赛博昆仑CERT(查看原文) 阅读量:337 收藏

-赛博昆仑漏洞安全通告-

MinIO信息泄露漏洞
(CVE-2023-28432)风险通告

漏洞描述

MinIO 是一个高性能的分布式对象存储系统。它是软件定义的,在行业标准硬件上运行,并且 100% 开源,主要许可证是 GNU AGPL v3。MinIO 的不同之处在于它从一开始就被设计为私有/混合云对象存储的标准。因为 MinIO 是专门为对象而构建的,所以单层架构可以毫不妥协地实现所有必要的功能。结果是一个同时具有高性能、可扩展性和轻量级的云原生对象服务器。

近日,赛博昆仑CERT监测到MinIO官方发布了漏洞公告。经过分析判断该漏洞非常严重,未经身份验证的攻击者向在集群部署中的MinIO发送特殊的HTTP请求即可获取到包括MINIO_SECRET_KEY以及MINIO_ROOT_PASSWORD在内的所有环境变量信息,从而造成信息泄露并且能够以管理员身份登录MinIO。

漏洞名称
MinIO信息泄露漏洞
漏洞公开编号
CVE-2023-28432
昆仑漏洞库编号
CYKL-2023-003064
漏洞类型
信息泄露
公开时间
2023-03-21
漏洞等级
严重
评分
暂无
漏洞所需权限
无权限要求
漏洞利用难度
PoC状态
未知
EXP状态
未知
漏洞细节
已公开
在野利用
未知
影响版本
MinIO RELEASE.2019-12-17T23-16-33Z <= version < MinIO RELEASE.2023-03-20T20-16-18Z
漏洞复现
    赛博昆仑CERT复现该漏洞的截图如下

检测措施

目前赛博昆仑-洞见产品已集成该漏洞规则,可以对该远程命令执行漏洞进行检测。

修复建议

目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。

MinIO RELEASE.2023-03-20T20-16-18Z 以上

下载地址:https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT

参考链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28432

时间线
2023年3月21日,MinIO官方发布安全通告
2023年3月23日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483996&idx=1&sn=b7ce13b85b7cb363f3b177f4bd3c1568&chksm=c12affddf65d76cb603d5b14ef1afeda87e0486c255e8db3c58893bdc9b300960f43643d7881#rd
如有侵权请联系:admin#unsafe.sh