CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10

已于 2023-04-19 23:02:53 修改
阅读量6.7k 收藏 6
点赞数 2
分类专栏: 漏洞复现 文章标签: 网络 服务器 安全 web安全
于 2023-04-08 18:07:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/130032072
版权

文章目录

CVE-2023-28432 MinIO 信息泄露漏洞

1. MinIO简介

微信公众号搜索:南风漏洞复现文库
南风网络安全公众号首发

MinIO是美国MinIO公司的一款开源的对象存储服务器, 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息。泄露的信息中包含登录账号密码。

2.漏洞描述

MinIO是美国MinIO公司的一款开源的对象存储服务器。该产品支持构建用于机器学习、分析和应用程序数据工作负载的基础架构。 MinIO 存在信息泄露漏洞,该漏洞源于在集群部署中MinIO会返回所有环境变量,导致信息泄露。

CVE-2023-28432
CNNVD-202303-1795

3.影响版本

2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

4.fofa查询语句

banner=“MinIO” || header=“MinIO” || title=“MinIO Browser”

5.漏洞复现

漏洞链接:http://xxx.com/minio/bootstrap/v1/verify
注意数据包使用pos

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
【1day】复现CVE-2023-28432MinIO信息泄露漏洞
记录并分享学习安全的知识点..
04-13 1378
复现CVE-2023-28432MinIO信息泄露漏洞
Openssh高危漏洞CVE-2023-38408修复方案
吴大锤的专栏
08-03 1万+
手动更新Openssh到最新 9.3.2版本
hvv 前网安人必读的漏洞清单(2024年)
最新发布
2401_84466229的博客
05-28 2080
数字化浪潮席卷全球,安全漏洞的发现和利用频率正以惊人的速度上升,尤其是工业自动化、绿色能源、财经领域、交通系统、国家防务以及医疗行业等关键部门,成为了网络攻击者的主要目标。数据侵犯和勒索软件的攻击层出不穷,凸显了安全漏洞正被黑客用作主要的攻击渠道。本文梳理、分析了 2023 年危害巨大、影响范围广泛、且攻击手法多变的漏洞,旨在为网络安全界的实践者们提供一个详细的漏洞信息概览,帮助安全从业者能够更全面地掌握这些安全威胁,并据此构建更为坚固的安全防线。
MiniO未授权SSRF漏洞CVE-2021-21287)
xiaobai_20190815的博客
06-09 6808
Apache License MiniO未授权SSRF漏洞CVE-2021-21287)
漏洞修复】OpenSSH-ssh-agent 越权访问CVE-2023-38408
Meepoljd的博客
08-17 3062
打包Openssh9.3p2的RPM包并使用yum进行生产环境ssh版本升级
MinIO信息泄露漏洞(CVE-2023-28432)批量检测POC
今天是几号的博客
03-28 1万+
MinIO 是一种开源对象存储服务,与 Amazon S3 API 兼容,可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统,可以存储大量数据,并提供高速的数据读写能力。MinIO采用分布式架构,可以在多个节点上运行,实现数据的分布式存储和处理。在集群部署的Minio中,未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录Minio
MinIO集群模式信息泄露漏洞CVE-2023-28432
EnerY3的博客
12-12 4212
Minio 是一个开源的对象存储服务,它是一个完全兼容 Amazon S3 的存储系统,可以用来构建可扩展的应用程序。Minio 的主要目标是为开发人员提供一个可靠、安全、可扩展的对象存储系统,以便他们可以专注于构建自己的应用程序,而不是存储基础设施。漏洞编号:CVE-2023-28432漏洞评分:高(Critical)影响版本:MinIO 2022.10.0至2023.4.20间的所有版本漏洞描述:MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
OpenSSH(CVE-2023-38408)一键升级修复手册
Q先生
10-17 3758
一夜之间几千台服务器需要升级Openssh,自己也折腾了很久.就出个一键升级的吧。
黑客利用 MinIO 存储系统漏洞攻陷服务器
smellycat000的专栏
09-05 428
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士未知威胁者利用位于 MinIO 高性能对象存储系统重的多个高危漏洞在受影响服务器上实现未授权漏洞执行。网络安全和事件响应公司 Security Joes 表示,攻击利用了公开可用的利用链在 MinIO 实例中安装后门。该利用链由CVE-2023-28432(CVSS评分7.5)和CVE-2023-28434(CVSS评分8.8)组成,而前者已在2...
PHP-FPM Fastcgi 未授权访问漏洞
weixin_30519071的博客
01-10 655
漏洞原理 Fastcgi Fastcgi是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。类比HTTP协议来说,fastcgi协议则是服务器中...
常见危险端口服务及对应的漏洞
热门推荐
谢公子的博客
12-03 2万+
20:FTP服务的数据传输端口 21:FTP服务的连接端口,可能存在 弱口令暴力破解 22:SSH服务端口,可能存在 弱口令暴力破解 23:Telnet端口,可能存在 弱口令暴力破解 25:SMTP简单邮件传输协议端口,和 POP3 的110端口对应 43:whois服务端口 53:DNS服务端口(TCP/UDP 53) 67/68:DHCP服务端口 69:TFTP端口,可能存在...
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 2661
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
MinIO 环境变量泄漏漏洞CVE-2023-28432
murphysec的博客
04-04 2443
MinIO 是一个开源的对象存储服务器MinIO RELEASE.2023-03-20T20-16-18Z之前版本中的 bootstrap-peer-server.go#VerifyHandler 方法存在敏感信息泄漏漏洞,攻击者可向集群部署中的 MinIO 服务器的 /minio/bootstrap/v1/verify API发送POST请求,从而获取到 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息,从而以管理员身份登录 MinIO 服务。
minio文件夹.minio.sys
10-19
minio文件夹中的.minio.sys是一个隐藏文件夹,用于存储minio服务的配置信息和元数据。其中config文件夹下的config.json文件存储了minio服务的配置信息,包括访问密钥、存储位置、日志等。在该文件中,可以修改默认的访问密钥和密码,以提高minio服务的安全性。同时,minio服务还会在该文件夹下生成buckets和objects等元数据信息,用于管理存储桶和对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值