漏洞概述
MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。
漏洞编号:CVE-2023-28432
漏洞描述
漏洞源于MinIO集群模式的静态网页泄露问题。该漏洞允许未经身份验证的用户通过访问特定URL来获取存储在MinIO中的文件内容。攻击者可以利用该漏洞下载敏感数据,例如用户凭证、加密密钥等。
影响版本:RELEASE.2019-12-17T23-16-33Z
<= MinIO < RELEASE.2023-03-20T20-16-18Z
实际处理
- 旧版本的minio要升级至
RELEASE.2022-10-29T06-21-33Z
或更高版本时,会导致无法启动。 - 需要部署一个新版本的minio,保持新旧2个版本的minio,再借助mc工具将老版本的文件迁移到新版本的minio中。
- 最后修改启动配置,保持原本的配置要求。
安装新版本的minio
#创建minio目录
mkdir /home/usr/local/minio2023
#进入minio目录
cd /home/usr/local/minio2023
#在线安装(或自行手动下载指定版本)
wget https://dl.min.io/server/minio/release/linux-amd64/minio
#创建目录
mkdir /data
mkdir /config
#赋予权限
chmod 777 minio
#使用start.sh脚本启动
./start.sh minio
附加start.sh
脚本内容,可根据实际情况调整【修改自己的端口、用户名、密码即可】
MINIO_ROOT_USER=your_account MINIO_ROOT_PASSWORD=your_password nohup ./minio server --console-address ":7004" -address ":9004" --config-dir /home/usr/local/minio2023config /home/usr/local/minio2023/data> /home/usr/local/minio2023/minio.log 2>&1 &#
安装mc工具
wget http://dl.minio.org.cn/client/mc/release/linux-amd64/mc
chmod +x mc
mv mc /usr/bin/
# 查看帮助
mc -h
mc迁移数据
- 分别设置旧版、新版mino的alias
#设置旧版
mc alias set minio2021 http://127.0.0.1:9000 your_account your_password
#设置新版
mc alias set minio2023 http://127.0.0.1:9004 your_account your_password
- 进行数据迁移
#全量迁移,重名文件不覆盖,如bucket不存在,会自动创建
mc mirror minio2021 minio2023
最后的最后
- 等待文件迁移完毕后,可以关闭两个minio,将旧版minio的start.sh替换成新版的启动脚本,保持原本的端口。
- 新版本的minio,根据情况设置bucket的作用范围为:public