MinIO漏洞 CVE-2023-28432

已于 2024-01-18 09:50:54 修改
阅读量820 收藏 9
点赞数 11
文章标签: centos 开源软件
于 2024-01-16 15:14:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38613494/article/details/135625640
版权

漏洞概述

MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。

漏洞编号:CVE-2023-28432

漏洞描述

漏洞源于MinIO集群模式的静态网页泄露问题。该漏洞允许未经身份验证的用户通过访问特定URL来获取存储在MinIO中的文件内容。攻击者可以利用该漏洞下载敏感数据,例如用户凭证、加密密钥等。
影响版本:RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

实际处理

  • 旧版本的minio要升级至RELEASE.2022-10-29T06-21-33Z或更高版本时,会导致无法启动。
  • 需要部署一个新版本的minio,保持新旧2个版本的minio,再借助mc工具将老版本的文件迁移到新版本的minio中。
  • 最后修改启动配置,保持原本的配置要求。

安装新版本的minio

#创建minio目录
mkdir /home/usr/local/minio2023

#进入minio目录
cd /home/usr/local/minio2023

#在线安装(或自行手动下载指定版本)
wget https://dl.min.io/server/minio/release/linux-amd64/minio

#创建目录 
mkdir /data
mkdir /config

#赋予权限
chmod 777 minio

#使用start.sh脚本启动
./start.sh minio

附加start.sh脚本内容,可根据实际情况调整【修改自己的端口、用户名、密码即可】

MINIO_ROOT_USER=your_account MINIO_ROOT_PASSWORD=your_password nohup ./minio server --console-address ":7004" -address ":9004" --config-dir /home/usr/local/minio2023config /home/usr/local/minio2023/data> /home/usr/local/minio2023/minio.log 2>&1 &#

安装mc工具

wget http://dl.minio.org.cn/client/mc/release/linux-amd64/mc
chmod +x mc 
mv mc /usr/bin/
# 查看帮助
mc -h

mc迁移数据

  • 分别设置旧版、新版mino的alias
#设置旧版
mc alias set minio2021 http://127.0.0.1:9000 your_account your_password

#设置新版
mc alias set minio2023 http://127.0.0.1:9004 your_account your_password
  • 进行数据迁移
#全量迁移,重名文件不覆盖,如bucket不存在,会自动创建
mc mirror minio2021 minio2023

最后的最后

  1. 等待文件迁移完毕后,可以关闭两个minio,将旧版minio的start.sh替换成新版的启动脚本,保持原本的端口。
  2. 新版本的minio,根据情况设置bucket的作用范围为:public
隐小成
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10
nnn2188185的博客
04-08 6566
MinIO是美国MinIO公司的一款开源的对象存储服务器, 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIOMinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息。泄露的信息中包含登录账号密码。 CVE-2023-28432 CNNVD-202303-1795
漏洞复现】MinIO敏感信息泄露(CVE-2023-28432
刘家华(游戏开发)
04-23 1071
MinIO发现了信息泄露漏洞
MinIO集群模式信息泄露漏洞CVE-2023-28432
程序员若风的博客
12-08 1156
MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。虽然轻量,却拥有着不错的性能。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据。该漏洞会在前台泄露用户的账户和密码。
MinIO权限提升漏洞CVE-2024-24747详细解决办法
最新发布
yh
03-12 683
MinIO权限提升漏洞CVE-2024-24747 解决办法
漏洞分析|MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
xuandaoren的博客
12-02 457
MinIO 是一种开源的对象存储服务,它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统,它可以存储大量数据,并提供对数据的高速读写能力。在getServerSystemCfg()方法中获取了环境变量,其中envValues采用遍历的方式获取了skipEnvs[envK]的value。MinIO的某些接口会因为信息处理不当而返回会返回所有环境变量,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,导致敏感信息泄露。
MinIO 环境变量泄漏漏洞CVE-2023-28432
murphysec的博客
04-04 2360
MinIO 是一个开源的对象存储服务器。 MinIO RELEASE.2023-03-20T20-16-18Z之前版本中的 bootstrap-peer-server.go#VerifyHandler 方法存在敏感信息泄漏漏洞,攻击者可向集群部署中的 MinIO 服务器的 /minio/bootstrap/v1/verify API发送POST请求,从而获取到 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息,从而以管理员身份登录 MinIO 服务。
漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞
m0_53121608的博客
07-16 2199
漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞
MinIO信息泄露漏洞(CVE-2023-28432)批量检测POC
热门推荐
今天是几号的博客
03-28 1万+
MinIO 是一种开源对象存储服务,与 Amazon S3 API 兼容,可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统,可以存储大量数据,并提供高速的数据读写能力。MinIO采用分布式架构,可以在多个节点上运行,实现数据的分布式存储和处理。在集群部署的Minio中,未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录Minio
minio-RELEASE.2023-01-31T02-24-19Z版本
02-08
新版本配置 export MINIO_ROOT_USER=admin export MINIO_ROOT_PASSWORD=...原旧版本中的配置是MINIO_ACCESS_KEY和MINIO_SECRET_KEY,请注意别在各博客中直接复制把自己的配置写错了,新下载的minio是用不了旧配置滴。
minio-8.2.2-API文档-中文版.zip
06-05
赠送jar包:minio-8.2.2.jar; 赠送原API文档:minio-8.2.2-javadoc.jar; 赠送源代码:minio-8.2.2-sources.jar; 赠送Maven依赖信息文件:minio-8.2.2.pom; 包含翻译后的API文档:minio-8.2.2-javadoc-API文档-...
minio-8.2.2-API文档-中英对照版.zip
05-11
赠送jar包:minio-8.2.2.jar; 赠送原API文档:minio-8.2.2-javadoc.jar; 赠送源代码:minio-8.2.2-sources.jar; 赠送Maven依赖信息文件:minio-8.2.2.pom; 包含翻译后的API文档:minio-8.2.2-javadoc-API文档-...
minio-8.0.3-API文档-中英对照版.zip
07-14
赠送jar包:minio-8.0.3.jar; 赠送原API文档:minio-8.0.3-javadoc.jar; 赠送源代码:minio-8.0.3-sources.jar; 赠送Maven依赖信息文件:minio-8.0.3.pom; 包含翻译后的API文档:minio-8.0.3-javadoc-API文档-...
minio-js-browser-upload
05-11
通过浏览器将文件上传到Minio服务器。 该应用程序详细介绍了如何使用预签名URL从浏览器上传到Minio服务器。
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
qq_35476650的博客
03-24 5815
MinIO 是一种开源的对象存储服务,它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统,它可以存储大量数据,并提供对数据的高速读写能力。MinIO 采用分布式架构,可以在多个节点上运行,从而实现数据的分布式存储和处理。MinIO verify接口存在敏感信息泄漏漏洞,攻击者通过构造特殊URL地址,读取系统敏感信息。
vulhub之MinIO信息泄露漏洞(CVE-2023-28432)
薛定谔嘚喵博客
08-30 1491
MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),能看到对应权限的存储文件。
CVE-2023-28432
07-28
CVE-2023-28432是指MiniO验证接口敏感信息泄露漏洞。\[1\]根据引用\[2\]中的描述,该漏洞可能导致敏感信息的泄露,其中包括MINIO_CERT_PASSWD等敏感信息。这意味着攻击者可能能够通过该漏洞获取到敏感信息。然而,根据引用\[3\]中的HTTP响应,我们无法确定该漏洞是否已被修复。因此,如果您正在使用MiniO,请确保及时更新到最新版本以修复该漏洞。 #### 引用[.reference_title] - *1* [Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞CVE-2023-28432)](https://blog.csdn.net/m0_46699477/article/details/129742229)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)](https://blog.csdn.net/qq_35476650/article/details/129748849)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

隐小成

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值