MinIO权限提升漏洞CVE-2024-24747详细解决办法

已于 2024-12-10 12:00:42 修改
阅读量2.1k 收藏 1
点赞数 2
分类专栏: 系统安全漏洞处理 文章标签: eureka 云原生
于 2024-03-12 18:17:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43372364/article/details/136659474
版权

 漏洞名称:

MinIO权限提升漏洞(CVE-2024-24747)

漏洞简介

2024年2月2日,深瞳漏洞实验室监测到一则MinIO 存在权限提升漏洞的信息,漏洞编号:CVE-2024-24747,漏洞威胁等级:高危。

该漏洞是由于用户创建的访问密钥会继承更高的权限并可以覆盖现有权限。攻击者可利用该漏洞在获得低权限的情况下,构造恶意数据执行权限提升攻击,最终获取管理员权限。

组件名称:

MinIO

影响范围:

MinIO < RELEASE.2024-01-31T20-20-33Z

解决办法

非docker部署

官方推出直接升级安装包即可下载地址

https://github.com/minio/minio/releases

docker部署

安装docker此处省略

docker最新镜像

docker  pull minio/minio

创建目录

mkdir -p /mydata/minio/data
mkdir -p /mydata/minio/conf

执行命令


docker run --privileged -d -it -p 9000:9000 -p 9111:9111 --name minio -e "MINIO_ROOT_USER<

最低0.47元/天 解锁文章
复现MinIO未授权SSRF漏洞(CVE-2021-21287)
记录并分享学习安全的知识点..
02-24 5081
前言: 最近做项目测试,整理资产偶然看到基于MinIO服务器开发的网站,便想起前端时间复现过一个ssrf关于它的,测试一下竟发现该网站存在这个漏洞,窃喜万分,现将复现过程记录一下! 一、漏洞简介 MinIO是一个非常轻量的服务,可以很简单的和其他应用的结合,类似 NodeJS, Redis 或MySQL,是基于Apache License v2.0开源协议的对象存储服务。由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击成
vulhub之MinIO信息泄露漏洞(CVE-2023-28432)
薛定谔嘚喵博客
08-30 2027
MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),能看到对应权限的存储文件。
MinIO集群模式信息泄露漏洞CVE-2023-28432)
2201_75756681的博客
12-27 3447
MinIO是一个用的基于Apache License v2.0开源协议的对象存储服务。虽然轻量,却拥有着不错的性能。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据。该漏洞会在前台泄露用户的账户和密码。
Vulhub靶机 MinIO信息泄露漏洞CVE-2023-28432)(渗透测试详解)
最新发布
2301_78721909的博客
02-13 859
Vulhub靶机 MinIO信息泄露漏洞CVE-2023-28432)(渗透测试详解)
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
qq_35476650的博客
03-24 7743
MinIO 是一种开源的对象存储服务,它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统,它可以存储大量数据,并提供对数据的高速读写能力。MinIO 采用分布式架构,可以在多个节点上运行,从而实现数据的分布式存储和处理。MinIO verify接口存在敏感信息泄漏漏洞,攻击者通过构造特殊URL地址,读取系统敏感信息。
MinIO信息泄露漏洞(CVE-2023-28432)批量检测POC
热门推荐
今天是几号的博客
03-28 1万+
MinIO 是一种开源对象存储服务,与 Amazon S3 API 兼容,可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统,可以存储大量数据,并提供高速的数据读写能力。MinIO采用分布式架构,可以在多个节点上运行,实现数据的分布式存储和处理。在集群部署的Minio中,未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录Minio
MinIO集群模式信息泄露漏洞CVE-2023-28432)vulhub漏洞复现
qq_53003652的博客
07-10 2856
利用泄露的MINIO_ROOT_USER 和MINIO_ROOT_PASSWORD 值登录系统。可以查看Web管理页面,访问。启动burpsuite抓包。漏洞存在于API节点。
MinIO 环境变量泄漏漏洞CVE-2023-28432)
murphysec的博客
04-04 2697
MinIO 是一个开源的对象存储服务器。 MinIO RELEASE.2023-03-20T20-16-18Z之前版本中的 bootstrap-peer-server.go#VerifyHandler 方法存在敏感信息泄漏漏洞,攻击者可向集群部署中的 MinIO 服务器的 /minio/bootstrap/v1/verify API发送POST请求,从而获取到 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息,从而以管理员身份登录 MinIO 服务。
MinIO漏洞 CVE-2023-28432
qq_38613494的博客
01-16 1350
MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。等待文件迁移完毕后,可以关闭两个minio,将旧版minio的start.sh替换成新版的启动脚本,保持原本的端口。新版本的minio,根据情况设置bucket的作用范围为:public。
黑客利用 MinIO 存储系统漏洞危害服务器
w3cschools的博客
09-06 1174
国际知名白帽黑客、东方联盟创始人郭盛华表示,此次入侵利用了公开可用的漏洞利用链对 MinIO 实例进行后门处理,其中包括CVE-2023-28432(CVSS 分数:7.5)和CVE-2023-28434(CVSS 分数:8.8),前者已添加到美国网络安全和基础设施安全局 (CISA) 的已知利用漏洞 (KEV) 目录中2023 年 4 月 21 日。值得注意的是,该二进制文件的修改版本是2023 年 4 月上旬在 GitHub 上发布的名为Evil MinIO漏洞的复制品。
CVE-2023-25812 MinIO 存在权限控制不当漏洞(POC)
murphysec的博客
02-23 2183
MinIO 是根据 AGPL v3.0 发布的高性能对象存储框架。 MinIO 影响版本中由于未正确遵守 ByPassGoverance 的拒绝策略,当 S3 存储桶策略配置 Deny statement 为 s3:BypassGovernanceRetention 且 Allow statement 为 s3:* 时, 攻击者可发送包含 X-Amz-Bypass-Governance-Retention: true 标头的恶意请求绕过 MinIO 的治理模式(Governance mode),进而删除
CVE-2021-21287:MiniO未授权SSRF漏洞
就是法老
08-24 7100
一:介绍 MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等,而一个对象文件可以是任意大小,从几kb到最大5T不等。 MinIO是一个非常轻量的服务,可以很简单的和其他应用的结合,类似 NodeJS, Redis 或者 MySQL。 二:漏洞详情 由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞 攻击者可以通
MinIO未授权SSRF漏洞复现(CVE-2021-21287)
isxiaole的博客
09-27 1万+
MinIO 是一款基于Go语言发开的高性能、分布式的对象存储系统。由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。
黑客利用 MinIO 存储系统漏洞攻陷服务器
smellycat000的专栏
09-05 570
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士未知威胁者利用位于 MinIO 高性能对象存储系统重的多个高危漏洞在受影响服务器上实现未授权漏洞执行。网络安全和事件响应公司 Security Joes 表示,攻击利用了公开可用的利用链在 MinIO 实例中安装后门。该利用链由CVE-2023-28432(CVSS评分7.5)和CVE-2023-28434(CVSS评分8.8)组成,而前者已在2...
CVE-2023-28432 MiniO信息泄露漏洞复现
Love&Share
04-28 8185
MiniO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录 Minio,分布式部署的所有用户都会受到影响,单机用户没有影响。
minio-multipart-upload-main.zip
08-08
minio-multipart-upload-main.zip 是一个文件,可能是一个压缩文件或者是一个带有多个部分的文件。根据文件名可以猜测它与 MinIO 的多部分上传相关。 MinIO 是一个开源的对象存储服务器,它允许用户通过简单的 HTTP 或 REST API 上传、下载和管理数据。多部分上传是 MinIO 中的一个重要功能,它可以将大文件分成小的部分进行并行上传,以提高上传速度和可靠性。 minio-multipart-upload-main.zip 可能是一个示例或者源代码的压缩文件,其中包含了实现 MinIO 多部分上传的主要代码。这个文件可能包含了各种用于分片上传、合并文件和管理上传任务的函数、类和工具。 通过研究和了解 minio-multipart-upload-main.zip 文件的内容,开发人员可以更详细地了解 MinIO 多部分上传的工作原理和具体实现方式。他们可以学习如何在他们自己的应用程序中实现类似的功能,或者根据自己的需求进行定制开发。 总之,minio-multipart-upload-main.zip 可能是与 MinIO 多部分上传相关的文件,其中包含了用于实现该功能的主要代码和工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值