MinIO权限提升漏洞CVE-2024-24747详细解决办法

已于 2024-03-13 08:05:54 修改
阅读量534 收藏 1
点赞数 2
分类专栏: 系统安全漏洞处理 文章标签: eureka 云原生
于 2024-03-12 18:17:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43372364/article/details/136659474
版权

 漏洞名称:

MinIO权限提升漏洞(CVE-2024-24747)

漏洞简介

2024年2月2日,深瞳漏洞实验室监测到一则MinIO 存在权限提升漏洞的信息,漏洞编号:CVE-2024-24747,漏洞威胁等级:高危。

该漏洞是由于用户创建的访问密钥会继承更高的权限并可以覆盖现有权限。攻击者可利用该漏洞在获得低权限的情况下,构造恶意数据执行权限提升攻击,最终获取管理员权限。

组件名称:

MinIO

影响范围:

MinIO < RELEASE.2024-01-31T20-20-33Z

解决办法

非docker部署

官方推出直接升级安装包即可下载地址

https://github.com/minio/minio/releases

docker部署

安装docker此处省略

docker最新镜像

docker  pull minio/minio

创建目录

mkdir -p /mydata/minio/data
mkdir -p /mydata/minio/conf

执行命令


docker run --privileged -d -it -p 9000:9000 -p 9111:9111 --name minio -e "MINIO_ROOT_USER=minio" --privileged=true -e "MINIO_ROOT_PASSWORD=minio123" -v /mydata/minio/data:/data -v /mydata/minio/conf:/root/.minio minio/minio server /data --console-address ":9111"

获取id

docker ps
75f93ff2ec30   minio/minio   "/usr/bin/docker-ent…"   2 minutes ago   Up 2 minutes   0.0.0.0:9000->9000/tcp, :::9000->9000/tcp, 0.0.0.0:9111->9111/tcp, :::9111->9111

查看版本

 sudo docker exec -it 75f93ff2ec30 minio --version

界面访问

securitor
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
minio version RELEASE.2022-02-01T18-00-14Z (amd x64)
02-13
minio version RELEASE.2022-02-01T18-00-14Z minio version RELEASE.2022-02-01T18-00-14Z minio version RELEASE.2022-02-01T18-00-14Z minio version RELEASE.2022-02-01T18-00-14Z minio version RELEASE.2022-02-01T18-00-14Z
minio-RELEASE.2023-01-31T02-24-19Z版本
02-08
新版本配置 export MINIO_ROOT_USER=admin export MINIO_ROOT_PASSWORD=12345678 原旧版本中的配置是MINIO_ACCESS_KEY和MINIO_SECRET_KEY,请注意别在各博客中直接复制把自己的配置写错了,新下载的minio是用不了旧配置滴。
minio.RELEASE.2022-05-26T05-48-41Z
09-20
minio文件系统minio.RELEASE.2022-05-26T05-48-41Z资源包
bitnami-docker-minio-client:Bitnami MinIO客户端Docker映像
02-13
Bitnami打包的MinIO(R)容器客户端是什么? 该软件清单由Bitnami打包和发布。 MinIO Client是Golang CLI工具,可为文件系统和对象存储系统的ls,cp,mkdir,diff和rsync命令提供替代方案。 免责声明:所有软件产品,项目和公司名称均为其各自所有者的商标或注册商标,使用它们并不表示任何从属或认可。 该软件已获得您的许可,并受一个或多个开放源代码许可的约束,并且VMware根据AS-IS提供该软件。 TL; DR $ docker run --name minio-client bitnami/minio-client:latest Docker撰写 $ curl -sSL https://raw.githubusercontent.com/bitnami/bitnami-docker-minio-client/master/docker-c
minio-8.2.2-API文档-中文版.zip
06-05
赠送jar包:minio-8.2.2.jar; 赠送原API文档:minio-8.2.2-javadoc.jar; 赠送源代码:minio-8.2.2-sources.jar; 赠送Maven依赖信息文件:minio-8.2.2.pom; 包含翻译后的API文档:minio-8.2.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:io.minio:minio:8.2.2; 标签:minio、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
SaltStack 修复 Stack minion中的提权漏洞 (CVE-2020-28243)
smellycat000的专栏
03-02 230
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Salt Project 修复了影响 SaltStack Salt minions中的一个提权漏洞 (CVE-2020-282...
记录一次跨越16个月的minio版本升级与数据迁移
davied9的专栏
04-28 4845
minio版本升级与数据迁移
CVE-2023-25812 MinIO 存在权限控制不当漏洞(POC)
murphysec的博客
02-23 1787
MinIO 是根据 AGPL v3.0 发布的高性能对象存储框架。 MinIO 影响版本中由于未正确遵守 ByPassGoverance 的拒绝策略,当 S3 存储桶策略配置 Deny statement 为 s3:BypassGovernanceRetention 且 Allow statement 为 s3:* 时, 攻击者可发送包含 X-Amz-Bypass-Governance-Retention: true 标头的恶意请求绕过 MinIO 的治理模式(Governance mode),进而删除
CVE-2021-21287:MiniO未授权SSRF漏洞
就是法老
08-24 6283
一:介绍 MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等,而一个对象文件可以是任意大小,从几kb到最大5T不等。 MinIO是一个非常轻量的服务,可以很简单的和其他应用的结合,类似 NodeJS, Redis 或者 MySQL。 二:漏洞详情 由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞 攻击者可以通
MinIO未授权SSRF漏洞CVE-2021-21287)复现
热门推荐
锋刃科技的博客
03-06 1万+
简介 MinIO是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,适用于存储大容量非结构化的数据(如图片、视频、日志文件、备份数据和容器/虚拟机镜像等),作为一款支持部署在私有云的开源对象存储系统,MinIO在全球被广泛使用。 影响版本 MinIO < RELEASE.2021-01-30T00-20-58Z 环境搭建 这里使用docker进行安装 docker-compose.yml v...
文件存储minio-RELEASE.2021-04-22T15-44-28Z历史老旧版本windows-linux下载
12-06
minio-RELEASE.2021-04-22T15-44-28Z,这是MinIO最后一个 Apache V2.0的版本,minio此后的版本都改为AGPLV3协议了,没法进行商业用途了。这个包包含minio-RELEASE.2021-04-22T15-44-28Z的windows二进制包,linux二进制包及源代码,可放心下载。
minio-js-browser-upload
05-11
通过浏览器将文件上传到Minio服务器。 该应用程序详细介绍了如何使用预签名URL从浏览器上传到Minio服务器。
minio-8.2.2-API文档-中英对照版.zip
05-11
赠送jar包:minio-8.2.2.jar; 赠送原API文档:minio-8.2.2-javadoc.jar; 赠送源代码:minio-8.2.2-sources.jar; 赠送Maven依赖信息文件:minio-8.2.2.pom; 包含翻译后的API文档:minio-8.2.2-javadoc-API文档-...
MinIO漏洞 CVE-2023-28432
qq_38613494的博客
01-16 763
MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。等待文件迁移完毕后,可以关闭两个minio,将旧版minio的start.sh替换成新版的启动脚本,保持原本的端口。新版本的minio,根据情况设置bucket的作用范围为:public。
复现MinIO未授权SSRF漏洞(CVE-2021-21287)
记录并分享学习安全的知识点..
02-24 4581
前言: 最近做项目测试,整理资产偶然看到基于MinIO服务器开发的网站,便想起前端时间复现过一个ssrf关于它的,测试一下竟发现该网站存在这个漏洞,窃喜万分,现将复现过程记录一下! 一、漏洞简介 MinIO是一个非常轻量的服务,可以很简单的和其他应用的结合,类似 NodeJS, Redis 或MySQL,是基于Apache License v2.0开源协议的对象存储服务。由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击成
MinIO未授权SSRF漏洞(CVE-2021-21287)
thelostworld
02-05 1万+
MinIO未授权SSRF漏洞(CVE-2021-21287) 一、漏洞简介 ​ 由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞 攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令 该漏洞无需用户验证即可远程利用 二、影响版本 MinIO < RELEASE.2021-01-30T00-20-58Z 三、环境准备&漏洞复现 Docker 安装minio: d...
MiniO未授权SSRF漏洞CVE-2021-21287)
xiaobai_20190815的博客
06-09 6485
Apache License MiniO未授权SSRF漏洞CVE-2021-21287)
Spring cloud 之Eureka
最新发布
qq_66292058的博客
05-16 375
在了解什么是eureka之前,我们先来了解一下什么是注册中心。在前面的篇章中,我们知道了微服务是将一个完整的系统,拆分为多个微小的服务,并将这些服务各自单独部署到一台主机上,并且这些服务之间能够进行相互调用,并且在进行服务调用时,我们需要先去获取其它服务的地址才能够进行调用。对于这些地址,我们如果将其一个一个记录起来,用的时候再去找,这就会显得十分麻烦,并且服务的地址如果发生了改变,其它服务是不知道的。
minio分享图片链接ip问题
07-28
你好!关于MinIO分享图片链接的IP问题,我可以给你一些建议。通常,当你分享MinIO的图片链接时,链接中可能会包含MinIO服务器的IP地址。这可能会引发一些隐私和安全问题。 为了解决这个问题,你可以考虑以下方法之一: 1. 使用自定义域名:将MinIO服务器的IP地址映射到一个自定义域名上。这样,当你分享图片链接时,可以使用自定义域名替代IP地址,提高隐私和安全性。 2. 使用反向代理:通过设置反向代理服务器,将MinIO服务器的IP地址隐藏起来。当你分享图片链接时,链接中将显示反向代理服务器的地址,而不是MinIO服务器的IP地址。 3. 使用CDN服务:使用CDN(内容分发网络)服务来加速图片加载,并隐藏MinIO服务器的IP地址。CDN服务可以缓存你的图片,并通过其自己的服务器来提供内容,从而保护你的服务器IP地址。 请注意,在实施这些方法之前,确保你已经采取了适当的安全措施来保护你的MinIO服务器和数据。这可能包括使用访问控制列表(ACL)或访问密钥等措施来限制对MinIO资源的访问。 希望这些建议对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值