本文介绍了MinIO在集群模式下存在的敏感信息泄露漏洞,可能导致密钥配置信息暴露,影响版本从RELEASE.2019-12-17T23-16-33Z至MinIO RELEASE.2023-03-20T20-16-18Z。提供两种扫描方法:1. 使用牧云·云原生安全平台,提供SaaS和私有化部署选项;2. 使用开源工具veinmind-minio,支持多种报告格式输出,兼容多种架构。
文章目录
MinIO 漏洞风险
漏洞描述: 在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致敏感信息泄漏漏洞,攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。
只有 MinIO 被配置为集群模式时才会受此漏洞影响,此漏洞的利用无需用户身份认证,官方建议所有使用集群模式配置的用户尽快升级。
影响范围: MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z
官方信息: 3月20日,MinIO 官方发布了安全补丁,修复了一处敏感信息泄露漏洞 CVE-2023-28432:https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
扫描方法一
牧云·云原生安全平台
免费使用&#x
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
