【漏洞预警】MinIO 敏感信息泄露漏洞(CVE-2023-28432)

漏洞描述

MinIO 是一种开源的对象存储服务,它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统,它可以存储大量数据,并提供对数据的高速读写能力。MinIO 采用分布式架构,可以在多个节点上运行,从而实现数据的分布式存储和处理。

近日, MinIO 官方发布了安全补丁,修复了一处敏感信息泄露漏洞(CVE-2023-28432),在使用 MinIO 的集群模式时,存在一些接口可能会因为信息处理不当而返回包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 在内的所有环境变量信息,从而导致敏感信息泄漏漏洞。攻击者可能会利用获取到的密钥配置信息直接访问 MinIO 接口,进行非法操作。

漏洞编号

CVE-2023-28432
CNNVD-202303-1795

FOFA Query

banner="MinIO" || header="MinIO" || title="MinIO Browser"

影响范围

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(title="MinIO Browser" || banner="MinIO" || header="MinIO")共有349,672个相关服务对外开放。中国使用数量最多,共有235,098个;美国第二,共有28,789个;德国第三,共有17,656个;俄罗斯第四,共有6,977个;中国香港第五,共6,309个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况):

image.png

中国大陆地区北京使用数量最多,共有26,321个;浙江第二,共有24,707个;广东第三,共有21,246个;上海第四,共有18,225个;四川第五,共有7,494个。

image.png

漏洞复现

image.png

修复建议

MinIO 官方已发布相应的补丁修复漏洞,用户可通过升级到 RELEASE.2023-03-20T20-16-18Z 版本进行漏洞修复。

下载地址:https://github.com/minio/minio/releases

参考链接

  • https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
  • https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐