管家婆一码一肖免费资料

四川嘉行科技有限公司欢迎您

新闻中心

NEWS CENTER

028-85520929

欢迎您来电咨询
现在的位置:首页 > 新闻中心 > 行业新闻 > 详情

警惕!利用方式已公开,MinIO信息泄露漏洞风险通告

近日,亚信安全CERT监测到MinIO官方发布安全通告,修复了MinIO中的信息泄露漏洞(CVE-2023-28432)。在集群部署的MinIO中,未经身份验证的恶意攻击者可以通过请求MinIO的部分接口来获得MinIO返回的所有环境变量值,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。成功利用此漏洞可造成系统信息泄露,从而导致恶意攻击者可以利用泄露的密钥信息登录MinIO。目前该漏洞利用方式已在互联网公开,建议受影响用户尽快下载安装修复版本以减少漏洞所带来的风险。


MinIO是一个开源的对象存储服务器,用于存储和检索大规模非结构化数据,如照片、视频和文档等。它兼容Amazon S3 API,因此可以使用各种S3兼容的工具和库与其进行交互。MinIO提供高可用性、高性能和可扩展性,因此非常适合云存储、数据湖、备份和归档等应用场景。


漏洞编号和评分

  • CVE-2023-28432

  • 高危


漏洞状态

漏洞细节

PoCEXP在野利用
已公开已公开已公开未知



受影响版本

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO < MinIO RELEASE.2023-03-20T20-16-18Z


注:MinIO只有在被配置为集群模式的情况下,受此漏洞影响


修复建议

目前该漏洞已经修复,建议受影响用户尽快升级至安全版本RELEASE.2023-03-20T20-16-18Z或更高版本:


http://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z


参考链接

  • http://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

  • http://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z