近日，亞信安全CERT監(jiān)測(cè)到MinIO官方發(fā)布安全通告，修復(fù)了MinIO中的信息泄露漏洞（CVE-2023-28432）。在集群部署的MinIO中，未經(jīng)身份驗(yàn)證的惡意攻擊者可以通過(guò)請(qǐng)求MinIO的部分接口來(lái)獲得MinIO返回的所有環(huán)境變量值，包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。成功利用此漏洞可造成系統(tǒng)信息泄露，從而導(dǎo)致惡意攻擊者可以利用泄露的密鑰信息登錄MinIO。目前該漏洞利用方式已在互聯(lián)網(wǎng)公開，建議受影響用戶盡快下載安裝修復(fù)版本以減少漏洞所帶來(lái)的風(fēng)險(xiǎn)。

MinIO是一個(gè)開源的對(duì)象存儲(chǔ)服務(wù)器，用于存儲(chǔ)和檢索大規(guī)模非結(jié)構(gòu)化數(shù)據(jù)，如照片、視頻和文檔等。它兼容Amazon S3 API，因此可以使用各種S3兼容的工具和庫(kù)與其進(jìn)行交互。MinIO提供高可用性、高性能和可擴(kuò)展性，因此非常適合云存儲(chǔ)、數(shù)據(jù)湖、備份和歸檔等應(yīng)用場(chǎng)景。

漏洞編號(hào)和評(píng)分

• CVE-2023-28432

• 高危

漏洞狀態(tài)

受影響版本

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO < MinIO RELEASE.2023-03-20T20-16-18Z

注：MinIO只有在被配置為集群模式的情況下，受此漏洞影響

修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，建議受影響用戶盡快升級(jí)至安全版本RELEASE.2023-03-20T20-16-18Z或更高版本：

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

參考鏈接

• https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

• https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z