关于MinIO信息泄露漏洞(CVE-2023-28432)的预警提示
发布时间:2023-04-03浏览次数:1130
一、漏洞详情 MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。 近日,监测到MinIO信息泄露漏洞(CVE-2023-28432),在集群部署的MinIO中,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。 建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。 二、影响范围 RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z 三、修复建议 目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。 下载链接:https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z |