一、漏洞详情
MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。
近日,监测到MinIO信息泄露漏洞(CVE-2023-28432),在集群部署的MinIO中,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
三、修复建议
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z