VNG Cloud Logo

CVE-2023-28432 MinIO Information Disclosure in Cluster Deployment

Serverity: High

CVSSv3 Score: 7.5

Mô tả:

  • MinIO là một dịch vụ Object Storage nguồn mở tương thích với Amazon S3. MinIO là một hệ thống lưu trữ phân tán có hiệu suất cao, tính sẵn sàng cao, có thể lưu trữ lượng lớn dữ liệu và cung cấp khả năng đọc ghi dữ liệu tốc độ cao. MinIO áp dụng kiến trúc phân tán có thể chạy trên nhiều node để lưu trữ và xử lý dữ liệu phân tán.
     
  • Ngày 22/3/2023 NVD-NIST công bố CVE-2023-28432 ghi nhận lỗ hổng bảo mật làm lộ tất cả các biến môi trường bao gồm các thông tin nhạy cảm như Secret Key trên các hệ thống MinIO triển khai dạng cluster.


Các phiên bản bị ảnh hưởng: từ bản RELEASE.2019-12-17T23-16-33Z đến trước bản RELEASE.2023-03-20T20-16-18Z

  • PoC kiểm tra: POST /minio/bootstrap/v1/verify (không cần xác thực)

Khuyến nghị từ MinIO: Update lên phiên bản RELEASE.2023-03-20T20-16-18Z càng sớm càng tốt


Tài liệu tham khảo: 

https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

https://nvd.nist.gov/vuln/detail/CVE-2023-28432

https://twitter.com/_0xf4n9x_/status/1638867541689761794