-赛博昆仑漏洞安全通告-

MinIO信息泄露漏洞

（CVE-2023-28432)风险通告

漏洞描述

MinIO 是一个高性能的分布式对象存储系统。它是软件定义的，在行业标准硬件上运行，并且 100% 开源，主要许可证是 GNU AGPL v3。MinIO 的不同之处在于它从一开始就被设计为私有/混合云对象存储的标准。因为 MinIO 是专门为对象而构建的，所以单层架构可以毫不妥协地实现所有必要的功能。结果是一个同时具有高性能、可扩展性和轻量级的云原生对象服务器。

近日，赛博昆仑CERT监测到MinIO官方发布了漏洞公告。经过分析判断该漏洞非常严重，未经身份验证的攻击者向在集群部署中的MinIO发送特殊的HTTP请求即可获取到包括MINIO_SECRET_KEY以及MINIO_ROOT_PASSWORD在内的所有环境变量信息，从而造成信息泄露并且能够以管理员身份登录MinIO。

目前赛博昆仑-洞见产品已集成该漏洞规则,可以对该远程命令执行漏洞进行检测。

目前，官方已发布修复建议，建议受影响的用户尽快升级至安全版本。

MinIO RELEASE.2023-03-20T20-16-18Z 以上

下载地址：https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务，付费客户(可申请试用)将获取更多技术详情，并支持适配客户的需求。

参考链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28432