紧急!问脉开源工具支持扫描 MinIO 敏感信息泄露漏洞
2023-3-31 12:45:9 Author: mp.weixin.qq.com(查看原文) 阅读量:27 收藏

「问脉独家」支持扫描 MinIO 敏感信息泄露漏洞(CVE-2023-28432)

漏洞风险

漏洞描述:在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致敏感信息泄漏漏洞,攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。

只有 MinIO 被配置为集群模式时才会受此漏洞影响,此漏洞的利用无需用户身份认证,官方建议所有使用集群模式配置的用户尽快升级。

影响范围MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z


官方信息3月20日,MinIO 官方发布了安全补丁,修复了一处敏感信息泄露漏洞 CVE-2023-28432:https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

问脉专项插件介绍

veinmind-minio 基于问脉引擎,快速识别并发现 镜像/容器 中是否存在 CVE-2023-28432 漏洞,文末阅读原文使用工具

  • 快速扫描容器/镜像中的minio CVE-2023-28432风险
  • 支持JSON/CLI/HTML等多种报告格式输出

兼容性

  • linux/amd64
  • linux/386
  • linux/arm64
  • linux/arm

使用命令

./veinmind-minio scan [image/container]

扫码添加小助手,一起学习、共同进步!


问脉 Tools 社区版是长亭牧云团队孵化的一款开源容器安全检测工具集。目前已支持镜像/容器漏洞、逃逸风险、恶意文件、后门、敏感信息、弱口令、资产识别等扫描功能。

为了提供更优质的服务,我们同时提供商业版牧云·云原生安全平台。首推零侵入探针,采用 Agentless 方案进行部署,保证业务节点实现严格意义上的零侵入检测,让用户能够轻装上阵,轻松解决云原生安全问题。

👇点击阅读原文前往Github下载使用问脉工具,随手star的你最帅


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzOTE1ODczMg==&mid=2247496054&idx=3&sn=459c362b0e7873f861960f8026e4758e&chksm=e92ce5d5de5b6cc34530cb457dfa2656c9930f0c9b7ab39156f5007750ef4e8135f7e82d2820&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh