近日，亞信安全CERT監測到MinIO官方發布安全通告，修復了MinIO中的信息泄露漏洞（CVE-2023-28432）。在集群部署的MinIO中，未經身份驗證的惡意攻擊者可以通過請求MinIO的部分接口來獲得MinIO返回的所有環境變量值，包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。成功利用此漏洞可造成系統信息泄露，從而導致惡意攻擊者可以利用泄露的密鑰信息登錄MinIO。目前該漏洞利用方式已在互聯網公開，建議受影響用戶盡快下載安裝修復版本以減少漏洞所帶來的風險。

MinIO是一個開源的對象存儲服務器，用于存儲和檢索大規模非結構化數據，如照片、視頻和文檔等。它兼容Amazon S3 API，因此可以使用各種S3兼容的工具和庫與其進行交互。MinIO提供高可用性、高性能和可擴展性，因此非常適合云存儲、數據湖、備份和歸檔等應用場景。

漏洞編號和評分

• CVE-2023-28432

• 高危

漏洞狀態

受影響版本

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO < MinIO RELEASE.2023-03-20T20-16-18Z

注：MinIO只有在被配置為集群模式的情況下，受此漏洞影響

修復建議

目前該漏洞已經修復，建議受影響用戶盡快升級至安全版本RELEASE.2023-03-20T20-16-18Z或更高版本：

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

參考鏈接

• https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

• https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z