所有帖子

安全 咨询

安全     咨询

简介已发现针对MinIO服务器的服务器端请求伪造(SSRF)漏洞,并已在RELEASE.2021-01-30T00-20-58Z修复

严重程度:

受影响的人: MinIO服务器版本RELEASE.2019-12-17T23-16-33Z或更高版本的所有用户都受到影响。禁用MinIO浏览器UI的用户不受影响。

针对用户的建议操作:建议所有用户其MinIO部署升级到最新版本。此问题已在版本RELEASE.2021-01-30T00-20-58Z中修复。

说明:未经身份验证的STS客户端使MinIO服务器将HTTP请求发送到任意域。这可能会向客户公开内部基础结构,并且可能会被滥用作为对其他组件进行进一步攻击的切入点。

感谢我们社区的@ phith0n发现了此问题并将其报告给我们的安全团队。已提交补丁程序,该补丁程序将STS实现更改为不再发送HTTP请求,而是使用本地可用的信息。有关更多信息,请查看我们的Github安全咨询该补丁已通过审核并被接受,并且已发布新版本。

可以使用成功的利用程序来公开并访问MinIO服务器可访问的(内部)系统。在撰写本文时,尚未在野外观察到此漏洞利用。


上一篇 下一篇