所有帖子

安全&咨询

安全&咨询

简介已发现针对MinIO服务器的签名验证绕过漏洞,并已在RELEASE.2021-03-17T02-33-02Z修复

严重程度:

受影响的人: RIOASE.2021-03-17T02-33-02Z之前的MinIO服务器版本的所有用户。通过TLS访问MinIO的用户不受影响。

对用户的建议操作:建议所有用户其MinIO部署升级到最新版本。此问题已在版本RELEASE.2021-03-17T02-33-02Z中修复

描述: MitM攻击者可以修改S3流签名V4编码的对象数据的块大小。如果未使用TLS加密连接,则可以滥用此方法来修改上载的内容。

感谢我们社区的@jcsp发现了此问题并将其报告给我们的安全团队。已提交了一个修补程序,该修补程序以原子方式而不是延迟的签名检查来读取和验证S3流签名V4块。有关更多信息,请查看我们的Github安全咨询该修补程序已经过审核并被接受,并且已经发布了新版本。

可以使用成功的漏洞利用来修改正在进行的上传,而无需有效的访问/秘密密钥。在撰写本文时,尚未在野外观察到此漏洞利用。


上一篇 下一篇