安全 资讯

简介：针对MinIO服务器的IAM实现，发现了两种不同的特权升级可能性，并已在RELEASE.2019-04-04T18-31-46Z中修复。

严重程度：高

受影响的人： MinIO服务器的所有用户均受到影响。MinIO网关的用户不受影响。但是，仍然建议升级。

针对用户的建议操作：建议所有用户将其Minio部署升级到最新版本。此问题已在版本RELEASE.2019–04–04T18–31–46Z（ https://dl.minio.io/server/minio/release/linux-amd64/minio）中修复。如果用户/应用程序可以使用单独的访问/秘密密钥对（IAM多用户系统）访问MinIO服务器，则建议至少更改管理员访问凭据并检查IAM用户访问策略。此外，您还应该更改所有IAM用户的访问凭据。

说明：经过身份验证的IAM用户可以访问内部MinIO服务器配置。

• 第一个特权升级漏洞会影响所有MinIO服务器，并通过发送恶意的S3 API GET / PUT请求或恶意的JWT POST请求来允许IAM用户读取或写入内部MinIO服务器配置。

• 第二个特权升级漏洞仅影响以分布式擦除编码后端模式运行的MinIO服务器，并允许IAM用户使用MinIO服务器的节点间通信协议从内部MinIO服务器配置读取或写入内部MinIO服务器配置。

该问题是通过内部安全审核发现的，并且已提交补丁，仅允许使用管理员凭据进行身份验证的请求访问内部MinIO服务器配置。该补丁已通过审核并被接受，并且已发布新版本。

成功的利用可用于模拟其他IAM用户或获取管理员凭据，从而窃取或破坏您的数据。此外，它不会引起可疑的服务器行为。在撰写本文时，尚未在野外观察到此漏洞利用。