近日，亚信安全CERT监测到MinIO官方发布安全通告，修复了MinIO中的信息泄露漏洞（CVE-2023-28432）。在集群部署的MinIO中，未经身份验证的恶意攻击者可以通过请求MinIO的部分接口来获得MinIO返回的所有环境变量值，包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。成功利用此漏洞可造成系统信息泄露，从而导致恶意攻击者可以利用泄露的密钥信息登录MinIO。目前该漏洞利用方式已在互联网公开，建议受影响用户尽快下载安装修复版本以减少漏洞所带来的风险。

MinIO是一个开源的对象存储香蕉视频网站免费器，用于存储和检索大规模非结构化数据，如照片、视频和文档等。它兼容Amazon S3 API，因此可以使用各种S3兼容的工具和库与其进行交互。MinIO提供高可用性、高性能和可扩展性，因此非常适合云存储、数据湖、备份和归档等应用场景。

漏洞编号和评分

• CVE-2023-28432

• 高危

漏洞状态

受影响版本

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO < MinIO RELEASE.2023-03-20T20-16-18Z

注：MinIO只有在被配置为集群模式的情况下，受此漏洞影响

修复建议

目前该漏洞已经修复，建议受影响用户尽快升级至安全版本RELEASE.2023-03-20T20-16-18Z或更高版本：

http://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

参考链接

• http://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

• http://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z