正文

紧急!问脉开源工具支持扫描 MinIO 敏感信息泄露漏洞

admin
admin V管理员 /0 评论 /240 阅读
0324
此篇文章发布距今已超过596天,您需要注意文章的内容或图片是否可用!

漏洞风险

漏洞描述:在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致敏感信息泄漏漏洞,攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。

只有 MinIO 被配置为集群模式时才会受此漏洞影响,此漏洞的利用无需用户身份认证,官方建议所有使用集群模式配置的用户尽快升级。


影响范围MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z



官方信息3月20日,MinIO 官方发布了安全补丁,修复了一处敏感信息泄露漏洞 CVE-2023-28432:https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q


问脉专项插件介绍

veinmind-minio 基于问脉引擎,快速识别并发现 镜像/容器 中是否存在 CVE-2023-28432 漏洞,文末阅读原文使用工具

  • 快速扫描容器/镜像中的minio CVE-2023-28432风险
  • 支持JSON/CLI/HTML等多种报告格式输出

兼容性

  • linux/amd64
  • linux/386
  • linux/arm64
  • linux/arm


使用命令


./veinmind-minio scan [image/container]











扫码添加小助手,一起学习、共同进步!



问脉 Tools 社区版是长亭牧云团队孵化的一款开源容器安全检测工具集。目前已支持镜像/容器漏洞、逃逸风险、恶意文件、后门、敏感信息、弱口令、资产识别等扫描功能。

为了提供更优质的服务,我们同时提供商业版牧云·云原生安全平台。首推零侵入探针,采用 Agentless 方案进行部署,保证业务节点实现严格意义上的零侵入检测,让用户能够轻装上阵,轻松解决云原生安全问题。

👇点击阅读原文前往Github下载使用问脉工具,随手star的你最帅


紧急!问脉开源工具支持扫描 MinIO 敏感信息泄露漏洞


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com