【漏洞预警】MinIO 敏感信息泄露漏洞（CVE-2023-28432）

漏洞描述

MinIO 是一种开源的对象存储服务，它兼容 Amazon S3 API，可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统，它可以存储大量数据，并提供对数据的高速读写能力。MinIO 采用分布式架构，可以在多个节点上运行，从而实现数据的分布式存储和处理。

近日， MinIO 官方发布了安全补丁，修复了一处敏感信息泄露漏洞（CVE-2023-28432），在使用 MinIO 的集群模式时，存在一些接口可能会因为信息处理不当而返回包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 在内的所有环境变量信息，从而导致敏感信息泄漏漏洞。攻击者可能会利用获取到的密钥配置信息直接访问 MinIO 接口，进行非法操作。

漏洞编号

CVE-2023-28432
CNNVD-202303-1795

FOFA Query

banner="MinIO" || header="MinIO" || title="MinIO Browser"

影响范围

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（title="MinIO Browser" || banner="MinIO" || header="MinIO"）共有349,672个相关服务对外开放。中国使用数量最多，共有235,098个；美国第二，共有28,789个；德国第三，共有17,656个；俄罗斯第四，共有6,977个；中国香港第五，共6,309个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）：

中国大陆地区北京使用数量最多，共有26,321个；浙江第二，共有24,707个；广东第三，共有21,246个；上海第四，共有18,225个；四川第五，共有7,494个。

漏洞复现

修复建议

MinIO 官方已发布相应的补丁修复漏洞，用户可通过升级到 RELEASE.2023-03-20T20-16-18Z 版本进行漏洞修复。

下载地址：https://github.com/minio/minio/releases

参考链接

• https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
• https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z