MinIO 是一个高性能的分布式对象存储系统。它是软件定义的,在行业标准硬件上运行,并且 100% 开源,主要许可证是 GNU AGPL v3。MinIO 的不同之处在于它从一开始就被设计为私有/混合云对象存储的标准。因为 MinIO 是专门为对象而构建的,所以单层架构可以毫不妥协地实现所有必要的功能。结果是一个同时具有高性能、可扩展性和轻量级的云原生对象服务器。
一、漏洞详情
未经身份验证的攻击者向在集群部署中的MinIO发送特殊的HTTP请求即可获取到包括MinIO_SECRET_KEY以及MinIO_ROOT_PASSWORD在内的所有环境变量信息,导致信息泄露。分布式部署的所有用户都会受到影响。
二、影响范围
MinIO RELEASE.2019-12-17T23-16-33Z <= version < MinIO RELEASE.2023-03-20T20-16-18Z
三、修复方案
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
MinIO RELEASE.2023-03-20T20-16-18Z 以上
下载地址:
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z