安全通告

关于MinIO权限提升漏洞安全风险通告

发布日期：2021-12-29

漏洞描述

2021年12月29日，监测到MinIO官方发布CVE-2021-43858MinIO权限提升漏洞安全通告。拥有MinIO普通用户账户权限的攻击者可通过构造恶意数据包调用AddUser()API，从而更新用户的Policy并提升用户权限至管理员，接管MinIO管理功能。这个API用于更新用户密码及帐户状态，并允许普通用户更新密码。在版本“RELEASE.2021-12-27T07-23-18Z”中的更改了接收的请求正文类型，并取消了通过此API应用策略的功能。

目前，MinIO官方已发布可更新版本，建议客户尽快自查并修复。

漏洞编号

CVE-2021-43858

漏洞危害

拥有MinIO普通用户账户权限的攻击者可通过构造恶意数据包调用AddUser()API，从而更新用户的Policy获得更高的权限。

漏洞等级

高危
受影响版本

MinIO < RELEASE.2021-12-27T07-23-18Z

修复方案

1、升级至RELEASE.2021-12-27T07-23-18Z或以上版本：

https://github.com/minio/minio/releases/tag/RELEASE.2021-12-27T07-23-18Z

2、若暂时无法升级，可通过添加显式的”Deny”规则禁止用户通过API更改密码的方式缓解此漏洞。

参考链接

• https://github.com/minio/minio/security/advisories/GHSA-j6jc-jqqc-p6cx