安全通告
关于MinIO权限提升漏洞安全风险通告
发布日期:2021-12-29
漏洞描述
2021年12月29日,监测到MinIO官方发布CVE-2021-43858MinIO权限提升漏洞安全通告。拥有MinIO普通用户账户权限的攻击者可通过构造恶意数据包调用AddUser()API,从而更新用户的Policy并提升用户权限至管理员,接管MinIO管理功能。这个API用于更新用户密码及帐户状态,并允许普通用户更新密码。在版本“RELEASE.2021-12-27T07-23-18Z”中的更改了接收的请求正文类型,并取消了通过此API应用策略的功能。
目前,MinIO官方已发布可更新版本,建议客户尽快自查并修复。
漏洞编号
CVE-2021-43858
漏洞危害
拥有MinIO普通用户账户权限的攻击者可通过构造恶意数据包调用AddUser()API,从而更新用户的Policy获得更高的权限。
漏洞等级
高危
受影响版本
MinIO < RELEASE.2021-12-27T07-23-18Z
修复方案
1、升级至RELEASE.2021-12-27T07-23-18Z或以上版本:
https://github.com/minio/minio/releases/tag/RELEASE.2021-12-27T07-23-18Z
2、若暂时无法升级,可通过添加显式的”Deny”规则禁止用户通过API更改密码的方式缓解此漏洞。
参考链接
- https://github.com/minio/minio/security/advisories/GHSA-j6jc-jqqc-p6cx