国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

MinIO 環(huán)境變量泄漏漏洞(CVE-2023-28432)

2年前作者:墨菲安全分類:Toy博客閱讀(42)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了MinIO 環(huán)境變量泄漏漏洞(CVE-2023-28432)。希望對大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

漏洞描述

MinIO 是一個(gè)開源的對象存儲(chǔ)服務(wù)器。

MinIO RELEASE.2023-03-20T20-16-18Z之前版本中的 bootstrap-peer-server.go#VerifyHandler 方法存在敏感信息泄漏漏洞,攻擊者可向集群部署中的 MinIO 服務(wù)器的 /minio/bootstrap/v1/verify API發(fā)送POST請求,從而獲取到 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有環(huán)境變量信息,從而以管理員身份登錄 MinIO 服務(wù)。

漏洞名稱 MinIO 環(huán)境變量泄漏漏洞
漏洞類型 信息暴露
發(fā)現(xiàn)時(shí)間 2023/3/23
漏洞影響廣度
MPS編號 MPS-2023-8166
CVE編號 CVE-2023-28432
CNVD編號 -

影響范圍

github.com/minio/minio/cmd@[RELEASE.2019-12-17T23-16-33Z, RELEASE.2023-03-20T20-16-18Z)

修復(fù)方案

升級github.com/minio/minio/cmd到 RELEASE.2023-03-20T20-16-18Z 或更高版本

參考鏈接

https://www.oscs1024.com/hd/MPS-2023-8166

https://nvd.nist.gov/vuln/detail/CVE-2023-28432

https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

https://github.com/minio/minio/commit/3b5dbf90468b874e99253d241d16d175c2454077

https://github.com/golang/vulndb/issues/1667

關(guān)于墨菲安全

墨菲安全是一家為您提供專業(yè)的軟件供應(yīng)鏈安全管理的科技公司,核心團(tuán)隊(duì)來自百度、華為、烏云等企業(yè),公司為客戶提供完整的軟件供應(yīng)鏈安全管理平臺(tái),圍繞SBOM提供軟件全生命周期的安全管理,平臺(tái)能力包括軟件成分分析、源安全管理、容器鏡像檢測、漏洞情報(bào)預(yù)警及商業(yè)軟件供應(yīng)鏈準(zhǔn)入評估等多個(gè)產(chǎn)品。為客戶提供從供應(yīng)鏈資產(chǎn)識(shí)別管理、風(fēng)險(xiǎn)檢測、安全控制、一鍵修復(fù)的完整控制能力。
開源項(xiàng)目:https://github.com/murphysecurity/murphysec/?sf=qbyj

產(chǎn)品可以極低成本的和現(xiàn)有開發(fā)流程中的各種工具一鍵打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等數(shù)十種工具無縫集成。
免費(fèi)代碼安全檢測工具: https://www.murphysec.com/?sf=qbyj
免費(fèi)情報(bào)訂閱: https://www.oscs1024.com/cm/?sf=qbyj

MinIO 環(huán)境變量泄漏漏洞(CVE-2023-28432)文章來源地址http://www.zghlxwxcb.cn/news/detail-425281.html

到了這里,關(guān)于MinIO 環(huán)境變量泄漏漏洞(CVE-2023-28432)的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞(CVE-2023-28432)

    Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞(CVE-2023-28432)

    Goby預(yù)置了最具攻擊效果的漏洞引擎,覆蓋Weblogic,Tomcat等最嚴(yán)重漏洞。每天從互聯(lián)網(wǎng)(如CVE)會(huì)產(chǎn)生大量的漏洞信息,我們篩選了會(huì)被用于真實(shí)攻擊的漏洞進(jìn)行每日更新。Goby也提供了可以自定義的漏洞檢查框架,發(fā)動(dòng)了互聯(lián)網(wǎng)的大量安全從業(yè)者貢獻(xiàn)POC,保證持續(xù)的應(yīng)急響應(yīng)能

    2024年02月15日
    瀏覽(26)
  • MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)

    MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)

    漏洞描述: MinIO 是一種開源的對象存儲(chǔ)服務(wù),它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一種高性能、高可用性的分布式存儲(chǔ)系統(tǒng),它可以存儲(chǔ)大量數(shù)據(jù),并提供對數(shù)據(jù)的高速讀寫能力。MinIO 采用分布式架構(gòu),可以在多個(gè)節(jié)點(diǎn)上運(yùn)行,從而實(shí)現(xiàn)數(shù)據(jù)的分布式存

    2023年04月08日
    瀏覽(35)

  • 【高?!緼pache Solr 環(huán)境變量信息泄漏漏洞

    Apache Solr 是一款開源的搜索引擎。 在 Apache Solr 受影響版本中,由于 Solr Metrics API 默認(rèn)輸出所有未單獨(dú)配置保護(hù)策略的環(huán)境變量。在默認(rèn)無認(rèn)證或具有 metrics-read 權(quán)限的情況下,攻擊者可以通過向 /solr/admin/metrics 端點(diǎn)發(fā)送惡意請求,從而獲取到運(yùn)行 Solr 實(shí)例的主機(jī)上的所有系統(tǒng)

    2024年01月18日
    瀏覽(30)
  • 泛微 E-Office文件上傳漏洞復(fù)現(xiàn)(CVE-2023-2523、CVE-2023-2648)

    泛微 E-Office文件上傳漏洞復(fù)現(xiàn)(CVE-2023-2523、CVE-2023-2648)

    ? ? ? 泛微E-Office是一款標(biāo)準(zhǔn)化的協(xié)同 OA 辦公軟件,泛微協(xié)同辦公產(chǎn)品系列成員之一,實(shí)行通用化產(chǎn)品設(shè)計(jì),充分貼合企業(yè)管理需求,本著簡潔易用、高效智能的原則,為企業(yè)快速打造移動(dòng)化、無紙化、數(shù)字化的辦公平臺(tái)。 cve-2023-2523 ? ? 泛微e-office 9.5版本,源文件 App/Ajax/a

    2024年02月06日
    瀏覽(23)

  • 漏洞復(fù)現(xiàn) CVE-2023-0297( pyload遠(yuǎn)程代碼執(zhí)行漏洞 )

    在 addcrypted2() 函數(shù)中,對傳入的參數(shù) jk 解析后用 eval_js() 作為 JS 語句執(zhí)行。 利用 JS 中 pyimport 導(dǎo)入 OS 包,執(zhí)行系統(tǒng)命令(文件操作,進(jìn)程管理),還可以利用 os.system() 執(zhí)行 shell 命令。 構(gòu)建 payload 過程比較簡單,只要傳入所需的 package, crypted, jk, passwords 四個(gè)參數(shù)即可,這里

    2024年02月08日
    瀏覽(22)
  • 【漏洞復(fù)現(xiàn)】Weblogic CVE-2023-21839

    【漏洞復(fù)現(xiàn)】Weblogic CVE-2023-21839

    1. 產(chǎn)品簡介 WebLogic是Oracle公司研發(fā)的用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器,在全球范圍內(nèi)被廣泛使用。 2. 漏洞簡介 Oracle發(fā)布安全公告,修復(fù)了一個(gè)存在于WebLogic Core中的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-21839),可在未經(jīng)身份驗(yàn)證

    2023年04月16日
    瀏覽(23)
  • Weblogic遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2023-21839

    Weblogic遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2023-21839

    ????????WebLogic Core遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-21839),該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過T3/IIOP協(xié)議進(jìn)行 JNDI lookup 操作,破壞易受攻擊的WebLogic服務(wù)器,成功利用此漏洞可能導(dǎo)致Oracle WebLogic服務(wù)器被接管(RCE)或敏感信息泄露。 ??????? 靶機(jī):kali vullhub docker啟動(dòng)

    2023年04月13日
    瀏覽(24)
  • Openssh高危漏洞CVE-2023-38408修復(fù)方案

    Openssh高危漏洞CVE-2023-38408修復(fù)方案

    2023年07月21日,360CERT監(jiān)測發(fā)現(xiàn) OpenSSH 發(fā)布了 OpenSSH 的風(fēng)險(xiǎn)通告,漏洞編號為 CVE-2023-38408 ,漏洞等級: 高危 ,漏洞評分: 8.1 。 OpenSSH 是 Secure Shell (SSH) 協(xié)議的開源實(shí)現(xiàn),提供一套全面的服務(wù),以促進(jìn)客戶端-服 務(wù)器環(huán)境中不安全網(wǎng)絡(luò)上的加密通信。 威脅等級 高 影響面 廣泛

    2024年02月11日
    瀏覽(21)
  • CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞

    CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞

    Apache Kafka 的最新更新解決的一個(gè)漏洞是一個(gè)不安全的 Java 反序列化問題,可以利用該漏洞通過身份驗(yàn)證遠(yuǎn)程執(zhí)行代碼。 Apache Kafka 是一個(gè)開源分布式事件流平臺(tái),被數(shù)千家公司用于高性能數(shù)據(jù)管道、流分析、數(shù)據(jù)集成和任務(wù)關(guān)鍵型應(yīng)用程序。超過 80% 的財(cái)富 100 強(qiáng)公司信任并使

    2024年02月12日
    瀏覽(19)
  • 漏洞復(fù)現(xiàn) || SolarView Compact 存在任意命令執(zhí)行漏洞(CVE-2023-23333)

    漏洞復(fù)現(xiàn) || SolarView Compact 存在任意命令執(zhí)行漏洞(CVE-2023-23333)

    技術(shù)文章僅供參考,任何個(gè)人和組織使用網(wǎng)絡(luò)應(yīng)當(dāng)遵守憲法法律,遵守公共秩序,尊重社會(huì)公德,不得利用網(wǎng)絡(luò)從事危害國家安全、榮譽(yù)和利益,未經(jīng)授權(quán)請勿利用文章中的技術(shù)資料對任何計(jì)算機(jī)系統(tǒng)進(jìn)行入侵操作。利用此文所提供的信息而造成的直接或間接后果和損失,均

    2024年02月15日
    瀏覽(17)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包