MinIO 权限提升漏洞 (CVE-2024-24747)

漏洞类型 权限管理不当 发现时间 2024-02-01 漏洞等级 高危
MPS编号 MPS-80no-taj1 CVE编号 CVE-2024-24747 漏洞影响广度 广

漏洞危害

OSCS 描述
MinIO是一个高性能对象存储服务。
Minio中创建访问密钥时权限继承存在问题。创建新的访问密钥会继承其父密钥对s3:*和admin:*的操作权限,如果在访问密钥的权限中未明确拒绝admin权限,访问密钥则能够修改自身权限。攻击者可以利用该漏洞提升权限,访问所有部署区域。
参考链接:https://www.oscs1024.com/hd/MPS-80no-taj1

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/minio/minio (-∞, RELEASE.2024-01-31T20-20-33Z) 升级 将 github.com/minio/minio 升级至 RELEASE.2024-01-31T20-20-33Z 及以上版本
缓解措施 拒绝admin:UpdateServiceAccount服务帐户的权限规则
参考链接:https://www.oscs1024.com/hd/MPS-80no-taj1

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-80no-taj1

https://nvd.nist.gov/vuln/detail/CVE-2024-24747

https://github.com/minio/minio/commit/0ae4915a9391ef4b3ec80f5fcdcf24ee6884e776

https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4

(0)
上一篇 2024年2月1日 下午4:00
下一篇 2024年2月7日 下午12:00

相关推荐

  • runc <1.2.0-rc.1 systemd属性注入漏洞 (CVE-2024-3154)

    漏洞类型 命令注入 发现时间 2024-04-27 漏洞等级 高危 MPS编号 MPS-617x-mejs CVE编号 CVE-2024-3154 漏洞影响广度 一般 漏洞危害 OSCS 描述 CRI-O 是一款开源的、用于Kubernetes系统的轻量级容器运行时环境,runc 是 CRI-O 中用于创建和运行容器的工具。 runc 受影响版本中由于未对 …

    漏洞 2024年4月28日
    0
  • SSH协议前缀截断攻击(Terrapin攻击) (CVE-2023-48795)

    漏洞类型 安全相关信息的截断 发现时间 2023-12-19 漏洞等级 中危 MPS编号 MPS-nv0f-qtib CVE编号 CVE-2023-48795 漏洞影响广度 广 漏洞危害 OSCS 描述 SSH是流行的加密安全传输协议,可在不安全的网络中为网络服务提供安全的传输环境。 Fabian Bäumer等人发现SSH标准中的ChaCha20-Poly…

    2023年12月21日
    0
  • BootCDN 投毒风险

    漏洞类型 内嵌恶意代码 发现时间 2023/6/20 漏洞等级 高危 MPS编号 MPS-zw9i-1xkb CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 BootCDN是免费的前端开源项目 CDN 加速服务,通过同步cdnjs仓库,提供了常用javascript组件的CDN服务。多个开发者发现在特定请求中(如特定Referer及…

    2023年8月30日
    0
  • Atlassian Confluence 远程代码执行漏洞 (CVE-2024-21683)

    漏洞类型 代码注入 发现时间 2024-05-22 漏洞等级 高危 MPS编号 MPS-gx20-hrqc CVE编号 CVE-2024-21683 漏洞影响广度 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 其内部审计发现Confluence Data Center和Server版本5.2中引入了…

    漏洞 2024年5月24日
    0
  • Apache bRPC 存在http请求走私风险 (CVE-2024-23452)

    漏洞类型 HTTP请求走私 发现时间 2024-02-08 漏洞等级 中危 MPS编号 MPS-2glc-5ao0 CVE编号 CVE-2024-23452 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache bRPC 是百度开源的工业级 RPC 框架,常用于搜索、存储、机器学习等高性能系统。 Apache bRPC 0.9.5至1.7.0版本中由于…

    2024年2月9日
    0