乐趣区

关于容器:扫描-MinIO-敏感信息泄露漏洞的两种方法

破绽危险

破绽形容

在集群模式的配置下,MinIO 局部接口因为信息处理不当返回了所有的环境变量信息(包含 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致敏感信息透露破绽,攻击者可能通过获取到的密钥配置信息间接登陆操作 MinIO 接口。

只有 MinIO 被配置为集群模式时才会受此破绽影响,此破绽的利用无需用户身份认证,官网倡议所有应用集群模式配置的用户尽快降级。

影响范畴

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z

官网信息

3 月 20 日,MinIO 官网公布了安全补丁,修复了一处敏感信息泄露破绽 ​​CVE-2023-28432​​:
​​https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q​​


扫描办法一:牧云·云原生平安平台

收费应用

​​牧云·云原生平安平台:​​ ​​https://rivers.chaitin.cn/promotion=1e07cd415fe5eee58c14550c8…​​

检测截图

 除 SaaS 版以外,还提供更为平安隐秘的私有化部署版。


扫描办法二:问脉 Tools(开源工具)

veinmind-minio 基于 问脉引擎 ,疾速辨认并发现  镜像 / 容器 中是否存在 CVE-2023-28432 破绽。

  • 疾速扫描容器 / 镜像中的 minio CVE-2023-28432 危险。
  • 反对 JSON/CLI/HTML 等多种报告格局输入。
开源地址

https://github.com/chaitin/veinmind-tools/tree/master/plugins/go/veinmind-minio​​

应用命令
  1. 指定镜像名称或镜像 ID 并扫描 (须要本地存在对应的镜像)。
    ​​./veinmind-minio scan [image/container]​​
  2. 指定容器名称或容器 ID 并扫描。
    ​​./veinmind-minio scan container [containerID/containerName]​​
兼容性:
  • linux/amd64
  • linux/386
  • linux/arm64
  • linux/arm
退出移动版