Minio de Minio. Vulnerabilidades y errores

Errores CVE de Minio de Minio

Vulnerabilidades CVE de Minio de Minio

Minio es un marco de almacenamiento de objetos de múltiples nubes

23 de marzo del 2023

  • CVE-2023-28433: Todos los usuarios de Windows anteriores a la versión RELEASE.2023-03-20T20-16-18Z se ven afectados. MinIO no puede filtrar el carácter `\`, lo que permite la ubicación arbitraria de objetos en depósitos. Como resultado, un usuario con privilegios bajos, como una clave de acceso, una cuenta de servicio o una credencial de STS, que solo tiene permiso para `PutObject` en un depósito específico, puede crear un usuario administrador. Este problema se corrigió en RELEASE.2023-03-20T20-16-18Z. No hay soluciones alternativas conocidas.

15 de marzo del 2023

  • CVE-2023-27589: A partir de RELEASE.2020-12-23T02-24-12Z y antes de RELEASE.2023-03-13T19-46-17Z, un usuario con permisos de `consoleAdmin` puede potencialmente crear un usuario que coincida con la credencial raíz `accessKey`. Una vez que este usuario se crea correctamente, la credencial raíz deja de funcionar correctamente. El problema se solucionó en RELEASE.2023-03-13T19-46-17Z. Hay formas de evitar esto mediante la adición de mayores privilegios para el usuario raíz deshabilitado a través del `conjunto de políticas de administración de mc`.

22 de febrero del 2023

  • CVE-2023-25812: Las versiones afectadas no respetan correctamente una política de "Denegar" en ByPassGoverance. Idealmente, minio debería devolver "Acceso denegado" a todos los usuarios que intenten ELIMINAR un ID de versión con el encabezado especial `X-Amz-Bypass-Governance-Retention: true`. Sin embargo, esto no se cumplió; en su lugar, se cumplirá la solicitud y un objeto bajo control se eliminará incorrectamente. Se recomienda a todos los usuarios que actualicen. No hay soluciones alternativas conocidas para este problema.

Sitios de referencia

  • CVE-2023-28433 https://github.com/minio/minio/commit/8d6558b23649f613414c8527b58973fbdfa4d1b8
  • CVE-2023-27589 https://github.com/minio/minio/security/advisories/GHSA-9wfv-wmf7-6753
  • CVE-2023-25812 https://github.com/minio/minio/security/advisories/GHSA-7g5f-wrx8-5ccf

Otras paginas de vulnerabilidades CVE

¿Quieres encontrar más vulnerabilidades?.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-27. Fecha publicación el 2023-02-25. Autor: Oscar olg Mapa del sitio Fuente: cve report