minio 中的信息泄露(CVE-2024-36107)

admin
admin
admin
0
文章
0
评论
2024-05-30 22:48:50 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
minio 中的信息泄露(CVE-2024-36107)

CVE编号

CVE-2024-36107

利用情况

暂无

补丁情况

N/A

披露时间

2024-05-29
漏洞描述
MinIO是一款高性能的对象存储软件,采用GNU Affero通用公共许可证v3.0发布。当使用匿名请求时,结合`If-Modified-Since`和`If-Unmodified-Since`头部发送随机对象名称请求,可以用来确定特定存储桶中对象是否存在,并获取一定数量的信息,如`最新版本的修改时间(Last-Modified)`、`最新版本的ETag`、`最新版本的x-amz-version-id`、`最新版本的Expires(元数据值)`、`最新版本的Cache-Control(元数据值)`。在验证匿名访问是否被允许之前,此条件检查被讲述至于对象的元数据。该问题已在提交`e0fe7cc3917`中解决。用户必须升级到RELEASE.2024-05-27T19-17-46Z以修复此问题。目前尚无已知的解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/If-Modified-Since
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/If-Unmodified-Since
https://github.com/minio/minio/commit/e0fe7cc391724fc5baa85b45508f425020fe4272
https://github.com/minio/minio/pull/19810
https://github.com/minio/minio/security/advisories/GHSA-95fr-cm4m-q5p9
CVSS3评分 5.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 低
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0