18luck新利官网

EN

    • 【缝隙预警汇报】MinIO 服务端要求伪造缝隙

    颁布功夫:2021-03-12
    浏览量: 13810

    缝隙简述



    功夫2021年02月02日

    发现MinIO组件存在服务端伪造要求缝隙的信息 ,,,,,,缝隙编号:CVE-2021-21287。。。。。

    法式详情

    MinIO 是一个基于Apache License v2.0开源和谈的对象存储服务。。。。。它兼容亚马逊S3云存储服务接口 ,,,,,,适合于存储大容量非结构化的数据 ,,,,,,例如图片、视频、日志文件、备份数据和容器/虚构机镜像等 ,,,,,,而一个对象文件可所以肆意大幼 ,,,,,,从几kb到最大5T不等。。。。。

    MinIO是一个轻量的服务,能够很单一的和其他利用的结合 ,,,,,,类似 NodeJS, Redis 或者 MySQL。。。。。



    风险等级



    威胁等级:高

    影响领域:宽泛



    缝隙详情


    该缝隙是由于MinIO组件中LoginSTS接口逻辑设计不当 ,,,,,,导致服务端要求伪造缝隙。。。。。攻击者通过精心机关URL来批改对此职能的挪用。。。。。在服务器端要求伪造攻击中 ,,,,,,攻击者能够利用服务器上的职能来读取或更新内部资源 ,,,,,,可能结合内网其他服务进行执行肆意号令。。。。。



    影响版本

    MinIO < RELEASE.2021-01-30T00-20-58Z

     建复建议

    升级组件到安全版本

    github链接https://github.com/minio/minio

    安全版本

    MinIO >= RELEASE.2021-01-30T00-20-58Z



    缝隙复现分析


    缝隙分析

    建复纪录提交日志链接:

    https://github.com/minio/minio/commit/eb6871ecd960d570f70698877209e6db181bf276#diff-2b3f29fdeadc144f19a2d0e02e076608e0dd58cb2cce21b1b974bfc5bd21304b

    从建复纪录中能够看出 ,,,,,,建复后移除了可控参数host的有关代码。。。。。

    1615537170.png

    MinIO中的LoginSTS接口用于代理AWS STS登录要求 ,,,,,,将发送到JsonRPC的要求转化成STS的方式 ,,,,,,再转发给本地的9000端口。。。。。

    未建复前 ,,,,,,由于要求头是用户可控的 ,,,,,,所以这里能够机关肆意的Host ,,,,,,进而机关一个SSRF缝隙。。。。。


    缝隙复现


    0x00 环境部署

    使用docker-compose 部署

    1615537191.png

    接见http://you-ip:9000到登录页面

    1615537210.png

    0x01 刷新页面 ,,,,,,找到登录页面蕴含的JsonRPC要求

    1615537231.png

    0x02 先使用python3启动一个http服务 ,,,,,,用于检测是否有回调过来

    1615537244.png

    0x03 批改method为 web.LoginSTS ,,,,,,指定host参数

    1615537258.png

    0x04 点击Go之后能够看到已经有接见纪录了 ,,,,,,证明存在SSRF缝隙

    1615537274.png

    热点内容

    起头试用18luck新利官网产品
    申请试用

    20年公安服务经验

    7*24幼时应急响应中心

    自主知识产权的产品设备

    专家级安全服务团队

    网络空间数据治理专家

    荣获国度科学技术二等奖

    置顶
    电话

    400-700-1218

    官方热线电话

    征询
    留言
    二维码
    微信公家号
    公司微博
    【网站地图】【sitemap】