MinIO信息泄露漏洞（POC已公开）(CVE-2023-28432)

    MinIO是一种开源的对象存储服务，它兼容 Amazon S3 API，可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统，它可以存储大量数据，并提供对数据的高速读写能力。MinIO 采用分布式架构，可以在多个节点上运行，从而实现数据的分布式存储和处理。
    近日发现，MinIO verify接口存在信息泄露漏洞，POC已经公开，并且利用方式极为简单。相关用户请注意防范信息泄露安全风险。

NO.1

漏洞描述

MinIO verify接口存在信息泄露漏洞，远程攻击者可简单修改请求方式，实现对漏洞的利用，泄露信息包括服务器操作系统、路径、内网IP及端口等信息，漏洞利用方式简单且POC已公开。

NO.2

漏洞影响范围

RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

NO.3

修复方案

缓解措施：

在可能的情况下，限制MinIO的端口访问，仅允许内网用户访问，或增加黑白名单机制。

修复方案：

官方已发布安全修复版本，受影响用户可以升级到安全版本: 

https://github.com/minio/minio/releases

NO.4

参考链接

https://github.com/minio/minio/releases

https://github.com/Mr-xn/CVE-2023-28432