2024年2月2日,网上公开披露了一个MinIO 权限提升漏洞(CVE-2024-24747),MinIO是一个高性能对象存储服务,请各位用户尽快安装漏洞补丁。
漏洞风险:Minio中创建访问密钥时权限继承存在问题。创建新的访问密钥会继承其父密钥对s3:*和admin:*的操作权限,如果在访问密钥的权限中未明确拒绝admin权限,访问密钥则能够修改自身权限。攻击者可以利用该漏洞提升权限,访问所有部署区域。
风险等级:高风险。
影响范围:
github.com/minio/minio@(-∞,RELEASE.2024-01-31T20 -20-33Z)
修复建议:
将 github.com/minio/minio 升级RELEASE.2024-01-31T20 -20-33Z 及以上版本
拒绝admin:UpdateServiceAccount服务帐户的权限规则
