九州酷游官网

EN

    • 【误差预警报告】MinIO 服务端请求伪造误差

    宣布时间:2021-03-12
    浏览量: 11656

    误差简述



    时间2021年02月02日

    发明MinIO组件保存服务端伪造请求误差的信息,误差编号:CVE-2021-21287。

    程序详情

    MinIO 是一个基于Apache License v2.0开源协议的工具存储服务。它兼容亚马逊S3云存储服务接口,适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等,而一个工具文件可以是恣意巨细,从几kb到最大5T不等。

    MinIO是一个轻量的服务,可以很简朴的和其他应用的团结,类似 NodeJS, Redis 或者 MySQL。



    危害品级



    威胁品级:高

    影响规模:普遍



    误差详情


    该误差是由于MinIO组件中LoginSTS接口逻辑设计不当,导致服务端请求伪造误差。攻击者通过全心结构URL来修改对此功效的挪用。在服务器端请求伪造攻击中,攻击者可以使用服务器上的功效来读取或更新内部资源,可能团结内网其他服务举行执行恣意下令。



    影响版本

    MinIO < RELEASE.2021-01-30T00-20-58Z

     修复建议

    升级组件到清静版本

    github链接https://github.com/minio/minio

    清静版本

    MinIO >= RELEASE.2021-01-30T00-20-58Z



    误差复现剖析


    误差剖析

    修复纪录提交日志链接:

    https://github.com/minio/minio/commit/eb6871ecd960d570f70698877209e6db181bf276#diff-2b3f29fdeadc144f19a2d0e02e076608e0dd58cb2cce21b1b974bfc5bd21304b

    从修复纪录中可以看出,修复后移除了可控参数host的相关代码。

    1615537170.png

    MinIO中的LoginSTS接口用于代理AWS STS登录请求,将发送到JsonRPC的请求转化成STS的方法,再转发给外地的9000端口。

    未修复前,由于请求头是用户可控的,以是这里可以结构恣意的Host,进而结构一个SSRF误差。


    误差复现


    0x00 情形安排

    使用docker-compose 安排

    1615537191.png

    会见http://you-ip:9000到登录页面

    1615537210.png

    0x01 刷新页面,找到登录页面包括的JsonRPC请求

    1615537231.png

    0x02 先使用python3启动一个http服务,用于检测是否有回调过来

    1615537244.png

    0x03 修改method为 web.LoginSTS,指定host参数

    1615537258.png

    0x04 点击Go之后可以看到已经有会见纪录了,证实保存SSRF误差

    1615537274.png

    热门内容

    最先试用九州酷游官网产品
    申请试用

    20年公安服务履历

    7*24小时应急响应中心

    自主知识产权的产品装备

    专家级清静服务团队

    网络空间数据治理专家

    荣获国家科学手艺二等奖

    置顶
    电话

    400-700-1218

    官方热线电话

    咨询
    留言
    二维码
    微信公众号
    公司微博
    网站地图