ГлавнаяБаза уязвимостей БДУ → BDU:2023-05199
9высокая

BDU:2023-05199

Уязвимость компонента PostPolicyBucket сервера хранения объектов MinIO, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-09-05
Описание

Уязвимость компонента PostPolicyBucket сервера хранения объектов MinIO связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных HTTP-запросов

Затрагиваемое ПО и версии
РЕД ОС (7.3)MinIO (до 2023-03-20t20-16-18z)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- включение доступа к API-браузера и отключение уязвимого функционала путем установки значения «MINIO_BROWSER=off»;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Использование рекомендаций производителя:
https://github.com/minio/minio/commit/67f4ba154a27a1b06e48bfabda38355a010dfca5
https://github.com/minio/minio/pull/16849
https://github.com/minio/minio/security/advisories/GHSA-2pxw-r47w-4p8c

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/minio/minio/commit/67f4ba154a27a1b06e48bfabda38355a010dfca5https://github.com/minio/minio/pull/16849https://github.com/minio/minio/security/advisories/GHSA-2pxw-r47w-4p8chttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена