yy玄幻小说排行榜完本,完美世界辰东,怎样写网络小说

【漏洞通告】關(guān)于MinIO權(quán)限提升漏洞安全風(fēng)險通告（CVE-2021-43858）

安全通告

關(guān)于MinIO權(quán)限提升漏洞安全風(fēng)險通告

發(fā)布日期：2021-12-29

漏洞描述

2021年12月29日，監(jiān)測到MinIO官方發(fā)布CVE-2021-43858MinIO權(quán)限提升漏洞安全通告。擁有MinIO普通用戶賬戶權(quán)限的攻擊者可通過構(gòu)造惡意數(shù)據(jù)包調(diào)用AddUser()API，從而更新用戶的Policy并提升用戶權(quán)限至管理員，接管MinIO管理功能。這個API用于更新用戶密碼及帳戶狀態(tài)，并允許普通用戶更新密碼。在版本“RELEASE.2021-12-27T07-23-18Z”中的更改了接收的請求正文類型，并取消了通過此API應(yīng)用策略的功能。

目前，MinIO官方已發(fā)布可更新版本，建議客戶盡快自查并修復(fù)。

漏洞編號

CVE-2021-43858

漏洞危害

擁有MinIO普通用戶賬戶權(quán)限的攻擊者可通過構(gòu)造惡意數(shù)據(jù)包調(diào)用AddUser()API，從而更新用戶的Policy獲得更高的權(quán)限。

漏洞等級

高危
受影響版本

MinIO < RELEASE.2021-12-27T07-23-18Z

修復(fù)方案

1、升級至RELEASE.2021-12-27T07-23-18Z或以上版本：

https://github.com/minio/minio/releases/tag/RELEASE.2021-12-27T07-23-18Z

2、若暫時無法升級，可通過添加顯式的”Deny”規(guī)則禁止用戶通過API更改密碼的方式緩解此漏洞。

參考鏈接

https://github.com/minio/minio/security/advisories/GHSA-j6jc-jqqc-p6cx

漏洞播報

【漏洞通告】關(guān)于MinIO權(quán)限提升漏洞安全風(fēng)險通告（CVE-2021-43858）

聯(lián)系我們：cert@chaosec.com