关于几天前出的 MinIO 敏感信息泄露漏洞，分享两种扫描方法

漏洞风险

漏洞描述

在集群模式的配置下，MinIO 部分接口由于信息处理不当返回了所有的环境变量信息（包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD），从而导致敏感信息泄漏漏洞，攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。

只有 MinIO 被配置为集群模式时才会受此漏洞影响，此漏洞的利用无需用户身份认证，官方建议所有使用集群模式配置的用户尽快升级。

影响范围

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z

官方信息

3月20日，MinIO 官方发布了安全补丁，修复了一处敏感信息泄露漏洞 CVE-2023-28432：

https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

扫描方法一：牧云·云原生安全平台

免费使用

牧云·云原生安全平台： https://rivers.chaitin.cn/promotion=1e07cd415fe5eee58c14550c8452914e

检测截图

 除 SaaS 版以外，还提供更为安全隐秘的私有化部署版。

扫描方法二：问脉 Tools（开源工具）

veinmind-minio 基于问脉引擎，快速识别并发现 镜像/容器 中是否存在 CVE-2023-28432 漏洞。

• 快速扫描容器/镜像中的 minio CVE-2023-28432 风险。
• 支持 JSON/CLI/HTML 等多种报告格式输出。

开源地址

https://github.com/chaitin/veinmind-tools/tree/master/plugins/go/veinmind-minio

使用命令

1. 指定镜像名称或镜像ID并扫描 (需要本地存在对应的镜像)。 ./veinmind-minio scan [image/container]

1. 指定容器名称或容器ID并扫描。 ./veinmind-minio scan container [containerID/containerName]

兼容性：

• linux/amd64
• linux/386
• linux/arm64
• linux/arm