Все бюллетени/sisyphus/ALT-PU-2023-1522-2
ALT-PU-2023-1522-2

Обновление пакета minio в ветке sisyphus

Версия2023.03.24-alt1
Задание#317584
Опубликовано2026-02-04
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (12)

BDU:2023-01857
HIGH8.8

Уязвимость сервера хранения объектов MinIO, связана с ошибками при сохранении разрешений, позволяющая нарушителю удалить управляемый объект

Опубликовано: 2023-04-05
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 10.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
Ссылки
BDU:2023-02098
HIGH7.5

Уязвимость сервера хранения объектов MinIO, связанная с возвращением всех переменных среды, включая «MINIO_SECRET_KEY» и «MINIO_ROOT_PASSWORD», позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2023-04-17Изменено: 2024-09-13
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N
Ссылки
BDU:2023-02148
MEDIUM6.5

Уязвимость сервера хранения объектов MinIO, связанная с небезопасным управлением привилегиями, позволяющая нарушителю отключить доступ к учетным данным root

Опубликовано: 2023-04-20
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
CVSS 2.0ВЫСОКАЯ 7.7
CVSS:2.0/AV:N/AC:L/Au:M/C:N/I:C/A:C
Ссылки
BDU:2023-05199
HIGH8.8

Уязвимость компонента PostPolicyBucket сервера хранения объектов MinIO, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2023-09-05Изменено: 2024-09-24
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
BDU:2023-07540
HIGH8.8

Уязвимость сервера хранения объектов MinIO, связанная с недостатками контроля доступа, позволяющая нарушителю создать пользователя с правами администратора

Опубликовано: 2023-11-09Изменено: 2024-08-12
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
CVE-2023-25812
HIGH8.8

Minio is a Multi-Cloud Object Storage framework. Affected versions do not correctly honor a `Deny` policy on ByPassGoverance. Ideally, minio should return "Access Denied" to all users attempting to DELETE a versionId with the special header `X-Amz-Bypass-Governance-Retention: true`. However, this was not honored instead the request will be honored and an object under governance would be incorrectly deleted. All users are advised to upgrade. There are no known workarounds for this issue.

Опубликовано: 2023-02-21Изменено: 2024-11-21
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки
CVE-2023-27589
MEDIUM6.5

Minio is a Multi-Cloud Object Storage framework. Starting with RELEASE.2020-12-23T02-24-12Z and prior to RELEASE.2023-03-13T19-46-17Z, a user with `consoleAdmin` permissions can potentially create a user that matches the root credential `accessKey`. Once this user is created successfully, the root credential ceases to work appropriately. The issue is patched in RELEASE.2023-03-13T19-46-17Z. There are ways to work around this via adding higher privileges to the disabled root user via `mc admin policy set`.

Опубликовано: 2023-03-14Изменено: 2024-11-21
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
Ссылки
CVE-2023-28432
HIGH7.5

Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-16-33Z and prior to RELEASE.2023-03-20T20-16-18Z, MinIO returns all environment variables, including `MINIO_SECRET_KEY` and `MINIO_ROOT_PASSWORD`, resulting in information disclosure. All users of distributed deployment are impacted. All users are advised to upgrade to RELEASE.2023-03-20T20-16-18Z.

Опубликовано: 2023-03-22Изменено: 2025-10-24
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Ссылки
CVE-2023-28433
HIGH8.8

Minio is a Multi-Cloud Object Storage framework. All users on Windows prior to version RELEASE.2023-03-20T20-16-18Z are impacted. MinIO fails to filter the `\` character, which allows for arbitrary object placement across buckets. As a result, a user with low privileges, such as an access key, service account, or STS credential, which only has permission to `PutObject` in a specific bucket, can create an admin user. This issue is patched in RELEASE.2023-03-20T20-16-18Z. There are no known workarounds.

Опубликовано: 2023-03-22Изменено: 2024-11-21
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки
CVE-2023-28434
HIGH8.8

Minio is a Multi-Cloud Object Storage framework. Prior to RELEASE.2023-03-20T20-16-18Z, an attacker can use crafted requests to bypass metadata bucket name checking and put an object into any bucket while processing `PostPolicyBucket`. To carry out this attack, the attacker requires credentials with `arn:aws:s3:::*` permission, as well as enabled Console API access. This issue has been patched in RELEASE.2023-03-20T20-16-18Z. As a workaround, enable browser API access and turn off `MINIO_BROWSER=off`.

Опубликовано: 2023-03-22Изменено: 2026-02-26
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки
GHSA-2pxw-r47w-4p8c
HIGH8.8

Privilege Escalation on Linux/MacOS

Опубликовано: 2023-09-05Изменено: 2025-10-22
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:H
Ссылки
GHSA-w23q-4hw3-2pp6
HIGH8.8

Minio vulnerable to Privilege Escalation on Windows via Path separator manipulation

Опубликовано: 2023-09-06
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки