PT-2021-14469 · Minio+1 · Minio+1
Harshavardhana
·
Publicado
2021-03-17
·
Atualizado
2024-03-06
·
CVE-2021-21390
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do MinIO anteriores à RELEASE.2021-03-17T02-33-02Z
Descrição
O MinIO é um serviço de armazenamento de objetos de código aberto e de alto desempenho, compatível por API com o serviço de armazenamento em nuvem Amazon S3. A vulnerabilidade permite a modificação MITM (Man-in-the-Middle) de corpos de solicitação cuja integridade deveria ser garantida por assinaturas de blocos. Em uma solicitação PUT usando a codificação
aws-chunked, o MinIO normalmente verifica as assinaturas no final de um bloco. Essa verificação pode ser ignorada se o cliente enviar um tamanho de bloco falso que seja muito maior do que os dados reais enviados: o servidor aceita e conclui a solicitação sem nunca chegar ao final do bloco + e, portanto, sem nunca verificar a assinatura do bloco.Recomendações
Para versões anteriores à RELEASE.2021-03-17T02-33-02Z, atualize para a versão RELEASE.2021-03-17T02-33-02Z ou posterior.
Como solução alternativa temporária, considere evitar o uso de solicitações de upload com assinatura de chunk baseadas na codificação
aws-chunked e, em vez disso, use TLS.Os SDKs do MinIO desativam automaticamente a assinatura de codificação chunked quando o endpoint do servidor é configurado com TLS.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Minio