PT-2022-20472 · Minio+1 · Minio+1

Harshavardhana

·

Publicado

2022-06-03

·

Atualizado

2024-12-26

·

CVE-2022-31028

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do MinIO de RELEASE.2019-09-25T18-25-51Z a RELEASE.2022-06-02T02-11-04Z
Descrição
O problema está relacionado a um acúmulo infinito de go-routines durante a manutenção de conexões estabelecidas, devido ao fato de os clientes HTTP não fecharem as conexões. As implantações do MinIO voltadas para o público são as mais afetadas.
Recomendações
Para as versões RELEASE.2019-09-25T18-25-51Z a RELEASE.2022-06-02T02-11-04Z, atualize para a versão RELEASE.2022-06-02T02-11-04Z ou posterior para receber um patch.
Como solução alternativa temporária, considere usar um proxy reverso para limitar o número de conexões tentadas no MinIO e rejeitar ativamente conexões de clientes maliciosos.

Exploit

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALT-PU-2022-3382
ALT-PU-2023-1522
ALT-PU-2023-1908
ALT-PU-2023-2074
ALT-PU-2024-17529
BIT-MINIO-2022-31028
CVE-2022-31028
GHSA-QRPR-R3PW-F636

Produtos afetados

Alt Linux
Minio