CVE-2024-24747

Versões do MinIO anteriores a RELEASE.2024-01-31T20-20-33Z

O problema está relacionado à herança de permissões por chaves de acesso no MinIO, um sistema de armazenamento de objetos de alto desempenho. Quando uma chave de acesso é criada, ela herda as permissões da chave pai, incluindo ações admin:*, a menos que os direitos admin sejam explicitamente negados em algum ponto acima na hierarquia de chaves de acesso. Isso permite que as chaves de acesso substituam suas próprias permissões s3 por algo mais permissivo. O número estimado de dispositivos potencialmente afetados em todo o mundo é de cerca de 322.400, distribuídos principalmente na China, nos Estados Unidos e em outros países.

Para resolver o problema, atualize para o MinIO RELEASE.2024-01-31T20-20-33Z ou posterior, que inclui a correção para as verificações de permissão para edição de chaves de acesso. Como solução alternativa temporária, considere negar explicitamente as ações admin nas chaves de acesso para evitar a escalada de privilégios. Restrinja o acesso à permissão UpdateServiceAccountAdminAction para minimizar o risco de exploração. Evite usar as ações admin:* nas chaves de acesso até que o problema seja resolvido.