BDU:2023-05199
MinIO Inc, ООО «Ред Софт» MinIO, РЕД ОС
2023-03-22
Уязвимость компонента PostPolicyBucket сервера хранения объектов MinIO связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных HTTP-запросов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - включение доступа к API-браузера и отключение уязвимого функционала путем установки значения «MINIO_BROWSER=off»; - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа; - использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.
Использование рекомендаций производителя: https://github.com/minio/minio/commit/67f4ba154a27a1b06e48bfabda38355a010dfca5 https://github.com/minio/minio/pull/16849 https://github.com/minio/minio/security/advisories/GHSA-2pxw-r47w-4p8c
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/