MinIO权限提升漏洞CVE-2024-24747详细解决办法

 漏洞名称：

MinIO权限提升漏洞(CVE-2024-24747)

漏洞简介

2024年2月2日，深瞳漏洞实验室监测到一则MinIO 存在权限提升漏洞的信息，漏洞编号：CVE-2024-24747，漏洞威胁等级：高危。

该漏洞是由于用户创建的访问密钥会继承更高的权限并可以覆盖现有权限。攻击者可利用该漏洞在获得低权限的情况下，构造恶意数据执行权限提升攻击，最终获取管理员权限。

组件名称：

MinIO

影响范围：

MinIO < RELEASE.2024-01-31T20-20-33Z

解决办法

非docker部署

官方推出直接升级安装包即可下载地址

https://github.com/minio/minio/releases

docker部署

安装docker此处省略

docker最新镜像

docker  pull minio/minio

创建目录

mkdir -p /mydata/minio/data
mkdir -p /mydata/minio/conf

执行命令

docker run --privileged -d -it -p 9000:9000 -p 9111:9111 --name minio -e "MINIO_ROOT_USER=minio" --privileged=true -e "MINIO_ROOT_PASSWORD=minio123" -v /mydata/minio/data:/data -v /mydata/minio/conf:/root/.minio minio/minio server /data --console-address ":9111"

获取id

docker ps
75f93ff2ec30   minio/minio   "/usr/bin/docker-ent…"   2 minutes ago   Up 2 minutes   0.0.0.0:9000->9000/tcp, :::9000->9000/tcp, 0.0.0.0:9111->9111/tcp, :::9111->9111

查看版本

 sudo docker exec -it 75f93ff2ec30 minio --version

界面访问