MinIO服务器端请求伪造漏洞(CVE-2021-21287)
发布时间 2021-02-030x00 漏洞概述
CVE ID | CVE-2021-21287 | 时 间 | 2021-02-03 |
类 型 | SSRF | 等 级 | 高危 |
远程利用 | 是 | 影响范围 |
0x01 漏洞详情
简述
MinIO是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,适用于存储大容量非结构化的数据(如图片、视频、日志文件、备份数据和容器/虚拟机镜像等),作为一款支持部署在私有云的开源对象存储系统,MinIO在全球被广泛使用。
2021年02月03日,phith0n公开披露了MinIO中的一个服务器端请求伪造漏洞(CVE-2021-21287),其CVSS评分7.7。由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击,成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。该漏洞无需用户验证即可远程利用,目前已被修复。
漏洞细节
MinIO组件中LoginSTS接口其实是AWS STS登录接口的一个代理,用于将发送到JsonRPC的请求转变成STS的方式转发给本地的9000端口。
// LoginSTS - STS user login handler.
func (web *webAPIHandlers) LoginSTS(r *http.Request, args *LoginSTSArgs, reply *LoginRep) error {
ctx := newWebContext(r, args, "WebLoginSTS")
v := url.Values{}
v.Set("Action", webIdentity)
v.Set("WebIdentityToken", args.Token)
v.Set("Version", stsAPIVersion)
scheme := "http"
// ...
u := &url.URL{
Scheme: scheme,
Host: r.Host,
}
u.RawQuery = v.Encode()
req, err := http.NewRequest(http.MethodPost, u.String(), nil)
// ...
}
由于逻辑设计不当,MinIO会将用户发送的HTTP头Host中获取到地址作为URL的Host来构造新的URL。但由于请求头是用户可控的,所以可以构造任意的Host,最终导致存在SSRF漏洞。
影响范围
MinIO < RELEASE.2021-01-30T00-20-58Z
0x02 处置建议
目前该漏洞已被修复,建议升级至RELEASE.2021-01-30T00-20-58Z。
下载链接:
https://github.com/minio/minio/releases/tag/RELEASE.2021-01-30T00-20-58Z
解决方法
配置环境变量“ MINIO_BROWSER = off”。
0x03 参考链接
https://mp.weixin.qq.com/s/X04IhY9Oau-kDOVbok8wEw
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21287
https://nvd.nist.gov/vuln/detail/CVE-2021-21287
0x04 时间线
2021-02-02 phith0n披露漏洞
2021-02-03 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/