MinIO 权限提升漏洞-低调大师

MinIO 权限提升漏洞

2024-02-02 542

漏洞描述

MinIO是一个高性能对象存储服务。

Minio中创建访问密钥时权限继承存在问题。创建新的访问密钥会继承其父密钥对s3:*和admin:*的操作权限，如果在访问密钥的权限中未明确拒绝admin权限，访问密钥则能够修改自身权限。攻击者可以利用该漏洞提升权限，访问所有部署区域。

漏洞名称	MinIO 权限提升漏洞
漏洞类型	权限管理不当
发现时间	2024-02-01
漏洞影响广度	广
MPS编号	MPS-80no-taj1
CVE编号	CVE-2024-24747
CNVD编号	-

影响范围

github.com/minio/minio@(-∞, RELEASE.2024-01-31T20-20-33Z)

修复方案

将 github.com/minio/minio 升级至 RELEASE.2024-01-31T20-20-33Z 及以上版本

拒绝admin:UpdateServiceAccount服务帐户的权限规则

参考链接

https://www.oscs1024.com/hd/MPS-80no-taj1

https://nvd.nist.gov/vuln/detail/CVE-2024-24747

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/277406

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

gRPC 1.61.0 发布，跨语言 RPC 框架

gRPC 是可以在任何环境中运行的现代开源高性能 RPC 框架。gRPC 1.61.0 现已发布，包含了一些完善、改进和错误修复；具体更新内容如下： Core [xDS] 修复聚合集群设计。(#35313) [SSA] 更改 xds_override_host 策略以根据上次使用时间而不是 EDS 运行状况来管理子通道。(#35397) [xDS] 从 CDS 资源读取连接空闲超时。(#35395) [xDS] 将 CDS 和 EDS watchers 移至 xds 解析器中。(#35011) [alpn] 删除 grpc-exp 实验性 ALPN 协议。(#34876) 将 zlib 更新到 1.3。(#35147) [EventEngine] Clarify API：callback cancellation 和线程安全。(#35009) C++ [OTel] De-experimentalize API。(#35509) [OTel] 用于 metrics 的实验性 API。(#35348) [OTel] 将 OTel Bazel dep 更新至 v1.13.0。(#35352)...

2024-02-02

305

上海人工智能实验室科学家团队正式发布了大模型开源开放评测体系“司南” (OpenCompass2.0)，用于为大语言模型、多模态模型等提供一站式评测服务。司南OpenCompass2.0评测体系官网：https://opencompass.org.cn/GitHub主页：https://github.com/open-compass/OpenCompass/ 据介绍，“司南”全面量化模型在知识、语言、理解、推理和考试等五大能力维度的表现，评测榜单涉及的大语言模型和多模态大模型超过150个，客观中立地为大模型技术的创新提供坚实的技术支撑。截至目前，已有包括Meta、阿里巴巴、腾讯、百度等30余家国内外企业和科研机构采用“司南”助力开展技术研发。 OpenCompass2.0 对过去一年来主流开源模型和商业API模型进行了全面评测，分析结果显示，GPT-4 Turbo在各项评测中均获最佳表现，智谱清言GLM-4、阿里巴巴Qwen-Max、百度文心一言4.0紧随其后；大语言模型整体能力仍有较大提升空间，复杂推理相关能力仍是短板；中文场景下国内的模型更具优势，与此同时，开源模型进步很快，以较...

2024-02-02

526

资源下载

更多资源

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。