男人的天堂一区二区视频在线观看-男人的天堂亚洲-男人的天堂天堂网-男人的天堂视频在线观看-91综合在线-91综合视频

EN

【漏洞預警報告】MinIO 服務端請求偽造漏洞

發布時間:2021-03-12
瀏覽量: 12740

漏洞簡述



時間2021年02月02日

發現MinIO組件存在服務端偽造請求漏洞的信息,漏洞編號:CVE-2021-21287。

程序詳情

MinIO 是一個基于Apache License v2.0開源協議的對象存儲服務。它兼容亞馬遜S3云存儲服務接口,適合于存儲大容量非結構化的數據,例如圖片、視頻、日志文件、備份數據和容器/虛擬機鏡像等,而一個對象文件可以是任意大小,從幾kb到最大5T不等。

MinIO是一個輕量的服務,可以很簡單的和其他應用的結合,類似 NodeJS, Redis 或者 MySQL。



風險等級



威脅等級:高

影響范圍:廣泛



漏洞詳情


該漏洞是由于MinIO組件中LoginSTS接口邏輯設計不當,導致服務端請求偽造漏洞。攻擊者通過精心構造URL來修改對此功能的調用。在服務器端請求偽造攻擊中,攻擊者可以利用服務器上的功能來讀取或更新內部資源,可能結合內網其他服務進行執行任意命令。



影響版本

MinIO < RELEASE.2021-01-30T00-20-58Z

 修復建議

升級組件到安全版本

github鏈接https://github.com/minio/minio

安全版本

MinIO >= RELEASE.2021-01-30T00-20-58Z



漏洞復現分析


漏洞分析

修復記錄提交日志鏈接:

https://github.com/minio/minio/commit/eb6871ecd960d570f70698877209e6db181bf276#diff-2b3f29fdeadc144f19a2d0e02e076608e0dd58cb2cce21b1b974bfc5bd21304b

從修復記錄中可以看出,修復后移除了可控參數host的相關代碼。

1615537170.png

MinIO中的LoginSTS接口用于代理AWS STS登錄請求,將發送到JsonRPC的請求轉化成STS的方式,再轉發給本地的9000端口。

未修復前,因為請求頭是用戶可控的,所以這里可以構造任意的Host,進而構造一個SSRF漏洞。


漏洞復現


0x00 環境部署

使用docker-compose 部署

1615537191.png

訪問http://you-ip:9000到登錄頁面

1615537210.png

0x01 刷新頁面,找到登錄頁面包含的JsonRPC請求

1615537231.png

0x02 先使用python3啟動一個http服務,用于檢測是否有回調過來

1615537244.png

0x03 修改method為 web.LoginSTS,指定host參數

1615537258.png

0x04 點擊Go之后可以看到已經有訪問記錄了,證明存在SSRF漏洞

1615537274.png

熱點內容

開始試用任子行產品
申請試用

20年公安服務經驗

7*24小時應急響應中心

自主知識產權的產品裝備

專家級安全服務團隊

網絡空間數據治理專家

榮獲國家科學技術二等獎

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號
公司微博
日韩电影天堂视频一区二区| 国产欧美日本在线| 在线成人av电影| 国产伦精品一区二区三区视频黑人| 久久综合色一本| 96久久精品| 一区二区三区四区五区精品 | 日产精品久久久一区二区| 中文字幕成人一区| 在线天堂一区av电影| 日本欧美精品久久久| 国产在线精品一区二区中文| 国产精品一区二区免费| 国产午夜精品一区| 精品一区二区国产| 日韩高清av电影| 亚洲春色综合另类校园电影| 中文字幕日韩一区二区三区不卡 | 日本一区二区在线视频| 欧美日本韩国一区二区三区| 久久一区二区三区av| 日本成人看片网址| 亚洲一二三区在线| 激情视频在线观看一区二区三区| 久99久视频| 日韩尤物视频| 一区二区三区久久网| 国产99在线免费| 日本电影一区二区三区| 国产91精品一区二区绿帽| 欧美综合77777色婷婷| av成人免费观看| 日本一区二区不卡高清更新| aa日韩免费精品视频一| 色视频一区二区三区| 国产嫩草一区二区三区在线观看| 欧美日韩综合精品| 俄罗斯精品一区二区三区| 日本在线观看一区| 久久精品成人一区二区三区蜜臀| 一区二区三区四区视频在线观看| 久久久精品国产一区二区三区| 亚洲综合第一| 一区二区不卡在线观看| 欧美高清视频一区| 久久久精品国产一区二区三区| 99久久一区三区四区免费| 精品免费二区三区三区高中清不卡 | 亚洲制服中文| 日韩欧美第二区在线观看| 国产一区免费观看| 国内视频一区| 精品一区二区国产| 日本在线观看一区| αv一区二区三区| 精品日韩欧美| 色视频一区二区三区| 一区不卡字幕| 久久精品人人做人人爽电影| 欧美一区二区三区精美影视| 亚洲欧美影院| 岛国视频一区| 久久一区二区三区av| 亚洲无玛一区| 乱色588欧美| 7777精品伊久久久大香线蕉语言| 国产成人免费电影| 偷拍视频一区二区| 精品久久久久久一区二区里番| 新呦u视频一区二区| 国产主播一区二区三区四区| 日韩三级在线播放| 久久99久久99精品蜜柚传媒| 亚洲精品在线免费看| 精品国产福利| 99在线国产| 7777精品久久久大香线蕉小说| 欧美激情国产日韩| 精品日韩电影| 久久精品日韩精品| 精品日产一区2区三区黄免费| 97超碰在线播放| 5566中文字幕一区二区| 亚洲一区二区高清视频| 午夜免费电影一区在线观看| 欧美日韩国产精品一区二区| 国产视频99| 欧美另类一区| 欧美亚洲另类久久综合| 欧美精品欧美精品系列c| 欧美精品123| 亚欧精品在线| 国产 高清 精品 在线 a| 成人91免费视频| 国产日韩精品一区观看| 久草一区二区| 神马一区二区影院| 国产精品二区二区三区| 欧美精品亚洲精品| 国产成人精品自拍| 五月天婷亚洲天综合网鲁鲁鲁| 一区二区成人国产精品 | 国产91免费视频| 国产亚洲精品久久飘花| 欧美福利一区二区三区| 在线观看一区二区三区三州| 91蜜桃网站免费观看| 国产精品高清一区二区三区| 欧美日韩电影一区二区| 99高清视频有精品视频| 精品高清视频| 中文字幕一区二区三区在线乱码| 国产一区免费在线| 中文字幕一区二区三区乱码 | 一区二区免费在线视频| 精品国产乱码久久久久软件| 日韩中文字幕一区| 国产欧美一区二区视频| 亚洲午夜久久久影院伊人| 久久99国产精品99久久| 国产伦精品一区二区三区视频黑人| 欧美日本韩国国产| 欧美日韩精品免费在线观看视频| www.av一区视频| 国产精品我不卡| 国产精品免费在线播放| 高清国产一区| 国产综合色一区二区三区| 高清视频在线观看一区| 成人影片在线播放| 国产在线一区二| 日本成人黄色| 午夜免费电影一区在线观看| 日韩精品伦理第一区| 亚洲最新在线| 国产一区二区久久久| 久久精品五月婷婷| 亚洲国产精品一区二区第四页av| 亚洲成人a**址| 国产精品久久久一区二区三区| 精品久久久久久一区二区里番| 老牛影视免费一区二区| 亚洲人成网站在线播放2019| 国产成人免费电影| 日韩av一区二区三区美女毛片| 亚洲欧美日本国产有色| 国产在线一区二区三区播放| 日韩欧美99| 欧美日韩高清在线一区| 成人高清在线观看| 欧美一区免费视频| 国产一区国产精品| 亚洲自拍的二区三区| 蜜桃欧美视频| 国产成人成网站在线播放青青 | 91久久大香伊蕉在人线| 另类欧美小说| 国产日本一区二区三区| 999热视频| 亚洲精品日韩成人| 欧美精品一区在线发布| 国产伦精品一区二区三区视频黑人| 亚洲二区自拍| 午夜精品一区二区三区四区 | 国产偷久久久精品专区| 97视频热人人精品| 一区二区精品视频| 91成人免费看| caoporen国产精品| 国产伦精品一区二区三区四区视频 | 清纯唯美一区二区三区| 快播亚洲色图| 日韩一区不卡| **亚洲第一综合导航网站 | 五月天婷亚洲天综合网鲁鲁鲁| 国内精品久久国产| 久久国产精品一区二区三区| 九九九九久久久久| 欧美一级爱爱| 99在线高清视频在线播放| 韩国成人av| 亚洲精品视频一区二区三区| 爱情岛论坛亚洲入口| 欧美日韩在线一二三| 91久久精品国产91久久性色tv | 久久久www免费人成黑人精品| 欧美资源一区| 国产精品二区在线观看| 欧美日韩国产不卡在线看| 一区二区视频在线播放| 国产亚洲欧美一区二区| 性刺激综合网| 欧美一区二区三区在线免费观看 | 亚洲国产精品一区二区第四页av| 国产精品av一区| 5566av亚洲| av在线不卡一区| 成人在线免费网站| 99影视tv| 国产精品一区二区三区在线观|