MinIO 보안 업데이트 발표
MinIO는 클라우드 스토리지 어플리케이션으로, Amazon S3 API를 지원하는 오픈 소스 오브젝트 스토리지 서비스입니다. MinIO는 기업, 정부, 교육, 연구 등 다양한 분야에서 사용되고 있습니다.
2023년 9월 6일, MinIO는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다. 이번 업데이트는 다음과 같은 취약점을 해결합니다.
■ 클러스터 배포 시 발생하는 정보 공개 취약점 (CVE-2023-28432)
■ Linux/MacOS 환경에서 발생하는 권한 상승 취약점 (CVE-2023-28434)
위의 두 가지 취약점을 익스플로잇 연계하여 원격 코드 실행(RCE)이 가능합니다.
영향받는 버전 및 해결 방안
| 취약점 | 제품명 | 영향받는 버전 | 해결 버전 |
|---|---|---|---|
| CVE-2023-28432 | MinIO | RELEASE.2021-08-31T05-46-54Z | RELEASE.2023-03-20T20-16-18Z |
| CVE-2023-28434 | MinIO | 모든 버전 | RELEASE.2023-03-20T20-16-18Z |
해결 방안은 다음과 같습니다.
■ MinIO를 최신 버전으로 업데이트합니다.
■ MinIO를 RELEASE.2023-03-20T20-16-18Z 버전으로 업데이트할 수 없는 경우, 다음과 같은 조치를 취합니다.
/etc/minio/config.json 파일의 proxy_headers 설정을 다음과 같이 변경합니다.
json
{
'proxy_headers': {
'X-Forwarded-For': {
'enabled': false
}
}
}
■ MinIO를 RELEASE.2023-03-20T20-16-18Z 버전으로 업데이트한 후에도 위의 조치를 취하는 것이 좋습니다.
기타 문의사항
■ 한국인터넷진흥원 사이버민원센터: 국번없이 118
주의 사항
■ MinIO를 사용 중인 경우, 이번 업데이트를 통해 취약점을 해결하는 것이 중요합니다.
■ 취약점을 악용하여 공격자가 시스템에 침입할 경우, 중요한 데이터가 유출되거나 시스템이 파괴될 수 있습니다.
자세한 내용은 아래 링크(배너)를 클릭해주세요.
'공공 정보' 카테고리의 다른 글
| 2023 블록체인 진흥주간 전시부스 참가기업 모집 공고(~9.22) (0) | 2023.09.12 |
|---|---|
| [사전규격공개] 블록체인 전문인력 현황조사 및 양성방안 용역 (0) | 2023.09.09 |
| KISA, CSAP 인증 준비사업자 대상 ‘클라우드서비스 보안인증 교육’ 실시 (0) | 2023.09.08 |
| [사전규격공개] 2023년 융합보안핵심인재양성사업 만족도 및 취업률 조사 용역 (0) | 2023.09.08 |
| [사전규격공개] 사이버보안 인력양성 모델 및 정책 개발 (0) | 2023.09.07 |