MinIO

Die Schwachstelle betrifft die Object-Storage-Software MinIO, genauer den Betrieb als verteiltes Cluster aus mehreren Knoten. In dieser Konstellation gibt MinIO sämtliche auf dem System gesetzten Umgebungsvariablen preis – darunter ausgerechnet jene, die geheime Zugangsdaten enthalten: den geheimen Zugriffsschlüssel und das Passwort des Administrator- bzw. Root-Kontos. Ein Angreifer, der diese Informationen abrufen kann, erhält damit die Anmeldedaten, mit denen sich der Speicher und seine Verwaltung vollständig kontrollieren lassen – er kann gespeicherte Daten lesen, verändern oder löschen. Es handelt sich somit um eine Offenlegung sensibler Informationen, die direkt zur Übernahme des Speichers führen kann. Betroffen sind ausschließlich Installationen, die als verteilte Cluster-Bereitstellung laufen; reine Einzelinstanzen sind nach Herstellerangaben nicht in gleicher Weise gefährdet. Da MinIO häufig als zentraler Datenspeicher dient, wiegt die Preisgabe der Administrator-Zugangsdaten besonders schwer.