打開網(wǎng)易新聞 查看精彩圖片

MinIO緊急發(fā)布安全更新:RELEASE.2025-04-03T14-56-28Z版本詳解

近日,MinIO團隊發(fā)布了RELEASE.2025-04-03T14-56-28Z版本,這是一個重要的安全與Bug修復版本,修復了包括高危漏洞CVE-2025-31489在內的多個問題。該漏洞涉及簽名驗證不完整的問題,可能導致未授權上傳風險,所有MinIO用戶需立即升級以避免潛在的安全威脅。

漏洞詳情:CVE-2025-31489(GHSA-wg47-6jq2-q2hh)

影響等級:高
影響版本:

  • ? 從RELEASE.2023-05-18T00-05-36ZRELEASE.2025-04-03T14-56-28Z之前的所有版本

漏洞描述:
該漏洞涉及未簽名Trailer上傳時的簽名驗證不完整問題,攻擊者可能利用此漏洞繞過簽名驗證,向已有寫入權限的存儲桶上傳任意對象。

攻擊條件:

  1. 1. 攻擊者需知道目標Access KeyBucket名稱。

  2. 2. 目標用戶需具備Bucket的寫入權限。

潛在風險:

  • ? 惡意用戶可能利用此漏洞上傳非法或惡意文件,導致數(shù)據(jù)泄露或服務濫用。

修復方案

  1. 1.立即升級至最新版本

  • ? 下載地址: MinIO GitHub Release[1]

2.臨時解決方案(若無法立即升級):

  • ? 在負載均衡層(LB)攔截所有帶有x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的請求。

  • ? 建議用戶改用STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER進行簽名上傳。

本次更新亮點

除了修復高危漏洞外,本次更新還包含多項功能優(yōu)化和Bug修復,例如:

  1. 1.安全增強:

  • ? 修復了未簽名Trailer流的上傳簽名驗證問題。

  • ? 新增API端點以撤銷STS令牌。

2.性能優(yōu)化:

  • ? 使用clear()替代map鍵刪除循環(huán)。

  • ? 修復TTFB指標類型為直方圖。

3.依賴更新:

  • ? 升級golang-jwt/jwt至v5.2.2和v4.5.2。

用戶行動建議

  1. 1.生產(chǎn)環(huán)境用戶:務必立即安排升級,避免因漏洞導致數(shù)據(jù)安全風險。

  2. 2.開發(fā)者:檢查代碼中是否使用了STREAMING-UNSIGNED-PAYLOAD-TRAILER,建議改用更安全的簽名方式。

  3. 3.運維團隊:監(jiān)控MinIO集群日志,排查異常上傳行為。

結語

MinIO作為流行的云原生對象存儲解決方案,其安全性至關重要。本次RELEASE.2025-04-03T14-56-28Z版本的發(fā)布,再次體現(xiàn)了MinIO團隊對安全問題的快速響應能力。強烈建議所有用戶盡快升級,確保數(shù)據(jù)存儲環(huán)境的安全穩(wěn)定!

引用鏈接

[1]MinIO GitHub Release: https://github.com/minio/minio/releases/tag/RELEASE.2025-04-03T14-56-28Z

我們相信人工智能為普通人提供了一種“增強工具”,并致力于分享全方位的AI知識。在這里,您可以找到最新的AI科普文章、工具評測、提升效率的秘籍以及行業(yè)洞察。 歡迎關注“福大大架構師每日一題”,讓AI助力您的未來發(fā)展。