打開網(wǎng)易新聞 查看精彩圖片

MinIO緊急發(fā)布安全更新：RELEASE.2025-04-03T14-56-28Z版本詳解

近日，MinIO團(tuán)隊(duì)發(fā)布了RELEASE.2025-04-03T14-56-28Z版本，這是一個(gè)重要的安全與Bug修復(fù)版本，修復(fù)了包括高危漏洞CVE-2025-31489在內(nèi)的多個(gè)問題。該漏洞涉及簽名驗(yàn)證不完整的問題，可能導(dǎo)致未授權(quán)上傳風(fēng)險(xiǎn)，所有MinIO用戶需立即升級以避免潛在的安全威脅。

漏洞詳情：CVE-2025-31489（GHSA-wg47-6jq2-q2hh）

影響等級：高
影響版本：

• ? 從RELEASE.2023-05-18T00-05-36Z到RELEASE.2025-04-03T14-56-28Z之前的所有版本

漏洞描述：
該漏洞涉及未簽名Trailer上傳時(shí)的簽名驗(yàn)證不完整問題，攻擊者可能利用此漏洞繞過簽名驗(yàn)證，向已有寫入權(quán)限的存儲(chǔ)桶上傳任意對象。

攻擊條件：

1. 1. 攻擊者需知道目標(biāo)Access Key和Bucket名稱。

2. 2. 目標(biāo)用戶需具備Bucket的寫入權(quán)限。

潛在風(fēng)險(xiǎn)：

• ? 惡意用戶可能利用此漏洞上傳非法或惡意文件，導(dǎo)致數(shù)據(jù)泄露或服務(wù)濫用。

1. 1.立即升級至最新版本：

• ? 下載地址： MinIO GitHub Release[1]

2.臨時(shí)解決方案（若無法立即升級）：

• ? 在負(fù)載均衡層（LB）攔截所有帶有x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的請求。

• ? 建議用戶改用STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER進(jìn)行簽名上傳。

除了修復(fù)高危漏洞外，本次更新還包含多項(xiàng)功能優(yōu)化和Bug修復(fù)，例如：

1. 1.安全增強(qiáng)：

• ? 修復(fù)了未簽名Trailer流的上傳簽名驗(yàn)證問題。

• ? 新增API端點(diǎn)以撤銷STS令牌。

2.性能優(yōu)化：

• ? 使用clear()替代map鍵刪除循環(huán)。

• ? 修復(fù)TTFB指標(biāo)類型為直方圖。

3.依賴更新：

• ? 升級golang-jwt/jwt至v5.2.2和v4.5.2。

1. 1.生產(chǎn)環(huán)境用戶：務(wù)必立即安排升級，避免因漏洞導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)。

2. 2.開發(fā)者：檢查代碼中是否使用了STREAMING-UNSIGNED-PAYLOAD-TRAILER，建議改用更安全的簽名方式。

3. 3.運(yùn)維團(tuán)隊(duì)：監(jiān)控MinIO集群日志，排查異常上傳行為。

MinIO作為流行的云原生對象存儲(chǔ)解決方案，其安全性至關(guān)重要。本次RELEASE.2025-04-03T14-56-28Z版本的發(fā)布，再次體現(xiàn)了MinIO團(tuán)隊(duì)對安全問題的快速響應(yīng)能力。強(qiáng)烈建議所有用戶盡快升級，確保數(shù)據(jù)存儲(chǔ)環(huán)境的安全穩(wěn)定！

引用鏈接

[1]MinIO GitHub Release: https://github.com/minio/minio/releases/tag/RELEASE.2025-04-03T14-56-28Z

我們相信人工智能為普通人提供了一種“增強(qiáng)工具”，并致力于分享全方位的AI知識。在這里，您可以找到最新的AI科普文章、工具評測、提升效率的秘籍以及行業(yè)洞察。 歡迎關(guān)注“福大大架構(gòu)師每日一題”，讓AI助力您的未來發(fā)展。