紧急更新!MinIO发布RELEASE.2025-04-03T14-56-28Z版本,修复高危漏洞CVE-2025-31489,用户需立即升级!
MinIO紧急发布安全更新:RELEASE.2025-04-03T14-56-28Z版本详解
近日,MinIO团队发布了RELEASE.2025-04-03T14-56-28Z版本,这是一个重要的安全与Bug修复版本,修复了包括高危漏洞CVE-2025-31489在内的多个问题。该漏洞涉及签名验证不完整的问题,可能导致未授权上传风险,所有MinIO用户需立即升级以避免潜在的安全威胁。
漏洞详情:CVE-2025-31489(GHSA-wg47-6jq2-q2hh)
影响等级:高
影响版本:
- 从 RELEASE.2023-05-18T00-05-36Z 到 RELEASE.2025-04-03T14-56-28Z 之前的所有版本
漏洞描述:
该漏洞涉及未签名Trailer上传时的签名验证不完整问题,攻击者可能利用此漏洞绕过签名验证,向已有写入权限的存储桶上传任意对象。
攻击条件:
- 攻击者需知道目标Access Key和Bucket名称。
- 目标用户需具备Bucket的写入权限。
潜在风险:
- 恶意用户可能利用此漏洞上传非法或恶意文件,导致数据泄露或服务滥用。
修复方案
- 立即升级至最新版本:
- 下载地址:MinIO GitHub Release
- 临时解决方案(若无法立即升级):
- 在负载均衡层(LB)拦截所有带有
x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的请求。 - 建议用户改用
STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER进行签名上传。
- 在负载均衡层(LB)拦截所有带有
本次更新亮点
除了修复高危漏洞外,本次更新还包含多项功能优化和Bug修复,例如:
- 安全增强:
- 修复了未签名Trailer流的上传签名验证问题。
- 新增API端点以撤销STS令牌。
- 性能优化:
- 使用
clear()替代map键删除循环。 - 修复TTFB指标类型为直方图。
- 使用
- 依赖更新:
- 升级
golang-jwt/jwt至v5.2.2和v4.5.2。
- 升级
用户行动建议
- 生产环境用户:务必立即安排升级,避免因漏洞导致数据安全风险。
- 开发者:检查代码中是否使用了
STREAMING-UNSIGNED-PAYLOAD-TRAILER,建议改用更安全的签名方式。 - 运维团队:监控MinIO集群日志,排查异常上传行为。
结语
MinIO作为流行的云原生对象存储解决方案,其安全性至关重要。本次RELEASE.2025-04-03T14-56-28Z版本的发布,再次体现了MinIO团队对安全问题的快速响应能力。强烈建议所有用户尽快升级,确保数据存储环境的安全稳定!