admin管理员组

文章数量:1032696

紧急更新!MinIO发布RELEASE.2025

MinIO紧急发布安全更新:RELEASE.2025-04-03T14-56-28Z版本详解

近日,MinIO团队发布了RELEASE.2025-04-03T14-56-28Z版本,这是一个重要的安全与Bug修复版本,修复了包括高危漏洞CVE-2025-31489在内的多个问题。该漏洞涉及签名验证不完整的问题,可能导致未授权上传风险,所有MinIO用户需立即升级以避免潜在的安全威胁。

漏洞详情:CVE-2025-31489(GHSA-wg47-6jq2-q2hh)

影响等级:高 影响版本:

  • • 从 RELEASE.2023-05-18T00-05-36ZRELEASE.2025-04-03T14-56-28Z 之前的所有版本

漏洞描述: 该漏洞涉及未签名Trailer上传时的签名验证不完整问题,攻击者可能利用此漏洞绕过签名验证,向已有写入权限的存储桶上传任意对象。

攻击条件:

  1. 1. 攻击者需知道目标Access KeyBucket名称
  2. 2. 目标用户需具备Bucket的写入权限

潜在风险:

  • • 恶意用户可能利用此漏洞上传非法或恶意文件,导致数据泄露或服务滥用。

修复方案

  1. 1. 立即升级至最新版本
    • • 下载地址:MinIO GitHub Release[1]
  2. 2. 临时解决方案(若无法立即升级):
    • • 在负载均衡层(LB)拦截所有带有x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的请求。
    • • 建议用户改用STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER进行签名上传。

本次更新亮点

除了修复高危漏洞外,本次更新还包含多项功能优化和Bug修复,例如:

  1. 1. 安全增强:
    • • 修复了未签名Trailer流的上传签名验证问题。
    • • 新增API端点以撤销STS令牌。
  2. 2. 性能优化:
    • • 使用clear()替代map键删除循环。
    • • 修复TTFB指标类型为直方图。
  3. 3. 依赖更新:
    • • 升级golang-jwt/jwt至v5.2.2和v4.5.2。

用户行动建议

  1. 1. 生产环境用户:务必立即安排升级,避免因漏洞导致数据安全风险。
  2. 2. 开发者:检查代码中是否使用了STREAMING-UNSIGNED-PAYLOAD-TRAILER,建议改用更安全的签名方式。
  3. 3. 运维团队:监控MinIO集群日志,排查异常上传行为。

结语

MinIO作为流行的云原生对象存储解决方案,其安全性至关重要。本次RELEASE.2025-04-03T14-56-28Z版本的发布,再次体现了MinIO团队对安全问题的快速响应能力。强烈建议所有用户尽快升级,确保数据存储环境的安全稳定!

引用链接

[1] MinIO GitHub Release: .2025-04-03T14-56-28

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2025-04-04,如有侵权请联系 cloudcommunity@tencent 删除安全release解决方案漏洞权限

紧急更新!MinIO发布RELEASE.2025

MinIO紧急发布安全更新:RELEASE.2025-04-03T14-56-28Z版本详解

近日,MinIO团队发布了RELEASE.2025-04-03T14-56-28Z版本,这是一个重要的安全与Bug修复版本,修复了包括高危漏洞CVE-2025-31489在内的多个问题。该漏洞涉及签名验证不完整的问题,可能导致未授权上传风险,所有MinIO用户需立即升级以避免潜在的安全威胁。

漏洞详情:CVE-2025-31489(GHSA-wg47-6jq2-q2hh)

影响等级:高 影响版本:

  • • 从 RELEASE.2023-05-18T00-05-36ZRELEASE.2025-04-03T14-56-28Z 之前的所有版本

漏洞描述: 该漏洞涉及未签名Trailer上传时的签名验证不完整问题,攻击者可能利用此漏洞绕过签名验证,向已有写入权限的存储桶上传任意对象。

攻击条件:

  1. 1. 攻击者需知道目标Access KeyBucket名称
  2. 2. 目标用户需具备Bucket的写入权限

潜在风险:

  • • 恶意用户可能利用此漏洞上传非法或恶意文件,导致数据泄露或服务滥用。

修复方案

  1. 1. 立即升级至最新版本
    • • 下载地址:MinIO GitHub Release[1]
  2. 2. 临时解决方案(若无法立即升级):
    • • 在负载均衡层(LB)拦截所有带有x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的请求。
    • • 建议用户改用STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER进行签名上传。

本次更新亮点

除了修复高危漏洞外,本次更新还包含多项功能优化和Bug修复,例如:

  1. 1. 安全增强:
    • • 修复了未签名Trailer流的上传签名验证问题。
    • • 新增API端点以撤销STS令牌。
  2. 2. 性能优化:
    • • 使用clear()替代map键删除循环。
    • • 修复TTFB指标类型为直方图。
  3. 3. 依赖更新:
    • • 升级golang-jwt/jwt至v5.2.2和v4.5.2。

用户行动建议

  1. 1. 生产环境用户:务必立即安排升级,避免因漏洞导致数据安全风险。
  2. 2. 开发者:检查代码中是否使用了STREAMING-UNSIGNED-PAYLOAD-TRAILER,建议改用更安全的签名方式。
  3. 3. 运维团队:监控MinIO集群日志,排查异常上传行为。

结语

MinIO作为流行的云原生对象存储解决方案,其安全性至关重要。本次RELEASE.2025-04-03T14-56-28Z版本的发布,再次体现了MinIO团队对安全问题的快速响应能力。强烈建议所有用户尽快升级,确保数据存储环境的安全稳定!

引用链接

[1] MinIO GitHub Release: .2025-04-03T14-56-28

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2025-04-04,如有侵权请联系 cloudcommunity@tencent 删除安全release解决方案漏洞权限

本文标签: 紧急更新!MinIO发布RELEASE2025

版权声明:本文标题:紧急更新!MinIO发布RELEASE.2025 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://it.en369.cn/jiaocheng/1747962638a2234287.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。