MinIO紧急发布安全更新：RELEASE.2025-04-03T14-56-28Z版本详解

近日，MinIO团队发布了
RELEASE.2025-04-03T14-56-28Z版本，这是一个重要的安全与Bug修复版本，修复了包括高危漏洞CVE-2025-31489在内的多个问题。该漏洞涉及签名验证不完整的问题，可能导致未授权上传风险，所有MinIO用户需立即升级以避免潜在的安全威胁。

漏洞详情：CVE-2025-31489（GHSA-wg47-6jq2-q2hh）

影响等级：高
影响版本：

• o 从 RELEASE.2023-05-18T00-05-36Z 到 RELEASE.2025-04-03T14-56-28Z 之前的所有版本

漏洞描述：
该漏洞涉及未签名Trailer上传时的签名验证不完整问题，攻击者可能利用此漏洞绕过签名验证，向已有写入权限的存储桶上传任意对象。

攻击条件：

1. 1. 攻击者需知道目标Access Key和Bucket名称。
2. 2. 目标用户需具备Bucket的写入权限。

潜在风险：

• o 恶意用户可能利用此漏洞上传非法或恶意文件，导致数据泄露或服务滥用。

修复方案

1. 1. 立即升级至最新版本：
2. o 下载地址：MinIO GitHub Release[1]
3. 2. 临时解决方案（若无法立即升级）：
4. o 在负载均衡层（LB）拦截所有带有x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的请求。
5. o 建议用户改用STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER进行签名上传。

本次更新亮点

除了修复高危漏洞外，本次更新还包含多项功能优化和Bug修复，例如：

1. 1. 安全增强：
2. o 修复了未签名Trailer流的上传签名验证问题。
3. o 新增API端点以撤销STS令牌。
4. 2. 性能优化：
5. o 使用clear()替代map键删除循环。
6. o 修复TTFB指标类型为直方图。
7. 3. 依赖更新：
8. o 升级golang-jwt/jwt至v5.2.2和v4.5.2。

用户行动建议

1. 1. 生产环境用户：务必立即安排升级，避免因漏洞导致数据安全风险。
2. 2. 开发者：检查代码中是否使用了STREAMING-UNSIGNED-PAYLOAD-TRAILER，建议改用更安全的签名方式。
3. 3. 运维团队：监控MinIO集群日志，排查异常上传行为。

结语

MinIO作为流行的云原生对象存储解决方案，其安全性至关重要。本次
RELEASE.2025-04-03T14-56-28Z版本的发布，再次体现了MinIO团队对安全问题的快速响应能力。强烈建议所有用户尽快升级，确保数据存储环境的安全稳定！

引用链接

[1] MinIO GitHub Release: https://github.com/minio/minio/releases/tag/RELEASE.2025-04-03T14-56-28Z

·

我们相信人工智能为普通人提供了一种“增强工具”，并致力于分享全方位的AI知识。在这里，您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。

欢迎关注“福大大架构师每日一题”，让AI助力您的未来发展。

·

Tags：minio删除文件