紧急更新！MinIO发布RELEASE.2025-04-03T14-56-28Z版本，用户需立即升级！

MinIO紧急发布安全更新：RELEASE.2025-04-03T14-56-28Z版本详解

近日，MinIO团队发布了RELEASE.2025-04-03T14-56-28Z版本，这是一个重要的安全与Bug修复版本，修复了包括高危漏洞CVE-2025-31489在内的多个问题。该漏洞涉及签名验证不完整的问题，可能导致未授权上传风险，所有MinIO用户需立即升级以避免潜在的安全威胁。

漏洞详情：CVE-2025-31489（GHSA-wg47-6jq2-q2hh）

影响等级：高
影响版本：

• • 从RELEASE.2023-05-18T00-05-36Z到RELEASE.2025-04-03T14-56-28Z之前的所有版本

漏洞描述：
该漏洞涉及未签名Trailer上传时的签名验证不完整问题，攻击者可能利用此漏洞绕过签名验证，向已有写入权限的存储桶上传任意对象。

攻击条件：

1. 1. 攻击者需知道目标Access Key和Bucket名称。

2. 2. 目标用户需具备Bucket的写入权限。

潜在风险：

• • 恶意用户可能利用此漏洞上传非法或恶意文件，导致数据泄露或服务滥用。

1. 1.立即升级至最新版本：

• • 下载地址： MinIO GitHub Release[1]

2.临时解决方案（若无法立即升级）：

• • 在负载均衡层（LB）拦截所有带有x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的请求。

• • 建议用户改用STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER进行签名上传。

除了修复高危漏洞外，本次更新还包含多项功能优化和Bug修复，例如：

1. 1.安全增强：

• • 修复了未签名Trailer流的上传签名验证问题。

• • 新增API端点以撤销STS令牌。

2.性能优化：

• • 使用clear()替代map键删除循环。

• • 修复TTFB指标类型为直方图。

3.依赖更新：

• • 升级golang-jwt/jwt至v5.2.2和v4.5.2。

1. 1.生产环境用户：务必立即安排升级，避免因漏洞导致数据安全风险。

2. 2.开发者：检查代码中是否使用了STREAMING-UNSIGNED-PAYLOAD-TRAILER，建议改用更安全的签名方式。

3. 3.运维团队：监控MinIO集群日志，排查异常上传行为。

MinIO作为流行的云原生对象存储解决方案，其安全性至关重要。本次RELEASE.2025-04-03T14-56-28Z版本的发布，再次体现了MinIO团队对安全问题的快速响应能力。强烈建议所有用户尽快升级，确保数据存储环境的安全稳定！

引用链接

[1]MinIO GitHub Release: https://github.com/minio/minio/releases/tag/RELEASE.2025-04-03T14-56-28Z

我们相信人工智能为普通人提供了一种“增强工具”，并致力于分享全方位的AI知识。在这里，您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。 欢迎关注“福大大架构师每日一题”，让AI助力您的未来发展。