紧急更新！MinIO发布RELEASE.2025

MinIO紧急发布安全更新：RELEASE.2025-04-03T14-56-28Z版本详解

近日，MinIO团队发布了RELEASE.2025-04-03T14-56-28Z版本，这是一个重要的安全与Bug修复版本，修复了包括高危漏洞CVE-2025-31489在内的多个问题。该漏洞涉及签名验证不完整的问题，可能导致未授权上传风险，所有MinIO用户需立即升级以避免潜在的安全威胁。

漏洞详情：CVE-2025-31489（GHSA-wg47-6jq2-q2hh）

影响等级：高 影响版本：

• • 从 RELEASE.2023-05-18T00-05-36Z 到 RELEASE.2025-04-03T14-56-28Z 之前的所有版本

漏洞描述： 该漏洞涉及未签名Trailer上传时的签名验证不完整问题，攻击者可能利用此漏洞绕过签名验证，向已有写入权限的存储桶上传任意对象。

攻击条件：

1. 1. 攻击者需知道目标Access Key和Bucket名称。
2. 2. 目标用户需具备Bucket的写入权限。

潜在风险：

• • 恶意用户可能利用此漏洞上传非法或恶意文件，导致数据泄露或服务滥用。

修复方案

1. 1. 立即升级至最新版本：
   • • 下载地址：MinIO GitHub Release[1]
2. 2. 临时解决方案（若无法立即升级）：
   • • 在负载均衡层（LB）拦截所有带有x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER的请求。
   • • 建议用户改用STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER进行签名上传。

本次更新亮点

除了修复高危漏洞外，本次更新还包含多项功能优化和Bug修复，例如：

1. 1. 安全增强：
   • • 修复了未签名Trailer流的上传签名验证问题。
   • • 新增API端点以撤销STS令牌。
2. 2. 性能优化：
   • • 使用clear()替代map键删除循环。
   • • 修复TTFB指标类型为直方图。
3. 3. 依赖更新：
   • • 升级golang-jwt/jwt至v5.2.2和v4.5.2。

用户行动建议

1. 1. 生产环境用户：务必立即安排升级，避免因漏洞导致数据安全风险。
2. 2. 开发者：检查代码中是否使用了STREAMING-UNSIGNED-PAYLOAD-TRAILER，建议改用更安全的签名方式。
3. 3. 运维团队：监控MinIO集群日志，排查异常上传行为。

结语

MinIO作为流行的云原生对象存储解决方案，其安全性至关重要。本次RELEASE.2025-04-03T14-56-28Z版本的发布，再次体现了MinIO团队对安全问题的快速响应能力。强烈建议所有用户尽快升级，确保数据存储环境的安全稳定！

引用链接

[1] MinIO GitHub Release: .2025-04-03T14-56-28