MinIO签名验证不当漏洞

漏洞描述:

MinIO发布安全公告,其中公开了一个签名验证不当漏洞,由于授权的签名组件可能是无效的,攻击者如果拥有存储桶写入权限,则可以使用任意密钥来上传对象。

修复建议:

正式防护方案:

厂商已发布补丁修复漏洞,建议下载相关补丁或联系厂商获取相关支持尽快更新至安全版本。

安全版本:

MinIO >= RELEASE.2025-04-03T14-56-28Z或更高版本。

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

修复步骤:

可以通过访问MinIO官方网站或使用以下命令进行更新:

对于Linux系统:

wget https://dl.min.io/server/minio/release/linux-amd64/minio

chmod +x minio

sudo mv minio /usr/local/bin/

对于Windows系统,请从官方网站下载最新版本的MinIO安装包并按照说明进行安装。

参考链接:

https://github.com/minio/minio/pull/21103

原文始发于微信公众号（飓风网络安全）：【漏洞预警】MinIO签名验证不当漏洞