漏洞背景

MinIO 是一款兼容 Amazon S3 的開源對象存儲服務(wù)器,因其高性能和可擴展性廣受歡迎。然而,最近發(fā)現(xiàn)其 SFTP 功能存在身份驗證繞過漏洞,攻擊者可利用不可信的 SSH 密鑰進行未授權(quán)訪問,導致數(shù)據(jù)泄露或篡改。

漏洞細節(jié)

該漏洞源于 MinIO 的 SFTP 實現(xiàn)中對 SSH 密鑰處理不當,允許攻擊者繞過身份驗證。受影響的版本為 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。用戶應(yīng)及時更新至修補版本以降低風險。

臨時解決方案

為了暫時緩解風險,用戶可以通過防火墻規(guī)則限制 SFTP 服務(wù)的訪問,僅允許來自受信任的 IP 地址的連接。這可在更新前減少未授權(quán)訪問的可能性。

Firewall Icon

漏洞修復

要修復此漏洞,用戶應(yīng)更新 MinIO 包至最新修補版本。使用以下命令完成更新:

go get github.com/minio/minio@RELEASE.2025-02-28T09-55-16Z

此更新將確保使用已解決身份驗證繞過問題的 MinIO 版本。

結(jié)論

MinIO SFTP 身份驗證繞過漏洞對用戶構(gòu)成重大風險。及時更新至修補版本對于保護應(yīng)用程序和防止未授權(quán)訪問至關(guān)重要。臨時措施在更新應(yīng)用前提供了一定的風險緩解。

Vulert Banner

FAQ

漏洞的性質(zhì)是什么?

漏洞是 MinIO 的 SFTP 功能中的身份驗證繞過,因不可信的 SSH 密鑰造成未授權(quán)訪問。

哪些版本的 MinIO 受到影響?

受影響的版本為 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。

我如何檢查我的應(yīng)用程序是否受到影響?

您可以使用 Vulert Playground 檢查應(yīng)用程序是否受此漏洞影響,無需注冊。

如果我不能立即更新該怎么辦?

如無法立即更新,建議通過防火墻規(guī)則限制 SFTP 服務(wù)訪問,只允許可信 IP 地址連接。

我在哪里可以找到更多關(guān)于此漏洞的信息?

更多信息可在漏洞咨詢頁面找到:pkg.go.dev/vuln/GO-2025-3495。

Get Help

參考資料

FAQ

問:MinIO SFTP 身份驗證繞過漏洞的根本原因是什么?

問:哪些版本的 MinIO 受到了 SFTP 身份驗證繞過漏洞的影響?

問:如何在更新前暫時減少 MinIO SFTP 身份驗證繞過漏洞的風險?

問:更新 MinIO 以修復 SFTP 身份驗證繞過漏洞的步驟是什么?

問:我在哪里可以找到更多關(guān)于 MinIO SFTP 身份驗證繞過漏洞的信息?

上一篇:

Minio搭建與整合SpringBoot的完整指南

下一篇:

Jenkins實現(xiàn)自動化構(gòu)建與部署詳解
#你可能也喜歡這些API文章!

我們有何不同?

API服務(wù)商零注冊

多API并行試用

數(shù)據(jù)驅(qū)動選型,提升決策效率

查看全部API→
??

熱門場景實測,選對API

#AI文本生成大模型API

對比大模型API的內(nèi)容創(chuàng)意新穎性、情感共鳴力、商業(yè)轉(zhuǎn)化潛力

25個渠道
一鍵對比試用API 限時免費

#AI深度推理大模型API

對比大模型API的邏輯推理準確性、分析深度、可視化建議合理性

10個渠道
一鍵對比試用API 限時免費