安全 咨询

内容提要：发现了针对Minio服务器的拒绝服务（DoS）漏洞，并已在RELEASE中修复。2018–05–25T19–49–13Z

严重程度：中

受影响的人：签名V4身份验证的所有用户都受到影响。签名V2身份验证的用户不受影响。

针对用户的建议操作：建议所有用户将其Minio部署升级到最新版本。此问题已在版本RELEASE.2018–05–25T19–49–13Z中修复

说明： Minio服务器尝试将某些S3 API请求的整个内容（例如（预先签名的）GET请求）读取到RAM中，以验证请求正文的MD5或SHA256校验和。恶意客户端可以通过发送记录的V4签名或V4预先签名的请求，并带有较大的正文，直到服务器用尽内存，从而滥用此权限对Minio服务器执行DoS攻击。成功的利用需要本地网络访问或有效的V4预签名请求。

该问题是通过内部安全审核发现的，并且已提交修补程序，以通过以流方式而不是将其缓存在RAM中的方式验证请求正文来修复此漏洞。该补丁已通过审核并被接受，并且已发布新版本。

成功的利用可利用来消耗服务器的整个内存，以使其停止处理请求，而必须手动重新启动。