安全 咨询

内容提要：发现了针对MinIO服务器的IAM实施的未经授权的存储桶访问可能性，并已在RELEASE.2019-06-15T23-0707Z中修复。

严重程度：高

受影响的人： MinIO服务器和网关的IAM功能的所有用户均受到影响。强烈建议升级。

针对用户的建议操作：建议所有用户将其Minio部署升级到最新版本。此问题已在版本RELEASE.2019–06–15T23–07–18Z（https://dl.minio.io/server/minio/release/linux-amd64/minio）中修复。无需其他操作。

说明：授予IAM用户访问的存储桶数量超出IAM策略所允许的数量。

IAM用户可以访问其名称前缀与IAM策略中列出的存储桶相同的所有存储桶。允许的操作仍将由IAM策略决定。

这是由于存在基于前缀的Matcher（）函数的问题，该函数根据资源前缀而不是完全匹配错误地匹配了前缀。

例如，具有以下IAM策略的用户：

将能够列出存储桶jack，jackson，jackie等上的对象（s3：ListBucket）。

该问题是由社区用户Aaron Dummer报告的，并且已提交了补丁程序来解决此问题。该补丁已通过审核并被接受，并且已发布新版本。

在撰写本文时，尚未在野外观察到此漏洞利用。