旧代码中的安全漏洞 - PSA

我们会不时地为那些保留在 Apache 代码上的人发布公共服务公告。公告非常简单，您在生产环境中运行的代码存在重大的已知安全漏洞。我们强烈建议您升级到最新版本。

如果您出于许可原因根本不想移动到最新版本，您至少应该升级到RELEASE.2021-04-22T15-44-28Z以避免受到之前已修复的 CVE 的影响。同样，我们强烈推荐最新版本，但了解一些组织出于许可原因根本不会这样做。

根据我们的估计，目前至少有 2450 万个已部署的 MinIO 版本存在这些漏洞。仅在 2022 年，我们就解决了 94 个版本中的近 800 个错误和数十个新功能。如果你回到两年多以前，那就是 1,600 多个错误、近 200 个版本和近 100 个新功能。向后移植任何这些更改都会带来 AGPL 许可证。

尽管如此，安全风险仍然是当今企业最关心的问题。以下是一些主要的安全问题，这些问题表征了组织因运行旧代码而招致的风险类型。这不应被视为未决问题的最终清单。

• `AddUser` 管理 API 中的权限升级。它会影响自RELEASE.2019-07-31T18-57-56Z以来的所有 MinIO 版本，并已由RELEASE.2021-12-27T07-23-18Z修复。
  
  此安全问题允许用户通过“AddUser”API 调用更新/或覆盖 S3 策略来扩展其权限。因此，用户可以访问不应访问的资源。
  
  

• 通过建立 HTTP 保持活动连接的拒绝服务 (DOS) 漏洞。它影响自RELEASE.2019-09-25T18-25-51Z以来的所有 MinIO 版本，并已由RELEASE.2022-06-02T02-11-04Z修复。
  
  这个安全问题允许恶意客户端通过打开 HTTP 连接来消耗 MinIO 上的资源，从而导致 MinIO 在某些时候崩溃。
  
  

• admin API 中的路径遍历和信息泄露。它会影响自RELEASE.2020-07-24T22-43-05Z以来的所有 MinIO 版本，并已由RELEASE.2022-07-29T19-40-48Z修复。
  
  此安全问题使具有“admin:ServerUpdate”权限的 MinIO 客户端能够通过发送恶意请求从运行 MinIO 的服务器/容器获取任意数据。特别是，MinIO 可以被诱骗发送机密，例如“/etc/passwd”，其中包含访问信息和其他敏感数据。
  

这三个严重等级为高的 CVE 影响仍在使用 Apache 许可代码的 MinIO 部署。将这些部署升级到最新的 Apache 许可版本 ( RELEASE.2021-04-22T15-44-28Z )不会解决这些安全问题。要解决这些问题，用户应该升级到最新的 AGPL v3 版本。

同样，这不考虑上述的小安全问题、错误修复、功能或其他增强功能。

这三个 CVE 中的两个在被利用时会导致数据泄漏和最坏情况下的数据丢失以及恶意接管受影响的 MinIO 集群。

上面列出的三个问题只能通过移动最新版本来解决。可以通过移至最新的 Apache 版本 ( RELEASE.2021-04-22T15-44-28Z )来缓解以下两个 CVE ：

• MinIO 浏览器 API 中的服务器端请求伪造 (SSRF)。它会影响自RELEASE.2019-12-17T23-16-33Z以来的所有 MinIO 版本，并已由RELEASE.2021-01-30T00-20-58Z修复。
  
  

• MinIO 管理 API 中的身份验证绕过。它会影响自RELEASE.2019-12-17T23-16-33Z以来的所有 MinIO 版本，并已由RELEASE.2020-04-23T00-58-49Z修复。

如何解决这个问题？！

如果您使用的是RELEASE.2022-07-29T19-40-48Z之前的版本，那么您运行的 MinIO 版本至少有一个已知的 CVE，评级为高。

我们建议升级到最新的 MinIO 服务器版本，或者，如果现在不可能，至少升级到RELEASE.2022-07-29T19-40-48Z。

有关详细说明，请参阅更新和重新启动的最佳实践。