GitHub中的MinIO SFTP身份验证绕过漏洞

MinIO是一个兼容于Amazon S3云存储服务的开源对象存储服务器，旨在提供高性能和可扩展性。然而，最近发现的一个漏洞影响了其SFTP功能，导致未授权访问。这一漏洞源于对SSH密钥的不当处理，允许攻击者绕过身份验证，可能导致数据泄露或篡改。受影响的版本范围从RELEASE.2024-06-06T09-36-42Z之前到RELEASE.2025-02-28T09-55-16Z之间，用户必须及时更新到修补版本以降低风险。

MinIO SFTP 身份验证绕过漏洞

漏洞背景

MinIO 是一款兼容 Amazon S3 的开源对象存储服务器，因其高性能和可扩展性广受欢迎。然而，最近发现其 SFTP 功能存在身份验证绕过漏洞，攻击者可利用不可信的 SSH 密钥进行未授权访问，导致数据泄露或篡改。

漏洞细节

该漏洞源于 MinIO 的 SFTP 实现中对 SSH 密钥处理不当，允许攻击者绕过身份验证。受影响的版本为 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。用户应及时更新至修补版本以降低风险。

临时解决方案

为了暂时缓解风险，用户可以通过防火墙规则限制 SFTP 服务的访问，仅允许来自受信任的 IP 地址的连接。这可在更新前减少未授权访问的可能性。

漏洞修复

要修复此漏洞，用户应更新 MinIO 包至最新修补版本。使用以下命令完成更新：

go get github.com/minio/minio@RELEASE.2025-02-28T09-55-16Z

此更新将确保使用已解决身份验证绕过问题的 MinIO 版本。

结论

MinIO SFTP 身份验证绕过漏洞对用户构成重大风险。及时更新至修补版本对于保护应用程序和防止未授权访问至关重要。临时措施在更新应用前提供了一定的风险缓解。

FAQ

漏洞的性质是什么？

漏洞是 MinIO 的 SFTP 功能中的身份验证绕过，因不可信的 SSH 密钥造成未授权访问。

哪些版本的 MinIO 受到影响？

受影响的版本为 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。

我如何检查我的应用程序是否受到影响？

您可以使用 Vulert Playground 检查应用程序是否受此漏洞影响，无需注册。

如果我不能立即更新该怎么办？

如无法立即更新，建议通过防火墙规则限制 SFTP 服务访问，只允许可信 IP 地址连接。

我在哪里可以找到更多关于此漏洞的信息？

更多信息可在漏洞咨询页面找到：pkg.go.dev/vuln/GO-2025-3495。

参考资料

• CVE-2025-27414 详细信息
• MinIO 修补提交 1
• MinIO 修补提交 2

FAQ

问：MinIO SFTP 身份验证绕过漏洞的根本原因是什么？

• 答：该漏洞源于 MinIO 的 SFTP 实现中对 SSH 密钥处理不当，允许攻击者利用不可信的 SSH 密钥绕过身份验证，导致未授权访问。

问：哪些版本的 MinIO 受到了 SFTP 身份验证绕过漏洞的影响？

• 答：受影响的版本为 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。建议用户及时更新至修补版本以降低风险。

问：如何在更新前暂时减少 MinIO SFTP 身份验证绕过漏洞的风险？

• 答：用户可以通过防火墙规则限制 SFTP 服务的访问，仅允许来自受信任的 IP 地址的连接，以减少未授权访问的可能性。

问：更新 MinIO 以修复 SFTP 身份验证绕过漏洞的步骤是什么？

• 答：用户应更新 MinIO 包至最新修补版本。可以使用以下命令完成更新：

  go get github.com/minio/minio@RELEASE.2025-02-28T09-55-16Z

  此更新将确保使用已解决身份验证绕过问题的 MinIO 版本。

问：我在哪里可以找到更多关于 MinIO SFTP 身份验证绕过漏洞的信息？

• 答：更多信息可在漏洞咨询页面找到：pkg.go.dev/vuln/GO-2025-3495。此外，还可以参考 CVE-2025-27414 详细信息 和相关的 MinIO 修补提交。