安全公告

摘要： 发现了针对 MinIO 服务器 IAM 实现的两种不同的提权可能性，并在 RELEASE.2019–04–04T18–31–46Z 版本中进行了修复。

严重程度： 高

受影响的用户： 所有 MinIO 服务器用户都受到影响。MinIO 网关用户不受影响。但是，仍然建议您进行升级。

建议的用户操作： 建议所有用户将他们的 Minio 部署升级到最新版本。此问题在 RELEASE.2019–04–04T18–31–46Z 版本中已修复 (https://dl.minio.io/server/minio/release/linux-amd64/minio)。如果用户/应用程序使用单独的访问/密钥对访问 MinIO 服务器（IAM 多用户系统），建议至少更改 **管理员访问凭据 **并检查 IAM 用户访问策略。此外，您还应该更改所有 IAM 用户的访问凭据。

描述： 经过身份验证的 IAM 用户可以访问内部 MinIO 服务器配置。

• 第一个提权漏洞影响所有 MinIO 服务器，并允许 IAM 用户通过发送恶意 S3 API GET/PUT 请求或恶意 JWT POST 请求来读取或写入内部 MinIO 服务器配置。
• 第二个提权漏洞仅影响在分布式擦除编码后端模式下运行的 MinIO 服务器，并允许 IAM 用户使用 MinIO 服务器的节点间通信协议读取或写入内部 MinIO 服务器配置。

该问题是在内部安全审计中发现的，并已提交补丁以仅允许使用管理员凭据进行身份验证的请求访问内部 MinIO 服务器配置。该补丁已审核并通过，并已发布新版本。

成功利用此漏洞可以冒充其他 IAM 用户或获取管理员凭据，从而窃取或破坏您的数据。此外，它不会导致服务器出现可疑行为。在撰写本文时，尚未观察到这种利用方式。