安全公告

概要： MinIO 服务器中发现了一种拒绝服务 (DoS) 漏洞，并在 RELEASE.2019-08-07T01-59-21Z 版本中修复。

严重程度： 中等

受影响用户： 所有使用 RELEASE.2019–03–06T22–47–10Z 或更新版本 MinIO 服务器的用户都会受到影响。此外，所有使用 STS 的 RELEASE.2019–03–06T22–47–10Z 或更新版本 MinIO 网关用户也会受到影响。不使用 STS 的 MinIO 网关用户不受影响。但是，仍然建议您升级。

建议用户采取的措施： 建议所有用户将他们的 MinIO 部署升级到最新版本。此问题已在 RELEASE.2019-08-07T01-59-21Z 版本中修复 (https://dl.minio.io/server/minio/release/linux-amd64/minio).

描述： 未经身份验证的 STS 客户端可以向 MinIO 服务器 RAM 中写入任意数量的字节，直到内存不足。

此问题是在内部安全审计中发现的，我们已提交了一个补丁来限制 STS 请求的请求主体大小。该补丁已得到审查和接受，并发布了新版本。

成功利用此漏洞可以使 MinIO 服务器实例崩溃，使其无法再处理请求。在撰写本文时，尚未在野外发现这种利用方式。