我们定期发布公告,提醒那些仍在使用 Apache 代码的用户。公告内容很简单,您在生产环境中运行的代码存在重大且已知的安全漏洞。我们强烈建议您升级到最新版本。
如果您出于许可原因无法迁移到最新版本,至少应升级到 **RELEASE.2021-04-22T15-44-28Z** 以避免受到在此之前已修复的 CVE 的影响。再次强调,我们强烈推荐使用最新版本,但理解一些组织出于许可原因无法这样做。
据我们估计,目前至少有 2450 万个部署了 MinIO 的版本容易受到这些漏洞的攻击。仅在 2022 年,我们就解决了 94 个版本中的近 800 个错误和数十个新功能。如果您落后两年以上,这意味着 1600 多个错误、近 200 个版本和近 100 个新功能。回溯移植这些更改中的任何一个都会带来 AGPL 许可证。
然而,在当今企业中,首要考虑的是安全风险。以下是运行旧代码会导致组织面临的一些主要安全问题。这并非所有已知问题的完整列表。
- `AddUser` 管理 API 中的权限提升漏洞。 它影响自 **RELEASE.2019-07-31T18-57-56Z** 以来所有 MinIO 版本,并已通过 **RELEASE.2021-12-27T07-23-18Z** 修复。
此安全问题允许用户通过更新/覆盖通过 `AddUser` API 调用进行的 S3 策略来扩展其权限。因此,用户可以访问不应访问的资源。
- 通过建立 HTTP 保持连接导致的拒绝服务 (DOS) 漏洞。 它影响自 **RELEASE.2019-09-25T18-25-51Z** 以来所有 MinIO 版本,并已通过 **RELEASE.2022-06-02T02-11-04Z** 修复。
此安全问题允许恶意客户端通过打开 HTTP 连接来消耗 MinIO 上的资源,从而导致 MinIO 在某些时候崩溃。
- 管理 API 中的路径遍历和信息泄露漏洞。 它影响自 **RELEASE.2020-07-24T22-43-05Z** 以来所有 MinIO 版本,并已通过 **RELEASE.2022-07-29T19-40-48Z** 修复。
此安全问题使具有 `admin:ServerUpdate` 权限的 MinIO 客户端能够通过发送恶意请求从运行 MinIO 的服务器/容器中获取任意数据。特别是,可以诱使 MinIO 发送包含访问信息和其他敏感数据的秘密信息,例如 ` /etc/passwd`。
这三个严重程度为 HIGH 的 CVE 影响仍使用 Apache 许可代码的 MinIO 部署。将这些部署升级到最新的 Apache 许可版本 (**RELEASE.2021-04-22T15-44-28Z**) **不会** 修复这些安全问题。要解决这些问题,用户应升级到最新的 AGPL v3 版本。
再次强调,这并不包括上述提到的次要安全问题、错误修复、功能或其他增强功能。
在这三个 CVE 中,有两个 CVE 在被利用时会导致数据泄露,最坏情况会导致数据丢失和恶意接管受影响的 MinIO 集群。
上面列出的三个问题只能通过迁移到最新版本来解决。以下两个 CVE 可以通过迁移到最后一个 Apache 版本 (**RELEASE.2021-04-22T15-44-28Z**) 来缓解。
如何修复?
如果您使用的是 **RELEASE.2022-07-29T19-40-48Z** 之前的版本,那么您正在运行的 MinIO 版本至少存在一个已知的严重程度为 HIGH 的 CVE。
我们建议您升级到最新的 MinIO 服务器版本,如果现在无法做到,至少升级到 **RELEASE.2022-07-29T19-40-48Z**。
有关详细说明,请参阅 更新和重启最佳实践。
擦除码计算器 
参考硬件 