Python調(diào)用Google Bard API 完整指南
漏洞背景
MinIO 是一款兼容 Amazon S3 的開源對象存儲服務(wù)器,因其高性能和可擴(kuò)展性廣受歡迎。然而,最近發(fā)現(xiàn)其 SFTP 功能存在身份驗(yàn)證繞過漏洞,攻擊者可利用不可信的 SSH 密鑰進(jìn)行未授權(quán)訪問,導(dǎo)致數(shù)據(jù)泄露或篡改。
漏洞細(xì)節(jié)
該漏洞源于 MinIO 的 SFTP 實(shí)現(xiàn)中對 SSH 密鑰處理不當(dāng),允許攻擊者繞過身份驗(yàn)證。受影響的版本為 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。用戶應(yīng)及時(shí)更新至修補(bǔ)版本以降低風(fēng)險(xiǎn)。
臨時(shí)解決方案
為了暫時(shí)緩解風(fēng)險(xiǎn),用戶可以通過防火墻規(guī)則限制 SFTP 服務(wù)的訪問,僅允許來自受信任的 IP 地址的連接。這可在更新前減少未授權(quán)訪問的可能性。
漏洞修復(fù)
要修復(fù)此漏洞,用戶應(yīng)更新 MinIO 包至最新修補(bǔ)版本。使用以下命令完成更新:
go get github.com/minio/minio@RELEASE.2025-02-28T09-55-16Z此更新將確保使用已解決身份驗(yàn)證繞過問題的 MinIO 版本。
結(jié)論
MinIO SFTP 身份驗(yàn)證繞過漏洞對用戶構(gòu)成重大風(fēng)險(xiǎn)。及時(shí)更新至修補(bǔ)版本對于保護(hù)應(yīng)用程序和防止未授權(quán)訪問至關(guān)重要。臨時(shí)措施在更新應(yīng)用前提供了一定的風(fēng)險(xiǎn)緩解。
FAQ
漏洞是 MinIO 的 SFTP 功能中的身份驗(yàn)證繞過,因不可信的 SSH 密鑰造成未授權(quán)訪問。
受影響的版本為 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。
您可以使用 Vulert Playground 檢查應(yīng)用程序是否受此漏洞影響,無需注冊。
如無法立即更新,建議通過防火墻規(guī)則限制 SFTP 服務(wù)訪問,只允許可信 IP 地址連接。
更多信息可在漏洞咨詢頁面找到:pkg.go.dev/vuln/GO-2025-3495。
參考資料
go get github.com/minio/minio@RELEASE.2025-02-28T09-55-16Z此更新將確保使用已解決身份驗(yàn)證繞過問題的 MinIO 版本。
微信截圖_17412478771344.png)
微信截圖_17412312529150.webp)
鍵.png)