漏洞背景

MinIO 是一款兼容 Amazon S3 的開源對象存儲服務器，因其高性能和可擴展性廣受歡迎。然而，最近發現其 SFTP 功能存在身份驗證繞過漏洞，攻擊者可利用不可信的 SSH 密鑰進行未授權訪問，導致數據泄露或篡改。

漏洞細節

該漏洞源于 MinIO 的 SFTP 實現中對 SSH 密鑰處理不當，允許攻擊者繞過身份驗證。受影響的版本為 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。用戶應及時更新至修補版本以降低風險。

臨時解決方案

為了暫時緩解風險，用戶可以通過防火墻規則限制 SFTP 服務的訪問，僅允許來自受信任的 IP 地址的連接。這可在更新前減少未授權訪問的可能性。

漏洞修復

要修復此漏洞，用戶應更新 MinIO 包至最新修補版本。使用以下命令完成更新：

go get github.com/minio/minio@RELEASE.2025-02-28T09-55-16Z

此更新將確保使用已解決身份驗證繞過問題的 MinIO 版本。

結論

MinIO SFTP 身份驗證繞過漏洞對用戶構成重大風險。及時更新至修補版本對于保護應用程序和防止未授權訪問至關重要。臨時措施在更新應用前提供了一定的風險緩解。

FAQ

漏洞的性質是什么？

漏洞是 MinIO 的 SFTP 功能中的身份驗證繞過，因不可信的 SSH 密鑰造成未授權訪問。

哪些版本的 MinIO 受到影響？

受影響的版本為 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。

我如何檢查我的應用程序是否受到影響？

您可以使用 Vulert Playground 檢查應用程序是否受此漏洞影響，無需注冊。

如果我不能立即更新該怎么辦？

如無法立即更新，建議通過防火墻規則限制 SFTP 服務訪問，只允許可信 IP 地址連接。

我在哪里可以找到更多關于此漏洞的信息？

更多信息可在漏洞咨詢頁面找到：pkg.go.dev/vuln/GO-2025-3495。

參考資料

• CVE-2025-27414 詳細信息
• MinIO 修補提交 1
• MinIO 修補提交 2

FAQ

問：MinIO SFTP 身份驗證繞過漏洞的根本原因是什么？

• 答：該漏洞源于 MinIO 的 SFTP 實現中對 SSH 密鑰處理不當，允許攻擊者利用不可信的 SSH 密鑰繞過身份驗證，導致未授權訪問。

問：哪些版本的 MinIO 受到了 SFTP 身份驗證繞過漏洞的影響？

• 答：受影響的版本為 RELEASE.2024-06-06T09-36-42Z 至 RELEASE.2025-02-28T09-55-16Z。建議用戶及時更新至修補版本以降低風險。

問：如何在更新前暫時減少 MinIO SFTP 身份驗證繞過漏洞的風險？

• 答：用戶可以通過防火墻規則限制 SFTP 服務的訪問，僅允許來自受信任的 IP 地址的連接，以減少未授權訪問的可能性。

問：更新 MinIO 以修復 SFTP 身份驗證繞過漏洞的步驟是什么？

• 答：用戶應更新 MinIO 包至最新修補版本。可以使用以下命令完成更新：

  go get github.com/minio/minio@RELEASE.2025-02-28T09-55-16Z

  此更新將確保使用已解決身份驗證繞過問題的 MinIO 版本。

問：我在哪里可以找到更多關于 MinIO SFTP 身份驗證繞過漏洞的信息？

• 答：更多信息可在漏洞咨詢頁面找到：pkg.go.dev/vuln/GO-2025-3495。此外，還可以參考 CVE-2025-27414 詳細信息 和相關的 MinIO 修補提交。

#你可能也喜歡這些API文章!

Python調用Google Bard API 完整指南

如何在 Node.js 中構建 gRPC API

Minio搭建與整合SpringBoot的完整指南

MinIO與Azure兼容嗎？

MinIO有restAPI嗎？

MinIOAPI開發人員SDK和身份驗證

智能旅行API：你的完美旅行規劃助手

如何獲取騰訊元寶PC端DeepSeek滿血版（完整指南）

轉換器 API：面向開發人員的頂級 API 解決方案