Die S3 Alternative MinIO hat eine kritische Schwachstelle (CVE-2025-31489) in seiner Software entdeckt, die in der Version RELEASE.2023-05-18T00-05-36Z eingeführt wurde und mit der Version RELEASE.2025-04-03T14-56-28Z behoben ist. Die Sicherheitslücke betrifft die unvollständige Signaturvalidierung bei Uploads mit „unsigned-trailer“, was es Angreifern ermöglicht, mit beliebigen Geheimnissen Objekte in Buckets hochzuladen – vorausgesetzt, sie kennen den Access Key und haben WRITE-Rechte auf den Ziel-Bucket.
Ein Angreifer mit Zugangsdaten und Berechtigung kann mithilfe einfacher Tools wie curl
beliebige Objekte in betroffene Buckets hochladen, ohne dass die Signatur korrekt geprüft wird. Dies stellt ein erhebliches Risiko für Datenintegrität und -sicherheit dar. Nutzer sollten sofort auf die gepatchte Version RELEASE.2025-04-03T14-56-28Z aktualisieren.
Bis zum Update sollten Load Balancer Anfragen mit dem Header x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER
blockieren. Anwendungen sollten stattdessen den sicheren Modus STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER
verwenden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: