MinIO Urgently Patches High-Severity Incomplete Signature Validation Vulnerability
2025/04/07 SecurityOnline — Amazon S3 コンパチブルの高性能オブジェクト・ストレージ・サーバ MinIO が公表したのは、深刻なセキュリティ脆弱性を修正するための、パッチのリリースに関する情報である。この脆弱性 CVE-2025-31489 は、unsigned-trailer のアップロードにおける不完全な署名検証に関連するものであり、ユーザーに深刻なリスクをもたらす。
この問題の原因は、MinIO における認証の処理方法にある。具体的に言うと、認証用の署名コンポーネントが無効という可能性があるときに、悪意のクライアントが任意のシークレットを用いて、オブジェクトをアップロードする可能性が生じる。ただし、この悪用における前提として、攻撃者にとって必要になるものには、バケットに対する事前の書き込み権限/アクセス・キー/バケット名に関する知識がある。
MinIO のセキュリティ・アドバイザリでは、「この脆弱性の優先度は高く、ユーザーにとって必要なことは、速やかなアップグレードである。必要な情報が揃っていれば、この脆弱性の悪用により、バケットに不正なオブジェクトをアップロードすることは、curl 経由で簡単に行える」と説明されている。
影響を受ける MinIO のバージョン は、RELEASE.2023-05-18T00-05-36Z である。すでに MinIO は、パッチの提供により、この脆弱性を修正している。そのパッチ適用バージョンは、RELEASE.2025-04-03T14-56-28Z となる。
MinIO は、「現時点で回避策として考えられるのは、LBレイヤーでは “x-amz-content-sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER” を含むリクエストを拒否し、アプリケーションユーザーには、”STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER” の使用を依頼することだ」と、推奨している。
この脆弱性の深刻度が高いため、MinIO ユーザーに強く推奨されるのは、速やかにパッチ適用バージョンへとアップグレードし、不正アップロードやデータ侵害の潜在リスクを軽減することだ。
オープンソースのオブジェクト・ストレージ・サーバである MinIO の深刻な脆弱性が FIX しました。ご利用のチームは、パッチ適用をご検討ください。なお、MinIO の前回の脆弱性は、2024/12/17 の「MinIO の脆弱性 CVE-2024-55949 (CVSS 9.3) が FIX:あらゆるユーザーが管理者権限を取得」となります。よろしければ、カテゴリ _OpenSource と併せて、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.