文档

版本发布注记

这里汇总了 pgsty/minio 发布页面中已经发布的所有版本。 下文按时间倒序整理每个 Release 的发布时间、核心改动、安全修复与关联提交,便于快速审计社区维护分支的演进。

RELEASE.2026-06-18T00-00-00Z

2026-06-18: https://github.com/pgsty/minio/releases/tag/RELEASE.2026-06-18T00-00-00Z

这是 pgsty/minio 社区分支的一次例行安全与依赖维护更新。该版本加固 LDAP STS 限流,补齐 S3 Select 超大记录限制,移除废弃的 ReadMultiple 节点间 storage-REST API,将 Go 构建基线升级到 1.26.4,并刷新 Go 模块依赖以吸收第三方安全修复。

主要变更

  • 移除废弃的 ReadMultiple storage-REST API:旧的节点间 /rmpl 端点不再保留兼容路径,而是连同 route、handler、client wrapper、storage interface、xlStorage 方法、生成数据类型和相关 metric 一并移除。上游 multipart 处理迁移到 ReadParts 之后不应再有生产调用者,但滚动升级时仍应让集群运行一致版本。

  • 补齐 S3 Select 超大记录限制:JSON Lines 输入现在走有界 reader 路径,因此在支持 SIMD 的 CPU 上也会一致拒绝超大记录,不再绕过限制。S3 Select stream error 现在会保留预期错误码,并将 JSON parser 错误包装为 JSONParsingError

  • 加固 LDAP STS 限流源地址分桶:限流现在仅按源 IP 分桶,避免按用户名共享的 bucket 被单一客户端耗尽并锁定合法用户。受信代理处理现在从右到左解析 X-Forwarded-For,拒绝全网段 trusted-proxy CIDR,忽略 RFC 7239 Forwarded,并明确记录 X-Real-IP 的部署约定。

  • 刷新 Go 运行时与模块基线:release、hotfix、goreleaser 与 old-CPU Docker 构建现在都使用 golang:1.26.4-alpinego.mod 更新到 Go 1.26.4;依赖刷新覆盖 NATS、Prometheus、Azure SDK、Apache Thrift、gRPC、OpenTelemetry、Google API/auth、Go x/* 以及相关间接依赖。

直接安全修复

  • CVE-2026-42600:移除废弃的 ReadMultiple storage-REST API,关闭 /rmpl 暴露的旧节点间文件读取路径。

  • CVE-2026-39414:补齐 JSON Lines 输入的 S3 Select 超大记录限制,并保留正确的 S3 Select 错误语义。

  • CVE-2026-33419:进一步强化 LDAP STS 限流记账与 trusted-proxy 源 IP 处理。

依赖安全更新

  • github.com/Azure/go-ntlmsspv0.1.0 升级到 v0.1.1,修复 CVE-2026-32952,避免畸形 NTLM challenge 触发 Go 进程 panic。

  • github.com/apache/thriftv0.22.0 升级到 v0.23.0,修复 Go TFramedTransport 实现中的 CVE-2026-41602

  • github.com/nats-io/nats-server/v2v2.11.1 升级到 v2.11.15,吸收 NATS 2.11.x 安全补丁线。重点覆盖 pre-auth WebSocket 与 leafnode 拒绝服务、MQTT 授权、JetStream 管理 API 授权、凭据暴露和请求身份伪造等问题,包括 CVE-2026-27889CVE-2026-29785CVE-2026-33217CVE-2026-33218CVE-2026-33222CVE-2026-33247

  • github.com/prometheus/prometheusv0.310.0 升级到 v0.311.3,吸收 Prometheus 关于 remote-read 拒绝服务、Web UI 存储型 XSS、remote-write 配置 secret 暴露等安全修复,包括 CVE-2026-42154CVE-2026-44903CVE-2026-42151CVE-2026-40179

  • 将发布构建基线升级到 Go 1.26.4,并刷新 golang.org/x/cryptogolang.org/x/netgolang.org/x/sysgolang.org/x/textgoogle.golang.org/grpc 与 OpenTelemetry 等模块族。即便此前锁定版本已经越过特定公开 advisory 的修复范围,这些更新仍让社区分支继续贴近上游已修复依赖基线。

关联提交

  • 5e40665:fix: harden LDAP STS rate-limit source bucketing

  • fd69c89:fix: complete CVE-2026-39414 S3 Select record limit enforcement

  • 73ac524:fix: CVE-2026-42600 remove ReadMultiple storage-REST API

  • df627ff:fix: bump Go toolchain to 1.26.4

  • 3e61b1d:chore: update Go module dependencies

RELEASE.2026-04-17T00-00-00Z

2026-04-17: https://github.com/pgsty/minio/releases/tag/RELEASE.2026-04-17T00-00-00Z

本次版本聚焦安全加固与兼容性收敛,集中修复了 OIDC、LDAP STS、S3 Select、对象复制元数据、unsigned-trailer、Snowball 上传链路,以及依赖与 Go 工具链相关的多项安全问题,并同步完成 LDAP TLS 回归修复与社区分叉文档整理。

主要变更

  • 身份认证链路收紧:OIDC / WebIdentity 现在只接受来自 IdP JWKS 的非对称签名 ID TokenHS256 等对称签名 token 不再被接受;LDAP STS 统一隐藏“未知用户”和“密码错误”的区别,降低用户名枚举风险。

  • LDAP STS 限流行为更新:限流现在同时按源 IP 与归一化用户名生效,成功请求不再错误消耗额度;默认仅使用 socket peer address 作为源地址,不再信任 X-Forwarded-ForX-Real-IPForwarded,如需按真实客户端 IP 限流,需显式配置 MINIO_IDENTITY_LDAP_STS_TRUSTED_PROXIES

  • 上传与写入路径更严格:presigned query 参数不能再与 unsigned-trailerPUT / multipart 上传组合使用;Snowball auto-extract 在 unsigned-trailer 路径下也会执行完整签名校验,匿名或伪造签名请求将被拒绝。

  • 复制元数据不再可伪造:普通 PUT / COPY 请求夹带的 X-Minio-Replication-* 内部复制头现在会被拒绝或忽略,只有可信复制链路才能写入相关内部元数据。

  • S3 Select 错误语义更明确:CSV 和 line-delimited JSON 遇到超大记录时会直接返回 OverMaxRecordSize,不再笼统返回 InternalError;依赖旧错误码的客户端或告警规则需要同步调整。

  • 运行时与依赖基线升级:修复 ldaps:// 未正确应用 TLS 配置的回归问题,替换 minio/pkg/v3pgsty/minio-pkg/v3,并锁定若干易引入 breaking changes 的关键依赖;同时升级 go-josego.opentelemetry.io 与 Go 1.26.2,统一构建与发布基线。

  • 文档与安全说明同步更新:刷新 SECURITY.mdVULNERABILITY_REPORT.mddocs/sts/ldap.md 等文档,新增安全通告索引,并将安全说明中的上游 minio/minio 引用统一切换为 pgsty/minio

修复的 CVE

  • CVE-2026-34986:升级 go-josev4.1.4,修复 JWT / JOSE 依赖中的已知安全问题。

  • CVE-2026-39883:升级 go.opentelemetry.io 依赖栈,修复 PATH hijacking 风险。

  • CVE-2026-33322:恢复严格的 JWKS-only OIDC JWT 验证路径,阻断 keyring 注入与算法混淆风险。

  • CVE-2026-33419:系统性强化 LDAP STS 认证、限流、源地址识别与记账逻辑,涉及 4 个后续修复提交。

  • CVE-2026-34204:拒绝不可信请求注入 X-Minio-Replication-* 元数据,防止对象被写入异常复制状态。

  • CVE-2026-39414:提前拒绝超大 S3 Select 记录,避免异常数据持续缓冲和解析。

  • GHSA-hv4r-mvr4-25vw:封堵 unsigned-trailer query auth 绕过。

  • GHSA-9c4q-hq6p-c237:加固 Snowball auto-extract 场景中的 unsigned-trailer 认证与签名校验。

  • CVE-2026-32280CVE-2026-32281CVE-2026-32283:升级 Go 到 1.26.2,吸收上游工具链与标准库安全修复。

关联提交

  • c878ca0:fix: pin deps with breaking changes and fix LDAP TLS regression (#15)

  • e970ec5:fix: upgrade go-jose to v4.1.4 to patch CVE-2026-34986

  • a206510:fix: CVE-2026-39883 upgrade go.opentelemetry.io

  • fd65f11:merge: PR #18 upgrade go-jose to v4.1.4 for CVE-2026-34986

  • bc087e4:merge: PR #19 upgrade go.opentelemetry.io for CVE-2026-39883

  • f1f2239:fix: CVE-2026-33322 restore JWKS-only OIDC JWT verification

  • 6619d0c:fix: CVE-2026-33419 harden LDAP STS auth

  • fcb8f24:fix: CVE-2026-34204 reject untrusted replication metadata

  • c5765dc:fix: CVE-2026-39414 reject oversized S3 Select records

  • fa7c579:fix: GHSA-hv4r-mvr4-25vw block unsigned-trailer query auth bypass

  • b50ab58:fix: GHSA-9c4q-hq6p-c237 harden Snowball unsigned-trailer auth

  • 9a4b3cd:fix: CVE-2026-32280/CVE-2026-32281/CVE-2026-32283 upgrade Go to 1.26.2

  • c55b52c:fix: CVE-2026-33419 preserve LDAP STS rate limits on success

  • 817a457:fix: CVE-2026-33419 harden LDAP STS rate-limit source IP

  • 084a154:fix: CVE-2026-33419 tighten LDAP STS rate-limit accounting

  • 16e34f9:docs: refresh security guidance and fork references

RELEASE.2026-03-25T00-00-00Z

2026-03-25: https://github.com/pgsty/minio/releases/tag/RELEASE.2026-03-25T00-00-00Z

这是一个以打包、稳定性与安全公告为主的维护版本,重点是完善交付镜像、修复 LDAP TLS 回归,并把已经锁定到安全版本的依赖明确纳入发布说明。

主要变更

  • mcli/mc 打入 Docker 镜像并增加校验流程,改善镜像开箱体验。

  • 修复 ldaps:// 场景中的 LDAP TLS 回归,确保 TLS 配置能够正确透传。

  • 移除从上游继承但社区分支不再使用的 CI/CD 工作流,减轻维护负担。

  • 固定若干关键依赖,避免上游 breaking changes 继续向下游扩散。

修复的 CVE

  • CVE-2026-24051:发布说明明确将 go.opentelemetry.io/otel/sdk 锁定在安全版本 v1.42.0,规避 macOS 上因 PATH hijacking 导致的任意代码执行风险。

  • CVE-2025-10543:发布说明明确交付了 github.com/eclipse/paho.mqtt.golang v1.5.1,修复超长 UTF-8 字符串编码错误导致的 MQTT 数据包内容异常。

  • CVE-2025-58181:发布说明明确交付了 golang.org/x/crypto v0.49.0,修复 ssh GSSAPI 认证请求可触发的无界内存消耗问题。

关联提交

  • f2f9a40:add mcli/mc from pgsty/mc to Docker image

  • ce1c537:fix: pin deps with breaking changes and fix LDAP TLS regression (#15)

  • ee55e53:remove upstream CI/CD workflows inherited from minio/minio

RELEASE.2026-03-21T00-00-00Z

2026-03-21: https://github.com/pgsty/minio/releases/tag/RELEASE.2026-03-21T00-00-00Z

这是一次围绕 Go 1.26.1 与依赖收敛展开的维护版。除了适配更严格的编译与 lint 检查外,这个版本也完成了本轮最关键的一次安全依赖刷新。

主要变更

  • 将构建环境从 Go 1.26.0 升级到 Go 1.26.1

  • 全面刷新直接与间接依赖,收敛新工具链下的兼容性问题。

  • 修正 Go 1.26.1 更严格检查暴露出来的一批 lint 与测试问题。

修复的 CVE

  • CVE-2026-27137:Go stdlib 从 1.26.0 升级到 1.26.1,修复 crypto/x509 对邮箱约束校验不完整的问题。

  • CVE-2026-27138:Go stdlib 从 1.26.0 升级到 1.26.1,修复畸形证书触发 crypto/x509 panic 的问题。

  • CVE-2026-25679:Go stdlib 从 1.26.0 升级到 1.26.1,修复 net/url 对 IPv6 host literal 解析不严格的问题。

  • CVE-2026-27139:Go stdlib 从 1.26.0 升级到 1.26.1,修复 osFileInfo 可逃逸 Root 边界的问题。

  • CVE-2026-27142:Go stdlib 从 1.26.0 升级到 1.26.1,修复 html/templatemeta refresh 场景下 URL 未正确转义的 XSS 风险。

  • CVE-2026-26958filippo.io/edwards25519v1.1.0 升级到 v1.2.0,修复 MultiScalarMult 可能产生错误结果或未定义行为的问题。

  • CVE-2025-10543github.com/eclipse/paho.mqtt.golangv1.5.0 升级到 v1.5.1,修复超长 UTF-8 字符串编码错误导致的 MQTT 报文异常。

  • CVE-2026-24051go.opentelemetry.io/otel/sdkv1.38.0 升级到 v1.42.0,修复 macOS 上通过 PATH hijacking 触发任意代码执行的风险。

  • CVE-2026-33186google.golang.org/grpcv1.77.0 升级到 v1.79.3,修复 HTTP/2 :path 缺少前导斜杠时的授权绕过问题。

关联提交

  • 5abd9a8:bump golang to 1.26.1 and update deps

  • 377fc61:fix: satisfy stricter Go 1.26.1 linter checks

RELEASE.2026-03-14T12-00-00Z

2026-03-14: https://github.com/pgsty/minio/releases/tag/RELEASE.2026-03-14T12-00-00Z

这个版本完成了向社区维护 Console 分支的切换,并在切换过程中做了一轮较大幅度的依赖更新,为后续 Go 1.26.x 维护版打下基础。

主要变更

  • 切换到社区维护的 georgmangold/console v1.9.1,替换不可持续维护的上游 Console 依赖。

  • 大幅更新 go.mod 中的直接与间接依赖,使 Console 与新工具链组合能够稳定构建。

  • 修复 grid_test.gogo vet 格式化指令问题,并调整部分测试以适配 Go 1.26 的 HTTP 行为变化。

修复的 CVE

  • CVE-2025-47913golang.org/x/cryptov0.37.0 升级到 v0.46.0,修复 ssh/agent 在处理异常响应时可能导致客户端 panic 的问题。

  • CVE-2025-58181golang.org/x/cryptov0.37.0 升级到 v0.46.0,修复 ssh GSSAPI 认证请求可触发无界内存消耗的问题。

  • CVE-2025-47914golang.org/x/cryptov0.37.0 升级到 v0.46.0,修复 ssh/agent 对畸形身份消息缺乏边界校验导致的 panic 问题。

  • CVE-2025-47911golang.org/x/netv0.39.0 升级到 v0.48.0,修复 html.Parse 在特制输入下的二次复杂度解析问题。

  • CVE-2025-58190golang.org/x/netv0.39.0 升级到 v0.48.0,修复 golang.org/x/net/html 可能陷入无限解析循环的问题。

关联提交

  • 68521b3:add github ci/cd pipeline

  • 00f3cf7:RELEASE.2026-03-14T12-00-00Z with go 1.26.0

RELEASE.2026-02-14T12-00-00Z

2026-02-14: https://github.com/pgsty/minio/releases/tag/RELEASE.2026-02-14T12-00-00Z

这是社区分支早期的一个基础设施版本,除了恢复内嵌 Console 与建立 GitHub CI/CD 之外,也把 Go 运行时基线提升到 1.26.0,因此一并消化了上一代工具链中的一批安全问题。

主要变更

  • 恢复内嵌 Console,并更新 README 以明确社区维护分支的定位。

  • 新增 GitHub CI/CD 流水线,为后续自动构建和多平台分发建立基础。

  • 补充文档、Docker、GitHub 仓库与 pig 包管理器安装入口,完善发布入口。

修复的 CVE

这些问题随着 Go 从 1.25.5 升级到 1.26.0 一并被修复,包括:

  • CVE-2025-68121crypto/tls 在会话恢复时可能错误接受已变更 CA 配置。

  • CVE-2025-61730:TLS 1.3 在跨加密级别 record 中可能错误处理握手消息。

  • CVE-2025-61726net/url 查询参数解析可导致内存耗尽。

  • CVE-2025-61728archive/zip 构建索引时可能触发过高 CPU 消耗。

  • CVE-2025-68119cmd/go 在调用外部 VCS 工具链时可能触发意外代码执行。

  • CVE-2025-61731#cgo pkg-config: 指令可导致任意文件写入。

  • CVE-2025-61732cmd/cgo 文档注释解析差异可能导致代码走私。

关联提交

  • 8630937:Restore embedded console and update README for community fork

  • 5d57938:add github ci/cd pipeline

RELEASE.2025-12-03T12-00-00Z

2025-12-15: https://github.com/pgsty/minio/releases/tag/RELEASE.2025-12-03T12-00-00Z

这是目前可追溯到的首个社区版发布,主要目标是建立社区维护分支的打包与分发基线,而不是在此前社区版本之上做增量修复。

主要变更

  • 基于 minio/pkger 建立社区版打包流程。

  • 选择 MinIO 进入 maintenance mode 后的一版上游基线作为社区分支起点。

  • 首次产出 apkdebrpm 等多种平台包,为后续持续发布建立基础。

修复的 CVE

  • 这是首个社区版发布,GitHub Release 未单独声明相对更早社区版本的安全修复清单;本页不追溯其相对上游维护模式基线的全部历史 CVE 差异。

关联提交

  • d4cd4b4:RELEASE.2025-12-03T12-00-00Z with go 1.25.5