Harbor未授权创建管理员漏洞预警(CVE-2019-16097)

2019-09-20 15:27:31
镜像仓库Harbor爆出未经授权可以创建任意管理员的漏洞。攻击者可通过构造特定的字符串,在未授权的情况下直接创建管理员账号,从而接管Harbor镜像仓库。目前利用方式已被公开,官方最新的1.7.6和1.8.3已修复此漏洞,请使用到的用户尽快升级至安全版本。

【漏洞简介】

近日,镜像仓库Harbor爆出未经授权可以创建任意管理员的漏洞。攻击者可通过构造特定的字符串,在未授权的情况下直接创建管理员账号,从而接管Harbor镜像仓库。目前利用方式已被公开,官方最新的1.7.61.8.3已修复此漏洞,请使用到的用户尽快升级至安全版本。

Harbor简介

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。

【风险评级】高危

【影响范围】

受影响版本

Harbor 1.7.0-1.8.2

不受影响版本

Harbor>= 1.7.6

Harbor>= 1.8.3

【漏洞分析】

Harbor存在未经授权可以创建任意管理员的漏洞。攻击者可通过构造特定的字符串,在未授权的情况下直接创建管理员账号,从而接管Harbor镜像仓库。攻击者接管Harbor镜像仓库后,可写入恶意镜像,使用此仓库的客户端则可能受到感染。

【修复建议】

1. 尽快升级到安全版本,下载链接参考:

https://github.com/goharbor/harbor/releases

2.  腾讯御界高级威胁检测系统已支持检测此类攻击


【参考】

https://github.com/goharbor/harbor/issues/8951

最新资讯