Harbor未授权创建管理员漏洞(CVE-2019-16097)及安全建议

• • 腾讯云建站教程
  • 宝塔面板建站教程
  • 老薛主机建站教程
  • SiteGround建站教程

近日，阿里云应急响应中心监测到镜像仓库 Harbor 爆出任意管理员注册漏洞，攻击者在请求中构造特定字符串，在未授权的情况下可以直接创建管理员账号，从而接管 Harbor 镜像仓库。官方已发布公告说明，最新的 1.7.6 和 1.8.3 已修复此漏洞，请使用到的用户尽快升级至安全版本。

漏洞描述

Harbor 是一个用于存储和分发 Docker 镜像的企业级 Registry 服务器。Harbor 1.7.0 版本至 1.8.2 版本中的 core/api/user.go 文件存在安全漏洞。攻击者通过在请求中添加关键参数，即可利用该漏洞创建管理员账户，从而接管 Harbor 镜像仓库。

影响版本

Harbor 1.7.0 版本至 1.8.2 版本

安全版本

• Harbor >= 1.7.6
• Harbor >= 1.8.3

安全建议

• 升级 Harbor 版本到 1.7.6 和 1.8.3，点此下载
• 云盾漏洞扫描已支持对该漏洞检测
• 云盾云安全中心应急漏洞模块已支持对该漏洞一键检测
• 云盾 WAF已可防御此漏洞攻击

相关链接

• https://github.com/goharbor/harbor/issues/8951
• https://unit42.paloaltonetworks.com/critical-vulnerability-in-harbor-enables-privilege-escalation-from-zero-to-admin-cve-2019-16097/