1. 威客安全首页
  2. 安全资讯

Harbor任意管理员注册漏洞预警

1. 安全公告

2019年9月11日,开源的云镜像管理平台Harbor发布了安全更新版本,修补了一个可被未授权创建管理员账号的漏洞,对应CVE编号:CVE-2019-16097,相关信息链接:

https://github.com/goharbor/harbor/releases


根据公告,通过/api/users接口恶意攻击者可以在未授权的情况下创建管理员账号,从而接管 Harbor 镜像仓库管理权限。


2. 影响版本

CVE-2019-16097漏洞影响版本:

Harbor 1.7.*:v1.7.6-rc1之前版本,建议更新到v1.7.6以上版本;

Harbor 1.8.*:v1.8.3-rc1之前版本,建议更新到v1.8.3以上版本;

Harbor 1.9.*:v1.9.0-rc2之前版本,建议更新到v1.9.0以上版本;


目前网上已经公开了部分漏洞细节,建议及时更新到漏洞修复后的版本,下载地址:

https://github.com/goharbor/harbor/releases/tag/v1.7.6

https://github.com/goharbor/harbor/releases/tag/v1.8.3

https://github.com/goharbor/harbor/releases/tag/v1.9.0


3. 影响范围

通过安恒研究院SUMAP平台对全球使用了Harbor的服务器进行统计,最新查询分布情况如下:

Harbor任意管理员注册漏洞预警


通过安恒研究院SUMAP平台对全国使用了Harbor的服务器进行统计,最新查询分布情况如下:

Harbor任意管理员注册漏洞预警



4.  缓解措施

高危:目前漏洞细节已经部分公开,建议及时升级到无漏洞新版本或安全加固配置,临时解决方案:可以通过UI界面或API接口禁止“allow self-registration”


导航到:Configuration -> Authentication -> Allow Self-Registration(取消打勾)

通过API访问提交:

PUT /api/configurations

{“self_registration”:false}


威胁推演:此漏洞为未授权操作漏洞,基于全球使用该应用用户的数量情况,恶意攻击者可能使用漏洞利用脚本直接对受害服务器进行创建管理用户操作,获取管理权限,从而影响系统安全性。



原文始发于微信公众号(E安全):Harbor任意管理员注册漏洞预警

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X