Harbor任意管理员注册漏洞预警

释放双眼,带上耳机,听听看~!

1. 安全公告

2019年9月11日,开源的云镜像管理平台Harbor发布了安全更新版本,修补了一个可被未授权创建管理员账号的漏洞,对应CVE编号:CVE-2019-16097,相关信息链接:

https://github.com/goharbor/harbor/releases

根据公告,通过/api/users接口恶意攻击者可以在未授权的情况下创建管理员账号,从而接管 Harbor 镜像仓库管理权限。


2. 影响版本

CVE-2019-16097漏洞影响版本:

Harbor 1.7.*:v1.7.6-rc1之前版本,建议更新到v1.7.6以上版本;

Harbor 1.8.*:v1.8.3-rc1之前版本,建议更新到v1.8.3以上版本;

Harbor 1.9.*:v1.9.0-rc2之前版本,建议更新到v1.9.0以上版本;

目前网上已经公开了部分漏洞细节,建议及时更新到漏洞修复后的版本,下载地址:

https://github.com/goharbor/harbor/releases/tag/v1.7.6

https://github.com/goharbor/harbor/releases/tag/v1.8.3

https://github.com/goharbor/harbor/releases/tag/v1.9.0


3. 影响范围

通过安恒研究院SUMAP平台对全球使用了Harbor的服务器进行统计,最新查询分布情况如下:


通过安恒研究院SUMAP平台对全国使用了Harbor的服务器进行统计,最新查询分布情况如下:

4.  缓解措施

高危:目前漏洞细节已经部分公开,建议及时升级到无漏洞新版本或安全加固配置,临时解决方案:可以通过UI界面或API接口禁止“allow self-registration”

导航到:Configuration -> Authentication -> Allow Self-Registration(取消打勾)

通过API访问提交:

PUT /api/configurations

{“self_registration”:false}

威胁推演:此漏洞为未授权操作漏洞,基于全球使用该应用用户的数量情况,恶意攻击者可能使用漏洞利用脚本直接对受害服务器进行创建管理用户操作,获取管理权限,从而影响系统安全性。


本文源自微信公众号:雷神众测

人已赞赏
安全工具

招聘|来自安恒信息的邀请函

2019-10-14 14:32:30

安全工具

net利用Att&ckT1121

2019-10-14 14:32:37

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索