安基网 首页 资讯 安全报 查看内容

Harbor任意管理员注册漏洞预警

2019-9-22 11:00| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 1. 安全公告2019年9月11日,开源的云镜像管理平台Harbor发布了安全更新版本,修补了一个可被未授权创建管理员账号的漏洞,对应CVE编号:CVE-2019-16097,相关信息链接:https://github.com/goharbor/harbor/releases根据公告,通过/api/users接口恶意攻击者可以在未授权的情况下创建管理员账号,从而接 ...

1. 安全公告

2019年9月11日,开源的云镜像管理平台Harbor发布了安全更新版本,修补了一个可被未授权创建管理员账号的漏洞,对应CVE编号:CVE-2019-16097,相关信息链接:

https://github.com/goharbor/harbor/releases

根据公告,通过/api/users接口恶意攻击者可以在未授权的情况下创建管理员账号,从而接管 Harbor 镜像仓库管理权限。

2. 影响版本

CVE-2019-16097漏洞影响版本:

Harbor 1.7.*:v1.7.6-rc1之前版本,建议更新到v1.7.6以上版本;

Harbor 1.8.*:v1.8.3-rc1之前版本,建议更新到v1.8.3以上版本;

Harbor 1.9.*:v1.9.0-rc2之前版本,建议更新到v1.9.0以上版本;

https://github.com/goharbor/harbor/releases/tag/v1.7.6

https://github.com/goharbor/harbor/releases/tag/v1.8.3

https://github.com/goharbor/harbor/releases/tag/v1.9.0

3. 影响范围

通过安恒研究院SUMAP平台对全球使用了Harbor的服务器进行统计,最新查询分布情况如下:

通过安恒研究院SUMAP平台对全国使用了Harbor的服务器进行统计,最新查询分布情况如下:

4. 缓解措施

高危:目前漏洞细节已经部分公开,建议及时升级到无漏洞新版本或安全加固配置,临时解决方案:可以通过UI界面或API接口禁止“allow self-registration”

导航到:Configuration -> Authentication -> Allow Self-Registration(取消打勾)

通过API访问提交:

PUT /api/configurations

{"self_registration":false}

威胁推演:此漏洞为未授权操作漏洞,基于全球使用该应用用户的数量情况,恶意攻击者可能使用漏洞利用脚本直接对受害服务器进行创建管理用户操作,获取管理权限,从而影响系统安全性。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6738959387408204295/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部