欢迎光临陕西佳毅网络科技有限公司官网




营业执照公示

Harbor 未授权创建管理员漏洞(CVE-2019-16097)

日期:2019-10-03 作者:小任 浏览:

近日,阿里云应急响应中心监测到镜像仓库Harbor爆出任意管理员注册漏洞,攻击者在请求中构造特定字符串,在未授权的情况下可以直接创建管理员账号,从而接管Harbor镜像仓库。官方已发布公告说明,最新的1.7.6和1.8.3已修复此漏洞,请使用到的用户尽快升级至安全版本。

 


漏洞描述

 

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。Harbor 1.7.0版本至1.8.2版本中的core/api/user.go文件存在安全漏洞。攻击者通过在请求中添加关键参数,即可利用该漏洞创建管理员账户,从而接管Harbor镜像仓库。

 

 

 

影响版本

 

Harbor 1.7.0版本至1.8.2版本

 

 

安全版本

Harbor >= 1.7.6

Harbor >= 1.8.3

 

 

 

安全建议

 

升级Harbor版本到 1.7.6 和 1.8.3

参考下载链接:https://github.com/goharbor/harbor/releases