首頁 > 安全研究 > 安全通報 > 安全通告

Harbor多個漏洞安全通告

發布時間 2019-12-04

漏洞編號和級別


CVE編號:CVE-2019-19029,危險級別:高危,CVSS分值:官方未評定

CVE編號:CVE-2019-19026,危險級別:高危,CVSS分值:官方未評定

CVE編號:CVE-2019-19025,危險級別:嚴重,CVSS分值:官方未評定

CVE編號:CVE-2019-3990,危險級別:中危,CVSS分值:官方未評定

CVE編號:CVE-2019-19023,危險級別:嚴重,CVSS分值:官方未評定

CVE編號:CVE-2019-16919,危險級別:嚴重,CVSS分值:官方未評定

CVE編號:CVE-2019-16097,危險級別:高危,CVSS分值:官方未評定


影響版本


Harbor 1.7.*

Harbor 1.8.*<1.8.6

Harbor 1.9.*<1.9.3


漏洞概述


Harbor是一個用于存儲和分發Docker鏡像的企業級Registry服務器,通過添加一些企業必需的功能特性,例如安全、標識和管理等,擴展了開源Docker Distribution。作為一個企業級私有Registry服務器,Harbor提供了更好的性能和安全。提升用戶使用Registry構建和運行環境傳輸鏡像的效率。Harbor支持安裝在多個Registry節點的鏡像資源復制,鏡像全部保存在私有Registry中,確保數據和知識產權在公司內部網絡中管控。另外,Harbor也提供了高級的安全特性,諸如用戶管理,訪問控制和活動審計等。


根據Harbor官方安全通告, Harbor存在以下安全問題:


CVE-2019-19026、CVE-2019-19029漏洞:Harbor存在SQL查詢語句過濾不嚴導致SQL注入;


CVE-2019-19023漏洞:Harbor在調用API時未對API請求進行嚴格限制,存在普通用戶可以通過調用API修改特定用戶的電子郵件地址,從而獲得管理員帳戶權限,便可重置該電子郵件地址的密碼并獲得對該帳戶的訪問權限。


CVE-2019-3990漏洞:Harbor在使用api/users/search時未進行合理身份校驗,存在繞過管理員限制進行用戶名枚舉。


CVE-2019-19025漏洞:Harbor在Web界面在使用中,存在身份二次校驗不嚴的情況,從而導致CSRF等漏洞。


CVE-2019-16919漏洞:權限提升漏洞。


CVE-2019-16097漏洞:允許非管理員用戶通過POST / api / users API創建管理員帳戶。


漏洞驗證


暫無POC/EXP。


修復建議


官方已經發布更新補丁,建議更新到1.9.3和1.8.6以上版本:


https://github.com/goharbor/harbor/releases/tag/v1.9.3

https://github.com/goharbor/harbor/releases/tag/v1.8.6


參考鏈接


https://github.com/goharbor/harbor/security/advisories

上一篇 下一篇