Harbor多个漏洞安全通告
发布时间 2019-12-04漏洞编号和级别
CVE编号:CVE-2019-19029,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-19026,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-19025,危险级别:严重,CVSS分值:官方未评定
CVE编号:CVE-2019-3990,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2019-19023,危险级别:严重,CVSS分值:官方未评定
CVE编号:CVE-2019-16919,危险级别:严重,CVSS分值:官方未评定
CVE编号:CVE-2019-16097,危险级别:高危,CVSS分值:官方未评定
影响版本
Harbor 1.7.*
Harbor 1.8.*<1.8.6
Harbor 1.9.*<1.9.3
漏洞概述
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中,确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。
根据Harbor官方安全通告, Harbor存在以下安全问题:
CVE-2019-19026、CVE-2019-19029漏洞:Harbor存在SQL查询语句过滤不严导致SQL注入;
CVE-2019-19023漏洞:Harbor在调用API时未对API请求进行严格限制,存在普通用户可以通过调用API修改特定用户的电子邮件地址,从而获得管理员帐户权限,便可重置该电子邮件地址的密码并获得对该帐户的访问权限。
CVE-2019-3990漏洞:Harbor在使用api/users/search时未进行合理身份校验,存在绕过管理员限制进行用户名枚举。
CVE-2019-19025漏洞:Harbor在Web界面在使用中,存在身份二次校验不严的情况,从而导致CSRF等漏洞。
CVE-2019-16919漏洞:权限提升漏洞。
CVE-2019-16097漏洞:允许非管理员用户通过POST / api / users API创建管理员帐户。
漏洞验证
暂无POC/EXP。
修复建议
官方已经发布更新补丁,建议更新到1.9.3和1.8.6以上版本:
https://github.com/goharbor/harbor/releases/tag/v1.9.3
https://github.com/goharbor/harbor/releases/tag/v1.8.6
参考链接
https://github.com/goharbor/harbor/security/advisories
京公网安备11010802024551号