发布时间:2019-12-13 16:11:36,来源:中国信息通信研究院
近日,Harbor发布了1.7.*, 1.8.*, 1.9.*版本中存在多个漏洞的安全公告,CVE编号:CVE-2019-19023、CVE-2019-3990、CVE-2019-19025、CVE-2019-19026、CVE-2019-19029。根据公告,此次发布的补丁修补了包括SQL注入、用户名枚举、权限提升、CSRF等多个漏洞。
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。
1) Harbor Project-Admin功能权限的SQL注入漏洞(CVE-2019-19026):
Harbor中具有Project-Admin功能权限的用户可以触发SQL注入,从而导致数据库信息泄漏或权限提升。
2) Harbor 管理员权限的SQL注入漏洞(CVE-2019-19029):
具有管理员权限的攻击者可通过精心构造的语句实现SQL注入攻击,从而导致数据库信息泄漏。
3) Harbor 缺少CSRF保护漏洞(CVE-2019-19025):
Harbor没有考虑到Web界面的CSRF防护功能,攻击者可以通过诱导具有高权限的受害者访问攻击者控制的第三方网站来接管其权限。
4) Harbor 普通权限下的用户枚举漏洞(CVE-2019-3990):
Harbor并未对API的请求做出适当的权限和请求范围控制,导致攻击者能够以非管理员权限访问一些API,从而获得Harbor其他用户帐号的相关信息。
5) Harbor 普通权限下的特权提升漏洞(CVE-2019-19023):
Harbor并未对API的请求做出适当的权限和请求范围控制,导致攻击者可利用该漏洞访问某些API达到特权提升的目的,从而以管理员权限对Harbor平台进行任何操作。
受影响版本:
Harbor 1.7.*全部版本
Harbor 1.8.6之前版本
Harbor 1.9.3之前版本
目前官方已发布升级补丁,请更新到最新版本:
https://github.com/goharbor/harbor/security/advisories/GHSA-3868-7c5x-4827
1) https://github.com/goharbor/harbor/security/advisories