威胁通告：Harbor远程特权提升漏洞(CVE-2019-16097)

综述：

Harbor是VMware的一个开源项目，一个用于存储和分发Docker镜像的企业级Registry服务器，添加了一些企业必需的功能特性，例如安全、标识和管理等。

上周，来自国外安全团队Unit 42的研究人员发布了一个存在于Harbor中的严重特权提升漏洞（CVE-2019-16097）。漏洞公布时，Harbor团队已发布了修复该漏洞的最新版本（1.7.6和1.8.3）。

该漏洞存在于Harbor的core/api/user.go中，允许远程非管理员用户通过在POST /api/users API中添加指定参数创建管理员帐户，从而接管Harbor仓库。

当地时间24号，VMware官方发布安全通告，对受CVE-2019-16097影响的VMware Cloud Foundation和VMware Harbor Container Registry for PCF发布修复版本。同时给出评分CVSSv3 9.8（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）

参考链接：

[1] Unit 42报告

https://unit42.paloaltonetworks.com/critical-vulnerability-in-harbor-enables-privilege-escalation-from-zero-to-admin-cve-2019-16097/

[2] Harbor github仓库

https://github.com/goharbor/harbor

[3] VMware官方安全通告

https://www.vmware.com/security/advisories/VMSA-2019-0015.html

受影响产品及版本：

l Harbor Version >= 1.7.0

l Harbor Version <= 1.8.2

l VMware Harbor Container Registry for PCF 1.7.x < 1.7.6

l VMware Harbor Container Registry for PCF 1.8.x < 1.8.3

不受影响产品及版本：

l Harbor Version == 1.7.6

l Harbor Version == 1.8.3

l VMware Harbor Container Registry for PCF Version == 1.7.6

l VMware Harbor Container Registry for PCF Version == 1.8.3

安全建议：

Harbor团队和VMware官方均已发布修复了上述漏洞的最新版本，建议用户前往以下地址下载更新进行防护。

VMware Cloud Foundation修复版本还在等待制作中，请关注官网更新（https://www.vmware.com/security/advisories/VMSA-2019-0015.html）    

缓解措施：

系统管理员可以通过UI或者API禁用allow self-registration。

l UI: Configuration -> Authentication -> Allow Self-Registration(取消复选框)

l API:使用配置API更新Self-Registration