綜述：

Harbor是VMware的一個開源項目，一個用于存儲和分發Docker鏡像的企業級Registry服務器，添加了一些企業必需的功能特性，例如安全、標識和管理等。

上周，來自國外安全團隊Unit 42的研究人員發布了一個存在于Harbor中的嚴重特權提升漏洞（CVE-2019-16097）。漏洞公布時，Harbor團隊已發布了修復該漏洞的最新版本（1.7.6和1.8.3）。

該漏洞存在于Harbor的core/api/user.go中，允許遠程非管理員用戶通過在POST /api/users API中添加指定參數創建管理員帳戶，從而接管Harbor倉庫。

當地時間24號，VMware官方發布安全通告，對受CVE-2019-16097影響的VMware Cloud Foundation和VMware Harbor Container Registry for PCF發布修復版本。同時給出評分CVSSv3 9.8（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）

參考鏈接：

[1] Unit 42報告

https://unit42.paloaltonetworks.com/critical-vulnerability-in-harbor-enables-privilege-escalation-from-zero-to-admin-cve-2019-16097/

[2] Harbor github倉庫

https://github.com/goharbor/harbor

[3] VMware官方安全通告

https://www.vmware.com/security/advisories/VMSA-2019-0015.html

受影響產品及版本：

l Harbor Version >= 1.7.0

l Harbor Version <= 1.8.2

l VMware Harbor Container Registry for PCF 1.7.x < 1.7.6

l VMware Harbor Container Registry for PCF 1.8.x < 1.8.3

不受影響產品及版本：

l Harbor Version == 1.7.6

l Harbor Version == 1.8.3

l VMware Harbor Container Registry for PCF Version == 1.7.6

l VMware Harbor Container Registry for PCF Version == 1.8.3

安全建議：

Harbor團隊和VMware官方均已發布修復了上述漏洞的最新版本，建議用戶前往以下地址下載更新進行防護。

VMware Cloud Foundation修復版本還在等待制作中，請關注官網更新（https://www.vmware.com/security/advisories/VMSA-2019-0015.html）    

緩解措施：

系統管理員可以通過UI或者API禁用allow self-registration。

l UI: Configuration -> Authentication -> Allow Self-Registration(取消復選框)

l API:使用配置API更新Self-Registration