In mehreren Versionen der VMware Harbor Container Registry für Pivotal Cloud Foundry (PCF) beziehungsweise im Code des Open-Source-Projekts Harbor, auf dem sie basiert, steckt eine kritische Sicherheitslücke, über die ein entfernter Angreifer unter bestimmten Voraussetzungen seine Zugriffsrechte erweitern könnte. Auch VMware Cloud Foundation ist (versionsunabhängig) von der Lücke betroffen – allerdings nur dann, wenn die Komponente Harbor Registry verwendet wird.
Wie aus VMwares Security Advisory (VMSA-2019-0015) hervorgeht, betrifft die Lücke die Harbor-Versionsstränge 1.7.x und 1.8.x. Ein Angreifer könnte sie missbrauchen, um über Harbors "POST /api/users"- API einen neuen Benutzeraccount mit Admin-Rechten anlegen.
Die Lücke trägt die CVE-Kennung CVE-2019-16097; der ihr zugeordnete CVSS-v3-Score ist 9.8 ("Critical").
Weitere Informationen zu CVE-2019-16097
Die seit dem 24. September bereitstehenden VMware-Harbor-Releases 1.7.6 und 1.8.3 auf Basis des aktualisierten Harbor-Open-Source-Codes schließen die Lücke; ein Patch für Cloud Foundation steht derzeit noch aus. Weitere Informationen und Download-Links sind dem verlinkten VMware-Advisory zu entnehmen. Zudem gibt es auch einen Vulnerability Report von Pivotal zu CVE-2019-16097.
Die Sicherheitslücke im Harbor-Code betrifft auch Produkte anderer Unternehmen, die den Open-Source-Code als Basis verwenden. Das Harbor-Entwickler-Team hat ein eigenes Advisory veröffentlicht. Eine ausführliche Beschreibung zu CVE-2019-16097 finden Interessierte im Blog des IT-Sicherheitsunternehmens Palo Alto Networks.
Quelle: Lücke in VMware Harbor Registry gefixt, Cloud Foundation indirekt betroffen | heise online