Ein Angreifer könnte Server mit der Container- und Hybrid-Cloud-Management-Software Cloud Foundations und Harbor Container Registry for PCF von VMware attackieren und Dateien manipulieren. Die Sicherheitslücke (CVE-2019-16919) ist mit dem Bedrohungsgrad "kritisch" eingestuft. Eine abgesicherte Version ist bislang nur für Harbor Container Registry verfügbar. Admins sollten das Update zügig installieren. Die reparierte Ausgabe für Cloud Foundations soll folgen.
Mit Cloud Foundations können Admins beispielsweise die Ausführung von Unternehmensanwendungen in Private- und Public-Cloud-Umgebungen verwalten. Harbor Container Registry kommt auf Servern zum Speichern und Managen von Container-Images zum Einsatz.
Vermisster Türsteher
Der Fehler findet sich einer Warnmeldung von VMware zufolge in einer Harbor-API. Dabei ist eine Zugriffskontrolle kaputt und ein Angreifer mit administrativem Zugriff auf ein Projekt könnte einen Robot-Account anlegen und anschließend beispielsweise Images modifizieren. Trotz der Hürde des Admin-Zugans für Projekte wurde für die Schwachstelle ein sehr hoher CVSSv3 Score von 9.1/10 vergeben. Cloud Foundations ist nur bedroht, wenn in diesem Kontext die Harbor-API zum Einsatz kommt.
Bislang ist nur die abgesicherte Version 1.8.4 von Harbor Container Registry verfügbar. Der Patch für Cloud Foundation steht noch aus. Wann er erscheinen soll, ist bislang noch unbekannt.
Quelle: Kritische Sicherheitslücke in Container- und Hybrid-Cloud-Manager von VMware | heise online