More

    VMware vá lỗ hổng nghiêm trọng Harbor

    Tuần này, VMware đã phát hành bản vá lỗ hổng nghiêm trọng Harbor, ảnh hưởng tới VMware Cloud Foundation và VMware Harbor Container Registry cho PCF.

    Harbor là một registry mã nguồn mở dùng để lưu trữ, ký và quét container images để phát hiện các lỗ hổng. Harbor tích hợp với Docker Hub, Docker Registry, Google Container Registry… cho phép người dùng dễ dàng tải xuống, tải lên và quét hình ảnh.

    Lỗ hổng mới được vá, CVE-2019-16097, là một lỗi leo thang đặc quyền từ xa, có thể dẫn đến việc các kẻ tấn công kiểm soát được toàn bộ các triển khai Harbor.

    Tuần trước, Palo Alto tiết lộ rằng họ đã tìm thấy hơn 1300 Harbor registry trên mạng internet với cài đặt mặc định, có nghĩa rằng tất cả đều bị ảnh hưởng bởi lỗ hổng.

    Bằng cách khai thác lỗ hổng, các kẻ tấn công có thể tải các kế hoạch riêng, xóa ảnh trên registry hoặc thay thế bằng những thứ bị nhiễm độc.

    VMware giải thích rằng lỗ hổng an ninh nằm trong POST /api/ user API của Harbor.
    Với điểm CVSSv3 là 9,8 và được xếp ở mức độ quan trọng, lỗ hổng cho phép một tác nhân độc hại với quyền truy cập vào Harbor POST /api/ users có thể tự đăng ký tài khoản quản trị mới.

    Việc khai thác thành công lỗ hổng có thể dẫn đến kiểm soát hoàn toàn các triển khai Harbor.

    VMware đã phát hành bản vá giải quyết lỗ hổng trong VMware Harbor Container Regitry cho PCF (phiên bản 1.8.3 và 1.7.6), nhưng chưa giải quyết được trong VMware Cloud Foundation (chỉ bị ảnh hưởng nếu thành phần “Harbor Registry” tùy chọn được triển khai).
    Người dùng có thể vô hiệu hóa tùy chọn tự đăng ký của Harbor để giải quyết lỗ hổng này.

    Theo securityweek

    Bài Viết Mới

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Smartphone bí ẩn mà LG sắp ra mắt: Đưa công nghệ của Iron Man bước ra đời thực

    Sản phẩm mang nhiều tham vọng của LG được mô tả là “mang đến những trải nghiệm mà chưa có bất kỳ...

    NaviBank tuyển dụng IT

    Mô tả công việc Xử lý các sự cố, tiếp nhận và giải đáp các yêu cầu, thắc...

    Zalo PC giúp giáo viên dạy học hiệu quả trong mùa dịch Covid-19

    Tận dụng các tính năng của Zalo PC để hỗ trợ việc dạy và học, nhà trường có thể hạn chế sự...

    Related Stories

    Stay on op - Ge the daily news in your inbox