一、概要

近日，华为云关注到镜像仓库Harbor官方发布最新安全公告，当中披露了多个高危安全漏洞。Harbor作为用于存储和分发Docker镜像的企业级Registry服务器，在1.7.*, 1.8.*, 1.9.*部分版本中存在权限提升、SQL注入、用户枚举等多个高危漏洞。攻击者利用漏洞可导致整个项目受到未授权访问、以管理员权限在平台上执行操作、信息漏洞等安全风险。

华为云提醒用户及时安排自检并做好安全加固。

参考链接：

https://github.com/goharbor/harbor/security/advisories

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

受影响版本：

Harbor 1.7.x

Harbor 1.8.x < 1.8.6

Harbor 1.9.x < 1.9.3

安全版本：

Harbor 1.8.x >= 1.8.6

Harbor 1.9.x >= 1.9.3

四、漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户升级至Harbor安全版本：

参考链接：https://github.com/goharbor/harbor/releases

注：修复漏洞前请将资料备份，并进行充分测试。