Harbor安全漏洞通告和解决方案

最新推荐文章于 2024-03-25 19:44:21 发布
最新推荐文章于 2024-03-25 19:44:21 发布
阅读量827 收藏 1
点赞数

【转发一则 Harbor 开源项目的重要安全信息】

8 月份 Harbor 开发团队在自查代码的时候发现一个安全漏洞,并发布了新版本修复了这个问题。根据 Harbor Git Hub 上的 commit 记录,NIST 也刊登了相应的 CVE(Common Vulnerabilitiesand Exposures )。

 

问题描述:

用户通过 Harbor 自注册服务的 API ,可以创建一个有管理员权限的账号。

注:本问题只在使用本地数据库认证用户的 Harbor 实例上存在。使用 LDAP/UAA/OIDC 方式认证用户的 Harbor 实例不受影响。

问题级别:严重

相关链接:

Harbor CVE-2019-16097 ( https://nvd.nist.gov/vuln/detail/CVE-2019-16097 )

 

受影响的 Harbor 版本:

  • V1.7.5(含)及之前的版本

  • V1.8.0-1.8.2

 

问题已修复的版本:

  • V 1.7.6

  • V 1.8.3

  • V 1.9.0

 

如果您使用的 Harbor 是受上述问题影响的版本,请尽快按以下方法之一处理:

 

1. 升级到上述 3 个安全的版本之一( 1.7.6, 1.8.3 或者 1.9.0 ),

 

2. 如果您不能升级 Harbor 系统,可在管理界面的 配置-认证 中禁用“用户自注册功能”,如图所示:

 

或者用 API 调用禁用该功能:

  • PUT /api/configurations  {"self_registration": false}

 

 如果您有 Harbor 相关的问题,可在 Github 上给我们开 issue 反馈,或者在Slack 以及邮件组中讨论。

如果你是 Harbor 的用户或开发者,可申请加入“Harbor开源项目群”交流,入群需要真实身份,并改昵称:姓名@单位。请先关注“亨利笔记”公众号,在公众号后台发送"入群"信息即可。

亨利笔记
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
harbor加密配置保证harbor的安全性
04-22
harbor加密保证harbor的安全性
安装和配置Harbor镜像仓库
最新发布
05-13
主要介绍关于harbor的基本简介和harbor的安装,安装前的证书的相关生成和签发等的相关操作步骤
harbor注册功能逻辑漏洞
Websec
07-15 4850
一、漏洞介绍 此漏洞属于一个严重的权限提升漏洞,该漏洞使任何人都可以在其默认设置下获得管理员权限。 该漏洞已分配给CVE-2019-16097,已于9月10日公开。 Harbor是一个开源的云原生注册表,用于存储,签名和扫描图像以查找漏洞。 Harbor与Docker Hub,Docker Registry,Google Container Registry和其他注册表集成。 它提供了一个简单的GUI,允许用户根据其权限下载,上传和扫描图像。 二、影响版本 Harbor 1.7.0版本至1.8
Harbor未授权访问漏洞(CVE-2022-46463)
m0_49025459的博客
04-29 6492
是为企业用户设计的容器镜像仓库开源项目,包括了权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面、自我注册、HA等企业必需的功能,同时针对中国用户的特点,设计镜像复制和中文支持等功能。
Oxeye在Harbour中发现了几个高危 IDOR 漏洞
kafankeji的博客
09-13 193
VMware Project Harbor的产品线经理Roger Klorese说:“我们和我们的社区开发的开源软件以及我们和我们的合作伙伴分发的商业发行版的质量对我们和使用它的组织来说至关重要。Oxeye 在关于新漏洞的咨询中解释道:“管理对运营和资源的访问可能是一个具有挑战性的目标。Oxeye咨询说:“您的应用程序公开的每个新API端点都应使用可用的最严格的角色。例如,如果应用程序公开了一个重置用户密码的端点,则模拟如果用户从不同用户的上下文调用此API端点会发生什么。
Harbor 镜像仓库存在未授权访问漏洞
whoami
01-16 6314
Harbor 受影响版本中镜像仓库存在访问控制缺陷,攻击者可通过页面搜索镜像名称,绕过登陆验证逻辑,直接查看结果中未授权的私有镜像仓库并获取仓库信息(Pull、Push的时间和commit信息,以及镜像存在的漏洞信息等)。本漏洞广泛存在于业界使用的harbor版本中。不过harbor常放置于企业内网,可以缓解该问题。Harbor 是一个开源的 Docker Registry 管理项目,用于托管容器镜像。升级harbor到 2.6.0 或更高版本。
docker harbor镜像漏洞扫描
qq_36270681的博客
09-28 675
通常情况下这个插件需要手动开启 ./prepare --with-clair 需要重启服务: [root@client_15_k8s_clould harbor]# docker-compose -f docker-compose.yml up -d Creating network "harbor_harbor-clair" with the default driver WARNING: Found orphan containers (chartmuseum) for this pr...
CVE-2019-16097:Harbor任意管理员注册漏洞复现
Sylon的博客
09-29 1986
0) 原文参考 原创 Timeline Sec Richard 1) Harbor简介 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。 作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Re...
Kubernetes与Harbor的集成方案.pdf
10-11
* 企业级容器镜像管理:Harbor提供了私有的容器镜像存储库,满足企业的安全和效率需求。 * 集成Kubernetes:Harbor可以与Kubernetes集成,提供容器镜像的管理和分发功能。 Harbor的Roadmap * 2016 Q2:计划推出新...
Harbor开源运维方案.pptx
10-12
Harbor开源运维方案.pptx
Harbor-2.7.2部署和安装所需资料
04-26
对应博客:基于centos7:Harbor-2.7.2部署和安装教程所需资料 附上官网解释: Harbor是VMware公司开源的企业级DockerRegistry项目,项目地址为https://github.com/vmware/harbor。其目标是帮助用户迅速搭建一个企业...
Harbor禁用swagger.json(Swagger未授权访问漏洞)
czm的博客
09-15 2442
VMwareHarbor镜像仓库默认使用了swagger ui,也因此暴露了swagger.json文件。在安全要求高的环境下会触发“Swagger未授权访问漏洞”,虽然暴露的信息不是特别关键。但仍然是信息泄露,需要禁用swagger.json的访问。
Harbor 漏洞镜像扫描部署
R0ot
10-14 1239
docker tag SOURCE_IMAGE[:TAG] 192.168.91.128/tomcat/REPOSITORY[:TAG] #镜像标记。docker push 192.168.91.128/tomcat/REPOSITORY[:TAG] #推送项目。先vim /etc/docker/daemon.json文件黏贴下面文件进去、wq保存。添加漏扫、认证地址为安装scanner的地址、之后点击测试连接、添加即可。打包镜像推送到harbor上,先登陆harbor上面创建项目。harbor下载安装。
Harbor任意管理员注册漏洞复现
weixin_43658354的博客
09-23 549
1. 简介 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。 2.影响范围 Harbor: 1.7.0-1.8.2 3.复现 a.语法搜索 我就不写了,自己百度 b.注册,然后抓包 c.改包,在最后数据包加上:“has_admin_role”:true d....
Harbor镜像仓库漏洞扫描功能
weixin_33964094的博客
04-11 951
镜像漏洞扫描功能简介 开源企业级镜像仓库 Harbor v1.2 新增了镜像漏洞扫描的功能,可以帮助用户发现容器镜像中的安全漏洞,及时采取防范措施。 容器镜像本质上是一系列静态文件的集合,也是容器应用运行的时候可见的文件系统。镜像扫描就是遍历所有镜像中的文件系统,逐个检查软件包(Package)是否包含安全漏洞。这个过程有点像我们电脑里面的扫病毒软件做的事情,把电脑的所有文件进行分析,和已知病毒数...
运维实操——docker容器(四)搭建远程容器仓库harbor、漏洞扫描和内容信任
qq_40764171的博客
07-22 412
搭建远程容器仓库harbor1、harbor简介2、harbor的安装 1、harbor简介 (1)虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。 (2)Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。 (3)它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制
漏洞修复方法:Oracle MySQL/MariaDB 全漏洞(CVE-2022-0778)、SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】、Harbor 代码问题漏洞(CV
weixin_54626591的博客
03-25 1526
Oracle MySQL/MariaDB 全漏洞(CVE-2022-0778)、SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】、Harbor 代码问题漏洞(CV
Harbor用户必读:安全告警和响应机制
亨利笔记
02-01 586
题图摄于巴塞罗那港注:微信公众号不按照时间排序,请关注“亨利笔记”,并加星标以置顶,以免错过更新。在生产系统中使用 Harbor 的用户,需要及时了解各种发现的 Harbor 安全漏洞或...
[攻防实战] 外网突破
hackzkaq的博客
10-09 254
容器化部署和微服务架构为应用程序开发和部署提供了更好的灵活性、可伸缩性、可维护性和性能,受到了越来越多厂商的使用,新的应用就会引入新的攻击面,如容器逃逸、服务间攻击、API滥用等。漏洞利用方法,通过Java反射机制创建一个javax.naming.InitialContext对象,并使用LDAP协议连接到指定的IP地址和端口,然后调用"nc.itf.iufo.IBaseSPService"服务中的"saveXStreamConfig"方法,接受对象和字符串作为参数,达到命令执行的效果。
Docker+Jenkins+GitLab+Maven+Harbor+SpringBoot自动化构建
06-10
Docker+Jenkins+GitLab+Maven+Harbor+SpringBoot自动化构建是指使用Docker容器化、Jenkins自动化构建、GitLab版本控制、Maven项目管理、Harbor镜像仓库和SpringBoot框架来实现自动化构建和部署的过程。 在这个自动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值