Harbor任意管理员注册漏洞(CVE-2019-16097)复现

最新推荐文章于 2023-07-11 06:00:00 发布
VIP文章 最新推荐文章于 2023-07-11 06:00:00 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 信息安全 文章标签: Harbor 任意管理员注册 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45491298/article/details/102531619
版权

Harbor 是一个用于存储和分发 Docker 镜像的企业级 Registry 服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。提升用户使用 Registry 构建和运行环境传输镜像的效率。Harbor 支持安装在多个 Registry 节点的镜像资源复制,镜像全部保存在私有 Registry 中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor 也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。

漏洞背景

研究人员在 Harbor 项目中发现了一个重要的权限提升漏洞,攻击者利用该漏洞可以获取 admin 权限。该漏洞于 9 月 10 日公布,CVE 编号为 CVE-2019-16097。

漏洞影响

该漏洞的影响非常严重,因为在获取 admin 权限后,可以初始化攻击向量。攻击者可以下载和查看所有的私有项目,可以删除 registry 上的镜像,可以替换镜像来污染 registry。攻击者可以创建新的用户,并将它设置为 admin。之后,可以通过 Docker 命令行工具用新的凭证连接 Harbor registry,并替换当前的镜像。恶意镜像可以是恶意软件、加密货币挖矿机等。

漏洞分析

最低0.47元/天 解锁文章
小刘。忙了
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
harbor-offline-installer-v1.2.0.tgz
09-08
官方地址 https://github.com/vmware/harbor/releases/download/v1.2.0/harbor-offline-installer-v1.2.0.tgz,可以先尝试从官方下载,如果中断或者下载失败,可以下载此版本。harbor-offline v1.2.0 避免龟速下载安装
Harbor任意管理员注册漏洞复现
weixin_30377461的博客
09-30 767
一、Harbor简介 1.Harbor介绍 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装...
CVE-2019-16097Harbor任意管理员注册漏洞复现
Sylon的博客
09-29 1875
0) 原文参考 原创 Timeline Sec Richard 1) Harbor简介 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。 作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Re...
harbor-offline-installer-v2.2.1.zip
04-09
harbor-offline-installer-v2.2.1
harbor-offline-installer-v2.7.3.tgz
最新发布
09-21
当前最新版harbor-v2.7.3 官网地址:https://github.com/goharbor/harbor/releases,可以先尝试从官方下载,如果下载太慢,可以从这里下载。harbor-offline 2.7.3大小753M
网络安全的重要性
yz_weixiao的博客
03-29 533
前言昨天晚上有朋友将公网上的一台 redis 密码设置为 123456,并且觉得没什么影响,再结合我之前毕业设计时被删库勒索,以及工作中碰到的网络安全相关的事情,就有了本篇感想,网络安全离我们并不远!毕设 MongoDB 被删库哪是答辩前的一天,我发现系统无法登录了,查看日志,报 error not found,连接数据库一看,好家伙,新闻报道中的勒索事件就发生在了我身上。说实话,当时看到这个还有点小激动,甚至发了一条朋友圈(第一次碰到这种事,且由于数据不是很珍贵,跑一遍代码就重新生成了)
CVE-2019-16097 || Harbor任意管理员注册漏洞复现
Summer's blog
05-13 3643
目录 0x01 前言 0x02 漏洞简介及危害 0x03 漏洞复现 0x04 修复建议 #0x01 前言 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全...
harbor注册功能逻辑漏洞
Websec
07-15 4594
一、漏洞介绍 此漏洞属于一个严重的权限提升漏洞,该漏洞使任何人都可以在其默认设置下获得管理员权限。 该漏洞已分配给CVE-2019-16097,已于9月10日公开。 Harbor是一个开源的云原生注册表,用于存储,签名和扫描图像以查找漏洞Harbor与Docker Hub,Docker Registry,Google Container Registry和其他注册表集成。 它提供了一个简单的GUI,允许用户根据其权限下载,上传和扫描图像。 二、影响版本 Harbor 1.7.0版本至1.8
CVE-2019-16097复现-harbor注册提权
qq_47604261的博客
11-05 4978
CVE-2019-16097复现-harbor注册提权 1. 环境 nginx centos 7 harbor 1.7.0 docker 下载地址 v1.7.0 一开始我下载下面的安装不上上面的才是离线安装 nginx 中间件 关闭systemctl stop apache 安装nginx nginx配置资料 配置源 sudo yum install -y epel-release sudo yum -y update nginx安装 sudo yum install -y nginx 暂时不要开启ngi
harbor-offline-installer-ARM-v1.7.0.rar
04-21
harbor for arm , version v1.7.0, 离线包,解压后执行install.sh安装即可
harbor-offline-installer-v2.2.1.tgz
04-21
harbor-offline-installer-v2.2.1,2021-4-21 20:53:23
Harbor未授权访问漏洞CVE-2022-46463)
m0_49025459的博客
04-29 4690
是为企业用户设计的容器镜像仓库开源项目,包括了权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面、自我注册、HA等企业必需的功能,同时针对中国用户的特点,设计镜像复制和中文支持等功能。
Harbor未授权创建管理员漏洞(CVE-2019-16097)
sojrs_sec的博客
09-30 1906
环境准备 fofa搜索环境 title="Harbor" && country=CN 找到一个可用环境测试 测试 注册账号,填写账号信息后抓包 POST /api/users HTTP/1.1 Host: 1.1.1.1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:69.0) Gecko/201001...
Harbor 镜像仓库存在未授权访问漏洞
whoami
01-16 5438
Harbor 受影响版本中镜像仓库存在访问控制缺陷,攻击者可通过页面搜索镜像名称,绕过登陆验证逻辑,直接查看结果中未授权的私有镜像仓库并获取仓库信息(Pull、Push的时间和commit信息,以及镜像存在的漏洞信息等)。本漏洞广泛存在于业界使用的harbor版本中。不过harbor常放置于企业内网,可以缓解该问题。Harbor 是一个开源的 Docker Registry 管理项目,用于托管容器镜像。升级harbor到 2.6.0 或更高版本。
Harbor未授权创建管理员
众生度尽,方证菩提
07-11 385
人处在幸福与不幸交织的矛盾之中,反而使内心有一种更为深刻的痛苦,看来近在眼前的幸福而实际上又远得相当渺茫,海市蜃楼。放不得抓不住。
harbor安装_Harbor任意管理员注册漏洞(CVE-2019-1609) (附:批量利用poc)
weixin_39997664的博客
11-30 779
一、漏洞介绍此漏洞属于一个严重的权限提升漏洞,该漏洞使任何人都可以在其默认设置下获得管理员权限。该漏洞已分配给CVE-2019-16097,已于9月10日公开。Harbor是一个开源的云原生注册表,用于存储,签名和扫描图像以查找漏洞Harbor与Docker Hub,Docker Registry,Google Container Registry和其他注册表集成。它提供了一个简单的GUI,允许...
harbor安装_Harbor任意管理员注册漏洞(CVE-2019-16097)
weixin_39790877的博客
11-30 206
0x00 Harbor简介 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。 作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。0x01 原理概述 ...
网络安全管理规章制度
热门推荐
test\\的博客
10-18 1万+
之前做售前时候简单写的一些东西,仅供参考,如有不对地方也希望各位大佬及时指正。个人版权,码字不易。 正文↓↓↓↓ 一、总则 (一)编制目的 为进一步加强公司网络安全与信息安全管理,提高网络信息安全风险处理能力,确保网络运行安全与信息安全,预防和减少突发事件造成的危害与损失,根据国家对网络安全的有关规定以及公司实际情况制定了本预案。 (二)指导思想 坚持统一领导、分级负责;坚持统一指挥、密切协同、快...
harborCVE-2022-46463
08-12
很抱歉,我找不到关于"harborCVE-2022-46463"的相关信息。可能是因为这个CVE编号不存在或者我没有引用到相关内容。请提供更多细节或者确认你提供的引用内容是否准确。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [GitHub Enterprise Server 存在授权不当漏洞CVE-2022-46258)](https://blog.csdn.net/murphysec/article/details/128640946)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2022-22947 SpringCloud GateWay SPEL RCE 漏洞分析](https://blog.csdn.net/murphysec/article/details/129178607)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值