【漏洞通报】Harbor 镜像仓库未授权访问漏洞

xiannv  630天前

1.jpg

一、        漏洞概述

Harbor 是一个开源的 Docker Registry 管理项目,用于托管容器镜像。

Harbor 镜像仓库存在配置不当导致的访问控制缺陷,攻击者可通过页面搜索镜像名称,绕过登陆验证逻辑,直接查看结果中未授权的私有镜像仓库并获取仓库信息(Pull、Push的时间和commit信息,以及镜像存在的漏洞信息等)。

二、        影响范围

本次漏洞影响范围如下:

Harbor 所有版本

FOFA Query:

app="HARBOR"

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="HARBOR")共有 25,524 个相关服务对外开放。中国使用数量最多,共有 15,796 个;美国第二,共有 2,640 个;德国第三,共有 1,310 个;中国香港特别行政区第四,共有679 个;新加坡第五,共有 650 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况):

2.png

中国大陆地区北京使用数量最多,共有1,964 个;广东第二,共有 1,582 个;浙江第三,共有 1,438 个;上海第四,共有 1,228 个;四川第五,共有 440 个。

3.png

三、        漏洞复现

白帽汇安全研究院第一时间复现了该漏洞:

4.png

四、        修复建议

此漏洞为配置不当导致,建议用户修改配置:“项目设置”——“配置管理”——“项目仓库”中的“公开”取消勾选,即可限制公开访问。如图:

5.png

五、        参考链接

[1.]  https://github.com/lanqingaa/123/blob/main/README.md

最新评论

昵称
邮箱
提交评论