Harbor安全漏洞通告和解决方案
【转发一则 Harbor 开源项目的重要安全信息】
8 月份 Harbor 开发团队在自查代码的时候发现一个安全漏洞,并发布了新版本修复了这个问题。根据 Harbor Git Hub 上的 commit 记录,NIST 也刊登了相应的 CVE(Common Vulnerabilitiesand Exposures )。
问题描述:
用户通过 Harbor 自注册服务的 API ,可以创建一个有管理员权限的账号。
注:本问题只在使用本地数据库认证用户的 Harbor 实例上存在。使用 LDAP/UAA/OIDC 方式认证用户的 Harbor 实例不受影响。
问题级别:严重
相关链接:
Harbor CVE-2019-16097 ( https://nvd.nist.gov/vuln/detail/CVE-2019-16097 )
受影响的 Harbor 版本:
V1.7.5(含)及之前的版本
V1.8.0-1.8.2
问题已修复的版本:
V 1.7.6
V 1.8.3
V 1.9.0
如果您使用的 Harbor 是受上述问题影响的版本,请尽快按以下方法之一处理:
1. 升级到上述 3 个安全的版本之一( 1.7.6, 1.8.3 或者 1.9.0 ),
2. 如果您不能升级 Harbor 系统,可在管理界面的 配置-认证 中禁用“用户自注册功能”,如图所示:
或者用 API 调用禁用该功能:
PUT /api/configurations {"self_registration": false}
如果您有 Harbor 相关的问题,可在 Github 上给我们开 issue 反馈,或者在Slack 以及邮件组中讨论。
如果你是 Harbor 的用户或开发者,可申请加入“Harbor开源项目群”交流,入群需要真实身份,并改昵称:姓名@单位。请先关注“亨利笔记”公众号,在公众号后台发送"入群"信息即可。
更多推荐
所有评论(0)