VMWare wypuściło ważne łaty, które eliminują dość krytyczne podatności w rejestrze obrazów Harbor dla PCF.
Harbor to open source’owy projekt rejestru obrazów kontenerów, które przechowuje, podpisuje i skanuje w poszukiwaniu luk. Integruje się z kilkoma podobnymi usługami (np. Google Container Registry). Użytkownicy chwalą go za łatwość obsługi, więc jest dość popularny.
Podatność CVE-2019-16097 rezydująca w POST/api/users API pozwala zarejestrować nowego administratora bez zezwoleń, co w efekcie powoduje całkowity dostęp i możliwość wpływu na dane w obrębie rejestru Harbor. Niedawno eksperci z Palo Alto Network przeprowadzili prosty atak z wykorzystaniem skryptu w Pythonie, który poprosił POST w Harborze o dostęp do kodu odpowiedzialnego za rejestrację nowych użytkowników. Jeśli żądanie zawiera również parametr HasAdminRole ustawiony na „True”, utworzony użytkownik staje się administratorem. Jednocześnie wykryto, że 1300 rejestrów Harbor otwartych do sieci jest wciąż na domyślnych ustawieniach.
VMware wydało łaty usuwające lukę w rejestrze VMware Harbor Container Registry dla PCF (wersje 1.8.3 i 1.7.6). Zalecana jest niezwłoczna aktualizacja.
Informacje zebrał i opisał: Karol Mondry
Źródła:
securityweek.com
paloaltonetworks.com
pancernik.it