CVE-2023-28840 in Mobyالمعلومات

الملخص

بحسب VulDB • 24/05/2026

Moby هو إطار عمل للحاويات مفتوح المصدر طورته شركة Docker Inc. ويتم توزيعه كـ Docker، وMirantis Container Runtime، ومشاريع/منتجات أخرى مشتقة منه. يُشار عادةً إلى مكون Moby daemon (`dockerd`)، الذي يتم تطويره ضمن مستودع moby/moby، باسم *Docker*. تعد Swarm Mode ميزة مدمجة ومُفعّلة افتراضياً في dockerd، وبالتالي موجودة في معظم الإصدارات الرئيسية المشتقة من Moby، وهي مُنسِّق حاويات بسيط ومدمج يتم تنفيذه من خلال مزيج من SwarmKit وكود الشبكة الداعم. يُعد مشغل الشبكة overlay (المتداخلة) ميزة أساسية في Swarm Mode، حيث يوفر شبكات LAN افتراضية معزولة تسمح بالاتصال بين الحاويات والخدمات عبر العنقود (Cluster). يعتمد هذا المشغل على تنفيذ/استخدام بروتوكول VXLAN، الذي يقوم بتغليف إطارات طبقة الربط (Ethernet) في بيانات UDP، ويضيف إلى الإطار معرف شبكة VXLAN (VNI) الذي يحدد شبكة الـ overlay المصدرية. بالإضافة إلى ذلك، يدعم مشغل شبكة overlay وضعاً مشفّراً اختيارياً يكون غير مُفعّل افتراضياً، وهو مفيد بشكل خاص عندما تعبر حزم VXLAN شبكة غير موثوقة بين العقد. تعمل الشبكات المتداخلة المشفرة عن طريق تغليف بيانات VXLAN باستخدام بروتوكول IPsec Encapsulating Security Payload في وضع النقل (Transport mode). ومن خلال نشر تغليف IPSec، تكتسب الشبكات المتداخلة المشفرة خصائص إضافية تتمثل في مصادقة المصدر عبر إثبات تشفيري، وسلامة البيانات عبر التحقق من المجموع (checksumming)، والسرية عبر التشفير. عند إعداد نقطة نهاية على شبكة متداخلة مشفرة، يقوم Moby بتثبيت ثلاث قواعد لـ iptables (جدار حماية نواة Linux) تفرض استخدام IPSec لكل من الاتصالات الواردة والصادرة. تعتمد هذه القواعد على امتداد iptables المسمى u32 المقدم بواسطة وحدة نواة xt_u32 لتصفية حقل VNI لحزمة VXLAN مباشرةً، بحيث يمكن فرض ضمانات IPSec على الشبكات المتداخلة المشفرة دون التداخل مع شبكات overlay الأخرى أو المستخدمين الآخرين لـ VXLAN. تخدم قاعدتان من قواعد iptables لتصفية بيانات VXLAN الواردة التي يتوافق VNI الخاص بها مع شبكة مشفرة، ورفض البيانات غير المشفرة. تُضاف هذه القواعد إلى نهاية سلسلة تصفية INPUT، بعد أي قواعد تم تعيينها مسبقاً بواسطة مسؤول النظام. تأخذ القواعد التي يحددها المسؤول الأولوية على القواعد التي يحددها Moby لرفض بيانات VXLAN غير المشفرة، مما قد يسمح بدخول بيانات غير مشفرة كان ينبغي رفضها. يمكن أن يؤدي حقن إطارات Ethernet عشوائية إلى شن هجوم حجب الخدمة (DoS). قد يتمكن مهاجم متقدم من إنشاء اتصال UDP أو TCP عبر بوابة الخرج الخاصة بالحاوية، والتي كان سيتم حظرها بخلاف ذلك بواسطة جدار حماية ذو حالة (stateful firewall)، أو تنفيذ تصعيدات أخرى تتجاوز الحقن البسيط من خلال تهريب الحزم إلى شبكة overlay. تتوفر تصحيحات في إصدارات Moby 23.0.3 و20.10.24. ونظراً لأن إصدارات Mirantis Container Runtime من سلسلة 20.10 مرقمة بشكل مختلف، يجب على مستخدمي تلك المنصة التحديث إلى الإصدار 20.10.16. تتوفر بعض الحلول البديلة. أغلق منفذ VXLAN (افتراضياً، منفذ UDP 4789) أمام الحركة الواردة عند حدود الإنترنت لمنع حقن جميع حزم VXLAN، و/أو تأكد من توفر وحدة نواة `xt_u32` على جميع عقد عناقيد Swarm.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub, Inc.

حجز

24/03/2023

إفشاء

05/04/2023

الاعتدال

تمت الموافقة

إدخال

VDB-224956

EPSS

0.02733

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!