CVE-2023-28841 in Mobyالمعلومات

الملخص

بحسب VulDB • 24/05/2026

Moby هو إطار عمل للحاويات مفتوح المصدر طورته شركة Docker Inc. ويتم توزيعه كـ Docker، وMirantis Container Runtime، ومشاريع/منتجات أخرى مشتقة منه. يُشار عادةً إلى مكون موكب Moby (المعروف باسم `dockerd`)، والذي يتم تطويره ضمن مستودع moby/moby، باسم *Docker*. تعد وضع السرب (Swarm Mode)، الذي يتم تضمينه وتوصيله افتراضياً في `dockerd` وبالتالي فهو موجود في معظم الإصدارات الرئيسية المشتقة من Moby، أداة بسيطة ومدمجة لتنسيق الحاويات، يتم تنفيذها من خلال مزيج من SwarmKit وكود الشبكة الداعم. يُعد محرك الشبكة `overlay` ميزة أساسية في وضع السرب، حيث يوفر شبكات محلية افتراضية معزولة (VLANs) تسمح بالاتصال بين الحاويات والخدمات عبر العنقود. يعمل هذا المحرك كتطبيق/مستخدم لبروتوكول VXLAN، الذي يقوم بتغليف إطارات طبقة الربط (Ethernet) في بيانات UDP، ويضيف إليه بيانات تعريف VXLAN، بما في ذلك معرف شبكة VXLAN (VNI) الذي يحدد شبكة الـ overlay المصدرية. بالإضافة إلى ذلك، يدعم محرك شبكة overlay وضعاً مشفراً اختيارياً يكون غير مفعّل افتراضياً، وهو مفيد بشكل خاص عندما تعبر حزم VXLAN شبكة غير موثوقة بين العقد. تعمل شبكات overlay المشفرة من خلال تغليف بيانات VXLAN باستخدام بروتوكول IPsec Encapsulating Security Payload في وضع النقل (Transport mode). ومن خلال نشر تغليف IPSec، تكتسب شبكات overlay المشفرة خصائص إضافية تتمثل في مصادقة المصدر عبر إثبات تشفيري، وسلامة البيانات عبر التحقق من المجموع (checksumming)، والسرية عبر التشفير. عند إعداد نقطة نهاية على شبكة overlay مشفرة، يقوم Moby بتثبيت ثلاث قواعد لـ iptables (جدار حماية نواة Linux) تفرض استخدام IPSec لكل من الحركة الواردة والصادرة. تعتمد هذه القواعد على امتداد `u32` لـ iptables المقدم بواسطة وحدة النواة `xt_u32` لفلترة حقل VNI لحزمة VXLAN مباشرةً، بحيث يمكن فرض ضمانات IPSec على شبكات overlay المشفرة دون التدخل في شبكات overlay الأخرى أو المستخدمين الآخرين لـ VXLAN. تحدد قاعدة iptables واحدة بيانات VXLAN الصادرة التي يكون معرف VNI الخاص بها مطابقاً لشبكة overlay مشفرة لتغليفها بـ IPSec. تقوم شبكات overlay المشفرة على المنصات المتأثرة بنقل البيانات غير المشفرة بصمت. ونتيجة لذلك، قد تبدو شبكات `overlay` وظيفية، حيث تمرر الحركة كما هو متوقع، ولكن دون أي من ضمانات السرية أو سلامة البيانات المتوقعة. من الممكن لمهاجم يتخذ موقعاً موثوقاً به على الشبكة أن يقرأ كل حركة تطبيقات التي تنتقل عبر شبكة overlay، مما يؤدي إلى كشف غير متوقع للأسرار أو بيانات المستخدم. وبالتالي، نظراً لأن العديد من بروتوكولات قواعد البيانات وواجهات برمجة التطبيقات الداخلية (APIs) وما إلى ذلك لا تكون محمية بطبقة ثانية من التشفير، فقد يستخدم المستخدم شبكات overlay المشفرة في وضع السرب لتوفير السرية، وهو ما لم يعد مضموناً بسبب هذا الثغرة. تتوفر التصحيحات في إصدارات Moby 23.0.3 و20.10.24. ونظراً لأن إصدارات Mirantis Container Runtime من سلسلة 20.10 تحمل ترقيماً مختلفاً، فيجب على مستخدمي تلك المنصة التحديث إلى الإصدار 20.10.16. تتوفر بعض الحلول البديلة. أغلق منفذ VXLAN (افتراضياً، منفذ UDP 4789) أمام الحركة الصادرة عند حدود الإنترنت لمنع التسرب غير المقصود للحركة غير المشفرة عبر الإنترنت، و/أو تأكد من توفر وحدة النواة `xt_u32` على جميع عقد عنقود Swarm.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub, Inc.

حجز

24/03/2023

إفشاء

05/04/2023

الاعتدال

تمت الموافقة

إدخال

VDB-224957

EPSS

0.00696

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!