CVE-2023-28841 in Mobyinformación

Resumen

por VulDB • 2026-05-29

Moby es un marco de trabajo de contenedores de código abierto desarrollado por Docker Inc. que se distribuye como Docker, Mirantis Container Runtime y varios otros proyectos/productos derivados. El componente daemon de Moby (`dockerd`), desarrollado como moby/moby, se conoce comúnmente como *Docker*. Swarm Mode, que está compilado y entregado por defecto en `dockerd` y, por lo tanto, está presente en la mayoría de los derivados principales de Moby, es un orquestador de contenedores simple e integrado que se implementa mediante una combinación de SwarmKit y código de red de soporte. El controlador de red `overlay` es una característica fundamental de Swarm Mode, proporcionando LAN virtuales aisladas que permiten la comunicación entre contenedores y servicios a través del clúster. Este controlador es una implementación/usuario de VXLAN, que encapsula tramas de capa de enlace (Ethernet) en datagramas UDP que etiquetan la trama con metadatos VXLAN, incluyendo un ID de Red VXLAN (VNI) que identifica la red superpuesta de origen. Además, el controlador de red overlay admite un modo de cifrado opcional, desactivado por defecto, que es especialmente útil cuando los paquetes VXLAN atraviesan una red no confiable entre nodos. Las redes overlay cifradas funcionan encapsulando los datagramas VXLAN mediante el uso del protocolo IPsec Encapsulating Security Payload en modo Transporte. Al implementar el encapsulamiento IPSec, las redes overlay cifradas adquieren las propiedades adicionales de autenticación de origen mediante prueba criptográfica, integridad de datos mediante suma de comprobación y confidencialidad mediante cifrado. Al configurar un extremo en una red overlay cifrada, Moby instala tres reglas de iptables (firewall del kernel de Linux) que imponen tanto el IPSec entrante como el saliente. Estas reglas dependen de la extensión `u32` de iptables proporcionada por el módulo del kernel `xt_u32` para filtrar directamente en el campo VNI de un paquete VXLAN, de modo que las garantías de IPSec se puedan imponer en redes overlay cifradas sin interferir con otras redes overlay u otros usuarios de VXLAN. Una regla de iptables designa los datagramas VXLAN salientes con un VNI que corresponde a una red overlay cifrada para el encapsulamiento IPSec. Las redes overlay cifradas en las plataformas afectadas transmiten silenciosamente datos sin cifrar. Como resultado, las redes `overlay` pueden parecer funcionales, pasando el tráfico como se espera, pero sin ninguna de las garantías de confidencialidad o integridad de datos esperadas. Es posible que un atacante situado en una posición de confianza en la red pueda leer todo el tráfico de la aplicación que se mueve a través de la red overlay, lo que resulta en la divulgación inesperada de secretos o datos de usuario. Por lo tanto, dado que muchos protocolos de bases de datos, APIs internas, etc., no están protegidos por una segunda capa de cifrado, un usuario puede utilizar las redes overlay cifradas de Swarm para proporcionar confidencialidad, lo cual, debido a esta vulnerabilidad, ya no está garantizado. Los parches están disponibles en las versiones 23.0.3 y 20.10.24 de Moby. Dado que las versiones 20.10 de Mirantis Container Runtime se numeran de manera diferente, los usuarios de esa plataforma deben actualizar a la versión 20.10.16. Existen algunas soluciones alternativas. Cierre el puerto VXLAN (por defecto, el puerto UDP 4789) al tráfico saliente en el límite de Internet para evitar filtrar accidentalmente tráfico no cifrado a través de Internet, y/o asegúrese de que el módulo del kernel `xt_u32` esté disponible en todos los nodos del clúster Swarm.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2023-03-24

Divulgación

2023-04-05

Moderación

aceptado

Artículo

VDB-224957

CPE

listo

EPSS

0.00696

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!