CVE-2023-28840 in Moby
Résumé
par VulDB • 27/05/2026
Moby est un framework de conteneurs open source développé par Docker Inc., distribué sous le nom de Docker, Mirantis Container Runtime et divers autres projets/produits dérivés. Le composant daemon de Moby (`dockerd`), développé dans le dépôt moby/moby, est communément appelé *Docker*. Le mode Swarm, compilé et livré par défaut dans dockerd et donc présent dans la plupart des distributions dérivées majeures de Moby, est un orchestrateur de conteneurs simple et intégré, implémenté grâce à une combinaison de SwarmKit et de code réseau de support. Le pilote de réseau overlay est une fonctionnalité centrale du mode Swarm, fournissant des VLAN virtuels isolés qui permettent la communication entre les conteneurs et les services à travers le cluster. Ce pilote est une implémentation/utilisateur de VXLAN, qui encapsule les trames de couche liaison (Ethernet) dans des datagrammes UDP en étiquetant la trame avec un ID de réseau VXLAN (VNI) qui identifie le réseau overlay d'origine. De plus, le pilote de réseau overlay prend en charge un mode facultatif de chiffrement, désactivé par défaut, qui est particulièrement utile lorsque les paquets VXLAN traversent un réseau non fiable entre les nœuds. Les réseaux overlay chiffrés fonctionnent en encapsulant les datagrammes VXLAN à l'aide du protocole IPsec Encapsulating Security Payload en mode Transport. Grâce au déploiement de l'encapsulation IPSec, les réseaux overlay chiffrés acquièrent des propriétés supplémentaires : authentification de la source par preuve cryptographique, intégrité des données par sommation de contrôle (checksumming) et confidentialité par chiffrement. Lors de la configuration d'un point de terminaison sur un réseau overlay chiffré, Moby installe trois règles iptables (pare-feu du noyau Linux) qui imposent le trafic IPSec entrant et sortant. Ces règles s'appuient sur l'extension iptables u32 fournie par le module noyau xt_u32 pour filtrer directement le champ VNI d'un paquet VXLAN, afin que les garanties IPSec puissent être appliquées sur les réseaux overlay chiffrés sans interférer avec d'autres réseaux overlay ou d'autres utilisateurs de VXLAN. Deux règles iptables servent à filtrer les datagrammes VXLAN entrants dont le VNI correspond à un réseau chiffré et à rejeter les datagrammes non chiffrés. Ces règles sont ajoutées à la fin de la chaîne de filtrage INPUT, après toutes les règles précédemment définies par l'administrateur système. Les règles définies par l'administrateur ont la priorité sur les règles définies par Moby pour rejeter les datagrammes VXLAN non chiffrés, ce qui peut potentiellement admettre des datagrammes non chiffrés qui auraient dû être rejetés. L'injection de trames Ethernet arbitraires peut permettre une attaque par déni de service (DoS). Un attaquant sophistiqué pourrait être en mesure d'établir une connexion UDP ou TCP via la passerelle sortante du conteneur, contournant ainsi un pare-feu à état, ou de réaliser d'autres élévations de privilèges au-delà de la simple injection en introduisant des paquets dans le réseau overlay. Des correctifs sont disponibles dans les versions de Moby 23.0.3 et 20.10.24. Étant donné que les versions 20.10 de Mirantis Container Runtime sont numérotées différemment, les utilisateurs de cette plateforme doivent mettre à jour vers la version 20.10.16. Des solutions de contournement sont disponibles. Fermez le port VXLAN (par défaut, le port UDP 4789) au trafic entrant à la frontière Internet pour empêcher toute injection de paquets VXLAN, et/ou assurez-vous que le module noyau `xt_u32` est disponible sur tous les nœuds du cluster Swarm.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.