CVE-2023-28841 in Mobyinformation

Résumé

par VulDB • 29/05/2026

Moby est un framework de conteneurs open source développé par Docker Inc., distribué sous le nom de Docker, Mirantis Container Runtime et divers autres projets/produits dérivés. Le composant daemon de Moby (`dockerd`), développé dans le cadre de moby/moby, est communément appelé *Docker*. Swarm Mode, compilé et livré par défaut dans `dockerd` et donc présent dans la plupart des distributions dérivées majeures de Moby, est un orchestrateur de conteneurs intégré simple, implémenté grâce à une combinaison de SwarmKit et de code réseau de support. Le pilote réseau `overlay` est une fonctionnalité centrale de Swarm Mode, fournissant des VLAN virtuels isolés qui permettent la communication entre les conteneurs et les services à travers le cluster. Ce pilote est une implémentation/utilisateur de VXLAN, qui encapsule les trames de couche liaison (Ethernet) dans des datagrammes UDP en y ajoutant des métadonnées VXLAN, notamment un ID de réseau VXLAN (VNI) qui identifie le réseau overlay d'origine. De plus, le pilote réseau overlay prend en charge un mode de chiffrement optionnel, désactivé par défaut, particulièrement utile lorsque les paquets VXLAN traversent un réseau non fiable entre les nœuds. Les réseaux overlay chiffrés fonctionnent en encapsulant les datagrammes VXLAN à l'aide du protocole IPsec Encapsulating Security Payload en mode Transport. Grâce au déploiement de l'encapsulation IPSec, les réseaux overlay chiffrés bénéficient des propriétés supplémentaires suivantes : authentification de la source par preuve cryptographique, intégrité des données par sommation de contrôle (checksum), et confidentialité par chiffrement. Lors de la configuration d'un point de terminaison sur un réseau overlay chiffré, Moby installe trois règles iptables (pare-feu du noyau Linux) qui imposent à la fois le trafic IPSec entrant et sortant. Ces règles s'appuient sur l'extension iptables `u32` fournie par le module noyau `xt_u32` pour filtrer directement sur le champ VNI d'un paquet VXLAN, afin que les garanties IPSec puissent être appliquées sur les réseaux overlay chiffrés sans interférer avec d'autres réseaux overlay ou d'autres utilisateurs de VXLAN. Une règle iptables désigne les datagrammes VXLAN sortants ayant un VNI correspondant à un réseau overlay chiffré pour une encapsulation IPSec. Sur les plateformes affectées, les réseaux overlay chiffrés transmettent silencieusement des données non chiffrées. Par conséquent, les réseaux `overlay` peuvent sembler fonctionnels, acheminant le trafic comme prévu, mais sans aucune des garanties de confidentialité ou d'intégrité des données attendues. Il est possible pour un attaquant se trouvant dans une position de confiance sur le réseau de lire tout le trafic applicatif transitant par le réseau overlay, entraînant une divulgation inattendue de secrets ou de données utilisateur. Ainsi, comme de nombreux protocoles de base de données, API internes, etc., ne sont pas protégés par une seconde couche de chiffrement, un utilisateur peut utiliser les réseaux overlay chiffrés de Swarm pour assurer la confidentialité, ce qui n'est plus garanti en raison de cette vulnérabilité. Des correctifs sont disponibles dans les versions Moby 23.0.3 et 20.10.24. Étant donné que les versions 20.10 de Mirantis Container Runtime sont numérotées différemment, les utilisateurs de cette plateforme doivent mettre à jour vers la version 20.10.16. Des solutions de contournement sont disponibles. Fermez le port VXLAN (par défaut, le port UDP 4789) au trafic sortant à la frontière Internet afin d'éviter de fuir accidentellement du trafic non chiffré sur Internet, et/ou assurez-vous que le module noyau `xt_u32` est disponible sur tous les nœuds du cluster Swarm.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Réserver

24/03/2023

Divulgation

05/04/2023

Modérer

accepté

Entrée

VDB-224957

CPE

prêt

EPSS

0.00696

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!