CVE-2023-28840 in Moby
要約
〜によって VulDB • 2026年05月24日
MobyはDocker Inc.によって開発されたオープンソースのコンテナフレームワークであり、Docker、Mirantis Container Runtime、およびその他のさまざまな下流プロジェクト/製品として配布されています。moby/mobyとして開発されているMobyデーモンコンポーネント(`dockerd`)は一般的に*Docker*と呼ばれます。Swarm Modeは、dockerdにコンパイルされデフォルトで提供されるため、主要なMoby下流環境のほとんどに存在する、SwarmKitとサポートされるネットワークコードの組み合わせによって実装されたシンプルで組み込み型のコンテナオーケストレーターです。オーバーレイネットワークドライバはSwarm Modeの中核機能であり、クラスター全体でコンテナとサービス間の通信を可能にする分離された仮想LANを提供します。このドライバはVXLANの実装/ユーザーであり、VXLANネットワークID(VNI)でフレームにタグ付けして、リンク層(イーサネット)フレームをUDPデータグラムにカプセル化します。このVNIは、発信元のオーバーレイネットワークを識別します。さらに、オーバーレイネットワークドライバは、デフォルトで無効になっているオプションの暗号化モードをサポートしており、これはノード間の信頼できないネットワークをVXLANパケットが通過する場合に特に有用です。暗号化されたオーバーレイネットワークは、トランスポートモードでIPsec Encapsulating Security Payloadプロトコルを使用してVXLANデータグラムをカプセル化することで機能します。IPsecカプセル化を導入することで、暗号化されたオーバーレイネットワークは、暗号学的証明による送信元認証、チェックサムによるデータ整合性、および暗号化による機密性という追加特性を獲得します。暗号化されたオーバーレイネットワーク上でエンドポイントを設定する際、Mobyは着信および送信の両方のIPsecを強制する3つのiptables(Linuxカーネルファイアウォール)ルールをインストールします。これらのルールは、xt_u32カーネルモジュールによって提供されるu32 iptables拡張機能に依存して、VXLANパケットのVNIフィールドに対して直接フィルタリングを行うため、他のオーバーレイネットワークやVXLANの他のユーザーに干渉することなく、暗号化されたオーバーレイネットワーク上でIPsecの保証を強制できます。2つのiptablesルールは、暗号化されたネットワークに対応するVNIを持つ着信VXLANデータグラムをフィルタリングし、暗号化されていないデータグラムを破棄するために使用されます。これらのルールは、システム管理者によって以前に設定されたルールに続いて、INPUTフィルタチェーンの末尾に追加されます。管理者が設定したルールは、Mobyが暗号化されていないVXLANデータグラムを破棄するために設定するルールよりも優先されるため、破棄されるべき暗号化されていないデータグラムが許可される可能性があります。任意のイーサネットフレームのインジェクションは、サービス妨害(DoS)攻撃を可能にします。巧妙な攻撃者は、コンテナの送信ゲートウェイを介して、本来ステートフルファイアウォールによってブロックされるはずだったUDPまたはTCP接続確立を試みたり、オーバーレイネットワークへのパケットの smuggle(密輸)によって、単純なインジェクションを超えた他の昇格攻撃を実行できる可能性があります。パッチはMobyリリース23.0.3および20.10.24で利用可能です。Mirantis Container Runtimeの20.10リリースは番号付けが異なるため、そのプラットフォームのユーザーは20.10.16に更新する必要があります。いくつかの回避策が利用可能です。すべてのVXLANパケットインジェクションを防ぐために、インターネット境界で着信トラフィックに対してVXLANポート(デフォルトではUDPポート4789)を閉じ、および/またはSwarmクラスターのすべてのノードで`xt_u32`カーネルモジュールが利用可能であることを確認してください。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.