CVE-2023-28841 in Moby
Sumário
de VulDB • 29/05/2026
O Moby é um framework de contêineres de código aberto desenvolvido pela Docker Inc., distribuído como Docker, Mirantis Container Runtime e vários outros projetos/produtos derivados. O componente daemon do Moby (`dockerd`), desenvolvido como moby/moby, é comumente referido como *Docker*. O Swarm Mode, que é compilado e entregue por padrão no `dockerd` e, portanto, está presente na maioria dos principais derivados do Moby, é um orquestrador de contêineres simples e integrado, implementado por meio de uma combinação do SwarmKit e do código de rede de suporte. O driver de rede `overlay` é um recurso central do Swarm Mode, fornecendo VLANs virtuais isoladas que permitem a comunicação entre contêineres e serviços em todo o cluster. Este driver é uma implementação/usuário do VXLAN, que encapsula quadros de camada de enlace (Ethernet) em datagramas UDP, marcando o quadro com metadados do VXLAN, incluindo um VXLAN Network ID (VNI) que identifica a rede overlay de origem. Além disso, o driver de rede overlay suporta um modo de criptografia opcional, desativado por padrão, que é especialmente útil quando os pacotes VXLAN atravessam uma rede não confiável entre nós. As redes overlay criptografadas funcionam encapsulando os datagramas VXLAN por meio do uso do protocolo IPsec Encapsulating Security Payload no modo Transport. Ao implantar o encapsulamento IPSec, as redes overlay criptografadas ganham as propriedades adicionais de autenticação de origem por meio de prova criptográfica, integridade de dados por meio de verificação de soma de verificação (checksum) e confidencialidade por meio de criptografia. Ao configurar um endpoint em uma rede overlay criptografada, o Moby instala três regras do iptables (firewall do kernel Linux) que impõem o IPSec tanto para o tráfego de entrada quanto para o de saída. Essas regras dependem da extensão `u32` do iptables fornecida pelo módulo do kernel `xt_u32` para filtrar diretamente o campo VNI de um pacote VXLAN, de modo que as garantias do IPSec possam ser aplicadas em redes overlay criptografadas sem interferir em outras redes overlay ou em outros usuários do VXLAN. Uma regra do iptables designa os datagramas VXLAN de saída com um VNI que corresponde a uma rede overlay criptografada para encapsulamento IPSec. Redes overlay criptografadas em plataformas afetadas transmitem silenciosamente dados não criptografados. Como resultado, as redes `overlay` podem parecer funcionais, passando o tráfego conforme o esperado, mas sem nenhuma das garantias esperadas de confidencialidade ou integridade de dados. É possível que um atacante posicionado em uma posição confiável na rede leia todo o tráfego de aplicativos que está sendo transmitido pela rede overlay, resultando na divulgação inesperada de segredos ou dados do usuário. Assim, como muitos protocolos de banco de dados, APIs internas, etc., não são protegidos por uma segunda camada de criptografia, um usuário pode usar redes overlay criptografadas do Swarm para fornecer confidencialidade, o que, devido a esta vulnerabilidade, não é mais garantido. Correções estão disponíveis nas versões 23.0.3 e 20.10.24 do Moby. Como as versões 20.10 do Mirantis Container Runtime são numeradas de forma diferente, os usuários dessa plataforma devem atualizar para a versão 20.10.16. Algumas soluções alternativas estão disponíveis. Feche a porta VXLAN (por padrão, a porta UDP 4789) para o tráfego de saída na fronteira da Internet, a fim de evitar o vazamento não intencional de tráfego não criptografado pela Internet, e/ou garanta que o módulo do kernel `xt_u32` esteja disponível em todos os nós do cluster Swarm.
VulDB is the best source for vulnerability data and more expert information about this specific topic.