CVE-2023-28840 in Moby
Сводка
по VulDB • 07.06.2026
Moby — это фреймворк для контейнеров с открытым исходным кодом, разработанный компанией Docker Inc., который распространяется как Docker, Mirantis Container Runtime и различные другие downstream-проекты/продукты. Компонент демона Moby (`dockerd`), разрабатываемый в репозитории moby/moby, обычно называется *Docker*. Режим Swarm Mode, который компилируется и поставляется по умолчанию в dockerd, а следовательно, присутствует в большинстве крупных downstream-версий Moby, представляет собой простой встроенный оркестратор контейнеров, реализованный с помощью комбинации SwarmKit и вспомогательного сетевого кода. Драйвер наложения сети (overlay network driver) является ключевой функцией режима Swarm Mode, предоставляя изолированные виртуальные локальные сети (VLAN), которые позволяют осуществлять связь между контейнерами и службами в пределах кластера. Этот драйвер является реализацией/пользователем VXLAN, который инкапсулирует кадры канального уровня (Ethernet) в дейтаграммы UDP, добавляя к кадру идентификатор сети VXLAN (VNI), определяющий исходную сеть наложения. Кроме того, драйвер наложения сети поддерживает дополнительный режим шифрования, который по умолчанию отключен; этот режим особенно полезен, когда пакеты VXLAN проходят через ненадежную сеть между узлами. Зашифрованные сети наложения функционируют путем инкапсуляции дейтаграмм VXLAN с использованием протокола IPsec Encapsulating Security Payload в транспортном режиме (Transport mode). Благодаря внедрению инкапсуляции IPsec зашифрованные сети наложения приобретают дополнительные свойства: аутентификацию источника посредством криптографического доказательства, целостность данных посредством контрольных сумм и конфиденциальность посредством шифрования. При настройке конечной точки в зашифрованной сети наложения Moby устанавливает три правила iptables (брандмауэра ядра Linux), которые обеспечивают как входящий, так и исходящий трафик IPsec. Эти правила опираются на расширение iptables u32, предоставляемое модулем ядра xt_u32, для прямой фильтрации по полю VNI пакета VXLAN, чтобы гарантии IPsec могли применяться в зашифрованных сетях наложения без вмешательства в работу других сетей наложения или других пользователей VXLAN. Два правила iptables служат для фильтрации входящих дейтаграмм VXLAN с VNI, соответствующим зашифрованной сети, и отбрасывания незашифрованных дейтаграмм. Эти правила добавляются в конец цепочки фильтра INPUT, после любых правил, ранее установленных системным администратором. Правила, установленные администратором, имеют приоритет над правилами, которые Moby устанавливает для отбрасывания незашифрованных дейтаграмм VXLAN, что потенциально может привести к пропуску незашифрованных дейтаграмм, которые должны были быть отброшены. Внедрение произвольных кадров Ethernet может привести к атаке на отказ в обслуживании (DoS). Продвинутый злоумышленник может установить UDP или TCP-соединение через исходящий шлюз контейнера, который в противном случае был бы заблокирован брандмауэром с отслеживанием состояния (stateful firewall), или осуществить другие повышения привилегий, выходящие за рамки простого внедрения, путем маскировки пакетов в сети наложения. Патчи доступны в выпусках Moby 23.0.3 и 20.10.24. Поскольку выпуски Mirantis Container Runtime серии 20.10 имеют другую нумерацию, пользователям этой платформы следует обновиться до версии 20.10.16. Доступны некоторые обходные решения. Закройте порт VXLAN (по умолчанию UDP-порт 4789) для входящего трафика на границе Интернета, чтобы предотвратить любое внедрение пакетов VXLAN, и/или убедитесь, что модуль ядра `xt_u32` доступен на всех узлах кластера Swarm.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.