CVE-2023-28840 in MobyИнформация

Сводка

по VulDB • 07.06.2026

Moby — это фреймворк для контейнеров с открытым исходным кодом, разработанный компанией Docker Inc., который распространяется как Docker, Mirantis Container Runtime и различные другие downstream-проекты/продукты. Компонент демона Moby (`dockerd`), разрабатываемый в репозитории moby/moby, обычно называется *Docker*. Режим Swarm Mode, который компилируется и поставляется по умолчанию в dockerd, а следовательно, присутствует в большинстве крупных downstream-версий Moby, представляет собой простой встроенный оркестратор контейнеров, реализованный с помощью комбинации SwarmKit и вспомогательного сетевого кода. Драйвер наложения сети (overlay network driver) является ключевой функцией режима Swarm Mode, предоставляя изолированные виртуальные локальные сети (VLAN), которые позволяют осуществлять связь между контейнерами и службами в пределах кластера. Этот драйвер является реализацией/пользователем VXLAN, который инкапсулирует кадры канального уровня (Ethernet) в дейтаграммы UDP, добавляя к кадру идентификатор сети VXLAN (VNI), определяющий исходную сеть наложения. Кроме того, драйвер наложения сети поддерживает дополнительный режим шифрования, который по умолчанию отключен; этот режим особенно полезен, когда пакеты VXLAN проходят через ненадежную сеть между узлами. Зашифрованные сети наложения функционируют путем инкапсуляции дейтаграмм VXLAN с использованием протокола IPsec Encapsulating Security Payload в транспортном режиме (Transport mode). Благодаря внедрению инкапсуляции IPsec зашифрованные сети наложения приобретают дополнительные свойства: аутентификацию источника посредством криптографического доказательства, целостность данных посредством контрольных сумм и конфиденциальность посредством шифрования. При настройке конечной точки в зашифрованной сети наложения Moby устанавливает три правила iptables (брандмауэра ядра Linux), которые обеспечивают как входящий, так и исходящий трафик IPsec. Эти правила опираются на расширение iptables u32, предоставляемое модулем ядра xt_u32, для прямой фильтрации по полю VNI пакета VXLAN, чтобы гарантии IPsec могли применяться в зашифрованных сетях наложения без вмешательства в работу других сетей наложения или других пользователей VXLAN. Два правила iptables служат для фильтрации входящих дейтаграмм VXLAN с VNI, соответствующим зашифрованной сети, и отбрасывания незашифрованных дейтаграмм. Эти правила добавляются в конец цепочки фильтра INPUT, после любых правил, ранее установленных системным администратором. Правила, установленные администратором, имеют приоритет над правилами, которые Moby устанавливает для отбрасывания незашифрованных дейтаграмм VXLAN, что потенциально может привести к пропуску незашифрованных дейтаграмм, которые должны были быть отброшены. Внедрение произвольных кадров Ethernet может привести к атаке на отказ в обслуживании (DoS). Продвинутый злоумышленник может установить UDP или TCP-соединение через исходящий шлюз контейнера, который в противном случае был бы заблокирован брандмауэром с отслеживанием состояния (stateful firewall), или осуществить другие повышения привилегий, выходящие за рамки простого внедрения, путем маскировки пакетов в сети наложения. Патчи доступны в выпусках Moby 23.0.3 и 20.10.24. Поскольку выпуски Mirantis Container Runtime серии 20.10 имеют другую нумерацию, пользователям этой платформы следует обновиться до версии 20.10.16. Доступны некоторые обходные решения. Закройте порт VXLAN (по умолчанию UDP-порт 4789) для входящего трафика на границе Интернета, чтобы предотвратить любое внедрение пакетов VXLAN, и/или убедитесь, что модуль ядра `xt_u32` доступен на всех узлах кластера Swarm.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub, Inc.

Резервировать

24.03.2023

Раскрытие

05.04.2023

Модерация

принято

Вход

VDB-224956

EPSS

0.02733

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!