Morancj

**Nome do software vulnerável e versões afetadas** Versões do Weave Net anteriores à 2.6.3 **Descrição** Um invasor capaz de executar um processo como root em um contêiner pode responder a solicitações DNS do host e se apresentar como um serviço falso. Em um cluster com uma rede interna IPv4, se o IPv6 não estiver totalmente desativado no host, ele pode estar desconfigurado ou configurado em algumas interfaces. A combinação do encaminhamento IPv6 desativado com o host aceitando anúncios de roteador significa que o host pode ser reconfigurado usando anúncios de roteador maliciosos. Isso permite que um invasor redirecione parte ou todo o tráfego IPv6 do host para o contêiner controlado pelo invasor. Mesmo sem tráfego IPv6 inicial, se o DNS retornar registros A e AAAA, muitas bibliotecas HTTP tentarão se conectar via IPv6 primeiro, dando ao invasor a oportunidade de responder. **Recomendações** Para versões do Weave Net anteriores à 2.6.3, os usuários não devem executar contêineres com a capacidade CAP NET RAW como solução alternativa. Atualize para a versão 2.6.3 do Weave Net, que desativa a opção accept ra nos dispositivos veth que cria, para resolver o problema.