Vvoland

**Nome do Software Vulnerável e Versões Afetadas** Versões do Moby de 28.2.0 a 28.3.2 **Descrição** O Moby é um framework de contêineres de código aberto desenvolvido pela Docker Inc. Quando o serviço firewalld é recarregado, ele remove todas as regras do iptables, incluindo aquelas criadas pelo Docker. Nas versões afetadas, o Docker falha ao recriar as regras específicas que bloqueiam o acesso externo aos contêineres. Isso permite que máquinas remotas com roteamento de rede para a bridge do Docker acessem contêineres com portas publicadas para localhost, embora devam ser acessíveis apenas a partir do host. A vulnerabilidade afeta apenas portas publicadas explicitamente; portas não publicadas permanecem protegidas. **Recomendações** Versões do Moby de 28.2.0 a 28.3.2: Atualize para a versão 28.3.3 ou posterior. Como solução alternativa, reinicie o daemon do docker após recarregar o firewalld. Como solução alternativa, recrie as redes bridge após recarregar o firewalld. Como solução alternativa, use o modo rootless.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Moby anteriores a 28.0.0 Versão 25.0.13 do Moby **Descrição** O Moby é um framework de contêineres de código aberto desenvolvido pela Docker Inc. que é distribuído como Docker Engine, Mirantis Container Runtime e diversos outros projetos/produtos downstream. Uma vulnerabilidade no firewalld afeta o Moby, onde o recarregamento do firewalld faz com que o Docker falhe ao recriar as regras iptables que isolam as redes bridge. Isso permite que contêineres acessem qualquer porta em qualquer outro contêiner através de diferentes redes bridge no mesmo host, quebrando a segmentação de rede entre contêineres. Contêineres em redes `--internal` permanecem protegidos. **Recomendações** Atualize para a versão 28.0.0 ou posterior do Moby. Aplique a correção disponível na release 25.0.13 do Moby. Como solução alternativa temporária, reinicie o daemon do Docker após recarregar o firewalld. Como solução alternativa temporária, recrie as redes bridge após recarregar o firewalld. Como solução alternativa temporária, utilize o modo rootless.

**Nome do software vulnerável e versões afetadas** Versões do Moby anteriores à 23.0 Versões do Moby 23.0 e posteriores com a variável de ambiente DOCKER BUILDKIT=0 Versões do Moby 23.0 e posteriores que utilizam o endpoint da API /build **Descrição** O sistema clássico de cache do construtor no Moby está sujeito a envenenamento de cache se a imagem for construída DO ZERO. Alterações em algumas instruções, como `HEALTHCHECK` e `ONBUILD`, não causariam uma falha de cache. Um invasor com conhecimento do Dockerfile poderia envenenar o cache fazendo com que ele baixasse uma imagem especialmente criada que seria considerada uma candidata válida para o cache em algumas etapas de construção. O endpoint da API de construção de imagem (`/build`) e a função `ImageBuild` de `github.com/docker/docker/client` também são afetados, pois usam o construtor clássico por padrão. **Recomendações** Para versões anteriores à 23.0, atualize para uma versão que inclua o patch, como a 24.0.9 ou a 25.0.2. Para versões 23.0 e posteriores com a variável de ambiente DOCKER BUILDKIT=0, defina DOCKER BUILDKIT=1 para usar o Buildkit ou atualize para uma versão que inclua o patch. Para versões 23.0 e posteriores que usam o endpoint da API /build, considere usar a opção `--no-cache` ou atualizar para uma versão que inclua o patch. Como solução alternativa temporária, considere usar `--no-cache` ou definir `NoCache = true` em `ImageBuildOptions` para a chamada `ImageBuild`. Use `Version = types.BuilderBuildKit` em `ImageBuildOptions` para a chamada `ImageBuild` para usar o Buildkit.