CVE-2023-28840

Versões do Moby anteriores à 23.0.3

Versões do Moby anteriores à 20.10.24

Versões do Mirantis Container Runtime anteriores à 20.10.16

O problema está relacionado ao uso de um canal alternativo não seguro no Modo Swarm do componente daemon do Moby. Isso pode possibilitar um ataque de Negação de Serviço e, potencialmente, permitir que um invasor sofisticado estabeleça uma conexão UDP ou TCP por meio do gateway de saída do contêiner, que, de outra forma, seria bloqueada por um firewall stateful. A vulnerabilidade se deve à injeção de quadros Ethernet arbitrários, que podem ser usados para contrabandear pacotes para a rede overlay. As redes overlay criptografadas funcionam encapsulando os datagramas VXLAN por meio do protocolo IPsec Encapsulating Security Payload no modo Transport. No entanto, as regras definidas pelo Moby para descartar datagramas VXLAN não criptografados podem ser substituídas por regras definidas pelo administrador, potencialmente admitindo datagramas não criptografados que deveriam ter sido descartados.

Atualize para a versão 23.0.3 do Moby ou posterior.

Atualize para a versão 20.10.24 do Moby ou posterior.

Atualize para a versão 20.10.16 ou posterior do Mirantis Container Runtime.

Como solução alternativa temporária, considere fechar a porta VXLAN (por padrão, porta UDP 4789) para o tráfego de entrada na borda da Internet, a fim de impedir toda a injeção de pacotes VXLAN.

Certifique-se de que o módulo do kernel xt u32 esteja disponível em todos os nós do cluster Swarm.