CVE-2024-29018

Versões do Moby anteriores à 23.0.11

Versões do Moby anteriores à 25.0.4

Versões do Moby anteriores à 26.0.0

O problema está relacionado à implementação de rede no Moby, que permite a criação de redes personalizadas com seu próprio intervalo de endereços IP e gateway. Quando um contêiner é conectado a uma rede interna, ele é impedido de se comunicar com quaisquer redes às quais o host tenha acesso. No entanto, devido ao design do serviço dockerd, as redes internas podem, inesperadamente, encaminhar solicitações DNS para um servidor de nomes externo. Isso pode ser explorado por um invasor para extrair dados de um contêiner comprometido, codificando-os em consultas DNS. O sinalizador --internal é usado para designar uma rede como interna, e o atributo internal em um arquivo docker-compose.yml também pode ser usado para marcar uma rede como interna.

Para versões do Moby anteriores à 23.0.11, atualize para a versão 23.0.11 ou posterior para impedir o encaminhamento de solicitações DNS de redes internas.

Para versões do Moby anteriores à 25.0.4, atualize para a versão 25.0.4 ou posterior para impedir o encaminhamento de solicitações DNS de redes internas.

Para versões do Moby anteriores à 26.0.0, atualize para a versão 26.0.0 ou posterior para impedir o encaminhamento de solicitações DNS de redes internas.

Como solução alternativa temporária, execute contêineres destinados a serem conectados exclusivamente a redes internas com um endereço upstream personalizado, o que forçará todas as consultas DNS upstream a serem resolvidas a partir do nome de rede do contêiner