Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02005

Опубликовано: 15 мар. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 6.1
EPSS Низкий

Описание

Уязвимость режима Swarm Mode демона dockerd программного средства для создания систем контейнерной изоляции Moby и среды выполнения контейнеров Mirantis Container Runtime связана с использованием незащищенного альтернативного канала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность и доступность защищаемой информации путем отправки незашифрованных пакетов

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
Moby Project
Mirantis, Inc.

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Moby
Mirantis Container Runtime

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 20.10.24 (Moby)
до 20.10.16 (Mirantis Container Runtime)
от 23.0.0 до 23.0.3 (Moby)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Moby:
https://github.com/moby/moby/releases
https://github.com/moby/moby/security/advisories/GHSA-232p-vwff-86mp
Для Mirantis Container Runtime:
https://docs.mirantis.com/mcr/20.10/release-notes/20-10-16.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
1) Заблокируйте доступ к порту VXLAN (по умолчанию UDP-порт 4789) для входящего трафика, чтобы предотвратить внедрение всех пакетов VXLAN. Например: iptables -I INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP;
2) В многоузловых кластерах разверните глобальный контейнер «pause» для каждой зашифрованной оверлейной сети на каждом узле. Например, используйте: registry.k8s.io/pause и службу --mode global;
3) Для кластера с одним узлом не используйте оверлейные сети любого типа. Мостовые сети обеспечивают одинаковую связность на одном узле и не имеют многоузловых функций.
Функция overlay режима Swarm Mode реализована с использованием оверлейной сети, но ее можно отключить, опубликовав порты в host режиме вместо режима ingress (позволив использовать внешний балансировщик нагрузки) и удалив сеть ingress.
Для ОС Astra Linux Special Edition 1.7:
обновить пакет docker.io до 24.0.2+astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7:
обновить пакет docker.io до 24.0.2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 61%
0.00425
Низкий

7.5 High

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20230824-01

CVSS3: 7.5
redos
почти 2 года назад

Множественные уязвимости Moby

ubuntu логотип

CVE-2023-28840

CVSS3: 7.5
ubuntu
больше 2 лет назад

Moby is an open source container framework developed by Docker Inc. that is distributed as Docker, Mirantis Container Runtime, and various other downstream projects/products. The Moby daemon component (`dockerd`), which is developed as moby/moby, is commonly referred to as *Docker*. Swarm Mode, which is compiled in and delivered by default in dockerd and is thus present in most major Moby downstreams, is a simple, built-in container orchestrator that is implemented through a combination of SwarmKit and supporting network code. The overlay network driver is a core feature of Swarm Mode, providing isolated virtual LANs that allow communication between containers and services across the cluster. This driver is an implementation/user of VXLAN, which encapsulates link-layer (Ethernet) frames in UDP datagrams that tag the frame with a VXLAN Network ID (VNI) that identifies the originating overlay network. In addition, the overlay network driver supports an optional, off-by-default encrypt...

redhat логотип

CVE-2023-28840

CVSS3: 8.7
redhat
больше 2 лет назад

Moby is an open source container framework developed by Docker Inc. that is distributed as Docker, Mirantis Container Runtime, and various other downstream projects/products. The Moby daemon component (`dockerd`), which is developed as moby/moby, is commonly referred to as *Docker*. Swarm Mode, which is compiled in and delivered by default in dockerd and is thus present in most major Moby downstreams, is a simple, built-in container orchestrator that is implemented through a combination of SwarmKit and supporting network code. The overlay network driver is a core feature of Swarm Mode, providing isolated virtual LANs that allow communication between containers and services across the cluster. This driver is an implementation/user of VXLAN, which encapsulates link-layer (Ethernet) frames in UDP datagrams that tag the frame with a VXLAN Network ID (VNI) that identifies the originating overlay network. In addition, the overlay network driver supports an optional, off-by-default encrypt...

nvd логотип

CVE-2023-28840

CVSS3: 7.5
nvd
больше 2 лет назад

Moby is an open source container framework developed by Docker Inc. that is distributed as Docker, Mirantis Container Runtime, and various other downstream projects/products. The Moby daemon component (`dockerd`), which is developed as moby/moby, is commonly referred to as *Docker*. Swarm Mode, which is compiled in and delivered by default in dockerd and is thus present in most major Moby downstreams, is a simple, built-in container orchestrator that is implemented through a combination of SwarmKit and supporting network code. The overlay network driver is a core feature of Swarm Mode, providing isolated virtual LANs that allow communication between containers and services across the cluster. This driver is an implementation/user of VXLAN, which encapsulates link-layer (Ethernet) frames in UDP datagrams that tag the frame with a VXLAN Network ID (VNI) that identifies the originating overlay network. In addition, the overlay network driver supports an optional, off-by-default encrypte

debian логотип

CVE-2023-28840

CVSS3: 7.5
debian
больше 2 лет назад

Moby is an open source container framework developed by Docker Inc. th ...

EPSS

Процентиль: 61%
0.00425
Низкий

7.5 High

CVSS3

6.1 Medium

CVSS2