检测

Linux Distros 未修补的漏洞:CVE-2023-28842

medium Nessus 插件 ID 227211

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - Moby 是由 Docker Inc. 开发的一个开源容器框架它作为 Docker、Mirantis Container Runtime 和各种其他下游项目/产品进行分发。Moby 后台程序组件 (`dockerd`) 开发为 moby/moby 通常称为 *Docker*。Swarm Mode 默认在“dockerd”中编译和交付因此存在于大多数主要 Moby 下游中是一种简单的内置容器编排器通过 SwarmKit 和支持网络代码的组合实现。“overlay”网络驱动程序是 Swarm Mode 的核心功能,用于提供隔离的虚拟 LAN,允许群集中的容器和服务之间进行通信。此驱动程序是 VXLAN 的实现/用户其可将链路层以太网帧封装在使用 VXLAN 元数据包括用于识别原始 overlay 网络的 VXLAN 网络 ID (VNI) 标记帧的 UDP 数据报中的链路层以太网帧。此外叠加网络驱动程序支持当 VXLAN 数据包在节点之间遍历不受信任的网络时特别有用的非默认加密模式。
 加密 overlay 网络功能的实现方法是,通过在传输模式下使用 IPsec 封装式安全负载协议来封装 VXLAN 数据报。通过部署 IPSec 封装,加密的叠加网络可以通过加密证明获得源认证,通过校验和获得数据完整性,以及通过加密获得机密性。在加密的 overlay 网络上设置端点时Moby 会安装三个同时强制执行传入和传出 IPSec 的 iptablesLinux 内核防火墙规则。这些规则依赖于“xt_u32”内核模块提供的“u32”iptables 扩展来直接在 VXLAN 数据包的 VNI 字段上进行筛选因此可以在加密的 overlay 网络上强制执行 IPSec 保证而不干扰其他 overlay 网络或 VXLAN 的其他用户。 。当附加和分离容器时“overlay”驱动程序会动态且延迟地定义每个节点上 VXLAN 网络的内核配置。仅为加入网络的目标节点定义路由和加密参数。在存在可用于通信的对等机之前,不会创建用于防止加密 overlay 网络接受未加密数据包的 iptables 规则。加密的 overlay 网络静默地接受用加密的 overlay 网络的 VNI 标记的明文 VXLAN 数据报。因此可以通过将任意以太网帧封装在 VXLAN 数据报中来将其注入到加密的 overlay 网络中。此问题的影响可能相当可怕进行更深入的探索应引用 GHSA-vwm3-crmr-xfxw。Moby 版本 23.0.3和 20.10.24中提供修补程序。由于 Mirantis Container Runtime 的 20.10 版本编号不同因此该平台的用户应更新到 20.10.16。但有一些变通方案。在多节点群集中,为每个节点上的每个加密叠加网络部署一个“全局暂停”容器。对于单节点群集,请勿使用任何类型的覆盖网络。桥接网络在单个节点上提供相同的连接,并且不具有多节点功能。Swarm 入口功能是使用 overlay 网络实现的但可通过在“host”模式而非“ingress”模式允许使用外部负载平衡器并删除“ingress”网络来禁用该功能。如果以独占方式使用加密叠加网络请阻止来自未经 IPSec 验证的流量的 UDP 端口 4789。
 (CVE-2023-28842)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2023-28842

https://ubuntu.com/security/CVE-2023-28842

插件详情

严重性: Medium

ID: 227211

文件名: unpatched_CVE_2023_28842.nasl

版本: 1.2

类型: local

代理: unix

系列: Misc.

发布时间: 2025/3/5

最近更新时间: 2025/8/18

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Low

基本分数: 3.8

时间分数: 2.8

矢量: CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:N

CVSS 分数来源: CVE-2023-28842

CVSS v3

风险因素: Medium

基本分数: 6.8

时间分数: 5.9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:docker.io, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:docker.io, p-cpe:/a:canonical:ubuntu_linux:docker.io-app, cpe:/o:canonical:ubuntu_linux:20.04:-:lts

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2023/4/4

参考资料信息

CVE: CVE-2023-28842