在仅 IPv4 的网络接口上启用 Moby IPv6 (CVE-2024-32473)
CVE编号
CVE-2024-32473利用情况
暂无补丁情况
N/A披露时间
2024-04-19漏洞描述
Moby是一个开源的容器框架,是Docker Engine、Docker Desktop和其他容器工具或运行时的关键组件。在版本26.0.0中,网络接口上的IPv6未禁用,包括那些属于`--ipv6=false`的网络。带有`ipvlan`或`macvlan`接口的容器通常会配置为与主机机器共享外部网络链接。由于这种直接访问,(1)容器可能能够通过链路本地IPv6地址与本地网络上的其他主机通信,(2)如果本地网络上正在广播路由器通告,容器可能会获得SLAAC分配的地址,(3)接口将成为IPv6组的成员。这意味着在仅支持IPv4的网络中,接口呈现了意外和不必要地增加的攻击面。该问题在版本26.0.2中已修复。要完全禁用容器中的IPv6,请在`docker create`或`docker run`命令中使用`--sysctl=net.ipv6.conf.all.disable_ipv6=1`。或者,在`compose`文件的服务配置中。解决建议
"将 github.com/docker/docker 升级至 26.0.2 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/moby/moby/commit/7cef0d9cd1cf221d8c0b7b7aeda69552649e0642 | |
| https://github.com/moby/moby/security/advisories/GHSA-x84c-p2g9-rqv9 |
- 攻击路径 本地
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论