阿里云漏洞库

漏洞描述

Moby是由 Docker Inc. 开发的开源容器框架，作为 Docker、Mirantis Container Runtime 和各种其他下游项目/产品分发。dockerd开发为moby/moby 的Moby 守护程序组件通常称为Docker。

受影响平台上的加密覆盖网络静默传输未加密数据，位于网络受信任位置的攻击者有可能读取覆盖网络中移动的所有应用程序流量，从而导致意外的秘密或用户数据泄露。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/moby/libnetwork/blob/d9fae4c73daf76c3b0f77e14b45b8bf612ba7...
https://github.com/moby/libnetwork/security/advisories/GHSA-gvm4-2qqg-m333
https://github.com/moby/moby/issues/43382
https://github.com/moby/moby/pull/45118
https://github.com/moby/moby/security/advisories/GHSA-232p-vwff-86mp
https://github.com/moby/moby/security/advisories/GHSA-33pg-m6jh-5237
https://github.com/moby/moby/security/advisories/GHSA-6wrf-mxfj-pf5p
https://github.com/moby/moby/security/advisories/GHSA-vwm3-crmr-xfxw
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mobyproject	moby	*	From (including) 1.12.0	Up to (excluding) 20.10.24
	运行在以下环境
	应用	mobyproject	moby	*	From (including) 23.0.0	Up to (excluding) 23.0.3
	运行在以下环境
	系统	alpine_3.17	docker	*		Up to (excluding) 20.10.24-r0
	运行在以下环境
	系统	alpine_3.18	docker	*		Up to (excluding) 23.0.3-r0
	运行在以下环境
	系统	alpine_3.19	docker	*		Up to (excluding) 23.0.3-r0
	运行在以下环境
	系统	debian_12	docker.io	*		Up to (excluding) 20.10.24+dfsg1-1
	运行在以下环境
	系统	fedora_37	moby-engine	*		Up to (excluding) 24.0.5-1.fc37
	运行在以下环境
	系统	fedora_38	moby-engine	*		Up to (excluding) 24.0.5-1.fc38
	运行在以下环境
	系统	fedora_39	moby-engine	*		Up to (excluding) 24.0.5-1.fc39
	运行在以下环境
	系统	kylinos_aarch64_V10	docker-engine	*		Up to (excluding) 18.09.0-206.p07.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	docker-engine	*		Up to (excluding) 18.09.0-101.p08.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	docker-engine	*		Up to (excluding) 18.09.0-202.p06.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	docker-engine	*		Up to (excluding) 18.09.0-206.p07.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP32309b	docker-engine	*		Up to (excluding) 18.09.0-206.p07.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	docker-engine	*		Up to (excluding) 18.09.0-206.p07.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	docker-engine	*		Up to (excluding) 18.09.0-101.p08.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	docker-engine	*		Up to (excluding) 18.09.0-202.p06.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	docker-engine	*		Up to (excluding) 18.09.0-206.p07.ky10
	运行在以下环境
	系统	opensuse_Leap_15.4	docker	*		Up to (excluding) 24.0.5_ce-150000.185.1
	运行在以下环境
	系统	opensuse_Leap_15.5	docker	*		Up to (excluding) 24.0.5_ce-150000.185.1

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-311	敏感数据加密缺失
CWE-636	未能安全地进行程序失效（Failing Open）
CWE-755	对异常条件的处理不恰当

中危 Moby 信息泄露漏洞(CVE-2023-28841)

漏洞描述

解决建议

参考链接

受影响软件情况