Vulnerabilidad en Moby (CVE-2024-32473)

Moby es un framework de contenedores de código abierto que es un componente clave de Docker Engine, Docker Desktop y otras distribuciones de herramientas o tiempos de ejecución de contenedores. En 26.0.0, IPv6 no está deshabilitado en las interfaces de red, incluidas aquellas que pertenecen a redes donde `--ipv6=false`. Un contenedor con una interfaz `ipvlan` o `macvlan` normalmente se configurará para compartir un enlace de red externo con la máquina host. Debido a este acceso directo, (1) los contenedores pueden comunicarse con otros hosts en la red local a través de direcciones IPv6 de enlace local, (2) si los anuncios del enrutador se transmiten a través de la red local, los contenedores pueden obtener direcciones asignadas por SLAAC y (3) la interfaz será miembro de grupos de multidifusión IPv6. Esto significa que las interfaces en redes solo IPv4 presentan una superficie de ataque inesperada e innecesariamente mayor. El problema se solucionó en 26.0.2. Para deshabilitar completamente IPv6 en un contenedor, use `--sysctl=net.ipv6.conf.all.disable_ipv6=1` en el comando `docker create` o `docker run`. O, en la configuración del servicio de un archivo "compose".