Moby/Docker Firewall-Bypass-Schwachstelle (CVE-2025-54410) betrifft Bridge-Netzwerke
securityvulnerabilitydevopsopen-sourcedockermoby
trending_upTrend: security

Moby/Docker Firewall-Bypass-Schwachstelle (CVE-2025-54410) betrifft Bridge-Netzwerke

calendar_month 1. Juni 2026

Zusammenfassung

Eine kritische Sicherheitslücke in Moby (der Open-Source-Engine hinter Docker) vor Version 28.0.0 wurde identifiziert. Die als CVE-2025-54410 geführte Schwachstelle führt dazu, dass die Netzwerkisolierung zwischen Containern in Bridge-Netzwerken aufgehoben wird, wenn der Firewall-Dienst firewalld auf dem Host neu geladen wird.

Was ist passiert?

In Umgebungen, in denen Moby zusammen mit firewalld betrieben wird, verlässt sich die Engine auf spezifische iptables-Regeln, um den Datenverkehr zwischen Containern zu kontrollieren und zu isolieren. Es wurde festgestellt, dass ein Neuladen von firewalld (z. B. durch Konfigurationsänderungen oder System-Updates) dazu führt, dass diese von Moby gesetzten Isolierungsregeln gelöscht werden. Moby stellt diese Regeln nach dem Reload nicht automatisch wieder her.

Warum es wichtig ist

Die Netzwerkisolierung ist ein Eckpfeiler der Container-Sicherheit. Ohne diese Isolierung können Container innerhalb desselben Bridge-Netzwerks uneingeschränkt auf alle Ports anderer Container auf dem selben Host zugreifen. In Multi-Tenant-Umgebungen oder bei der Ausführung von Anwendungen mit unterschiedlichen Sicherheitsstufen stellt dies ein erhebliches Risiko für Cross-Container-Angriffe und Datendiebstahl dar.

Beweise

Die Schwachstelle ist offiziell als CVE-2025-54410 registriert. Ein GitHub-Issue im Moby-Repository (#51731) dokumentiert das Verhalten detailliert. Sicherheitsdatenbanken wie NMMapper und der Debian Package Tracker bestätigen die Betroffenheit von Docker-Versionen vor 28.0.0.

Analyse

Das Problem liegt in der mangelnden Synchronisation zwischen Mobys Netzwerk-Manager und dem dynamischen Status von firewalld. Während firewalld beim Reload seine eigenen Regeln neu schreibt, erkennt Moby diesen Vorgang nicht und versäumt es, seine kritischen Isolierungs-Regeln erneut in die iptables-Ketten einzuspielen. Dies hinterlässt das System in einem unsicheren Zustand, ohne dass der Administrator unbedingt eine Fehlermeldung erhält.

Praktische Erkenntnisse

  • Update erzwingen: Administratoren sollten Docker/Moby umgehend auf Version 28.0.0 oder höher aktualisieren, da diese Version Korrekturen für das Regel-Management enthält.
  • Konfigurations-Check: Prüfen Sie, ob firewalld auf Ihren Docker-Hosts aktiv ist und wie oft Reloads durchgeführt werden.
  • Workaround: Falls ein Update nicht sofort möglich ist, sollte nach jedem firewalld-Reload der Docker-Dienst neu gestartet werden, um die Regeln wiederherzustellen (systemctl restart docker).

Offene Fragen

Es bleibt abzuwarten, wie schnell Downstream-Distributionen (wie Debian, RHEL, Ubuntu) ihre stabilen Pakete aktualisieren. Zudem ist unklar, ob ähnliche Probleme auch bei der Verwendung von nftables ohne den firewalld-Abstraktionslayer auftreten können.

Quellen

  1. CVE-2025-54410 - Moby’s Firewalld reload removes bridge isolation
  2. docker.io - Debian Package Tracker
  3. Moby GitHub Issue #51731
  4. Tenable Nessus Plugin 243284