'n Kritieke kwesbaarheid (CVE-2022-0811) is geïdentifiseer in CRI-O, 'n looptyd vir die bestuur van geïsoleerde houers, wat jou toelaat om isolasie te omseil en jou kode aan die gasheerstelselkant uit te voer. As CRI-O in plaas van containerd en Docker gebruik word om houers wat onder die Kubernetes-platform loop, te laat loop, kan 'n aanvaller beheer kry oor enige nodus in die Kubernetes-kluster. Om 'n aanval uit te voer, het jy net genoeg regte om jou houer in die Kubernetes-kluster te laat loop.
Die kwesbaarheid word veroorsaak deur die moontlikheid om die kernel sysctl-parameter “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) te verander, waartoe toegang nie geblokkeer is nie, ondanks die feit dat dit nie onder die parameters is wat veilig is om verander, slegs geldig in die naamruimte van die huidige houer. Deur hierdie parameter te gebruik, kan 'n gebruiker vanaf 'n houer die gedrag van die Linux-kern verander met betrekking tot die verwerking van kernlêers aan die kant van die gasheeromgewing en die bekendstelling van 'n arbitrêre opdrag met wortelregte aan die gasheerkant organiseer deur 'n hanteerder soos "|/bin/sh -c 'opdragte'" .
Die probleem is teenwoordig sedert die vrystelling van CRI-O 1.19.0 en is opgelos in opdaterings 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 en 1.24.0. Onder die verspreidings verskyn die probleem in die Red Hat OpenShift Container Platform en openSUSE/SUSE-produkte, wat die cri-o-pakket in hul bewaarplekke het.
Bron: opennet.ru