በCRI-O ውስጥ ወሳኝ ተጋላጭነት (CVE-2022-0811) ተለይቷል፣ ይህም የተለዩ ኮንቴይነሮችን ለማስተዳደር የሚያገለግል የጊዜ አቆጣጠር ሲሆን ይህም በአስተናጋጅ ስርዓቱ ላይ የመገለል ማለፊያ እና የኮድ አፈፃፀም እንዲኖር ያስችላል። CRI-O ኮንቴይነሮችን ከመጠቀም ይልቅ ኮንቴይነሮችን እና ዶከርን በኩበርኔቴስ መድረክ ላይ የሚያሄዱ ኮንቴይነሮችን ለማስጀመር ጥቅም ላይ ከዋለ፣ አጥቂ በኩበርኔቴስ ክላስተር ውስጥ ያለውን ማንኛውንም ኖድ መቆጣጠር ይችላል። ጥቃቱ የሚያስፈልገው በኩበርኔቴስ ክላስተር ውስጥ ኮንቴይነር የማስጀመር መብቶችን ብቻ ነው።
ተጋላጭነቱ የሚከሰተው በአሁኑ ኮንቴይነር የስም ቦታ ውስጥ ብቻ የሚሰሩ ደህንነቱ የተጠበቀ-ለማሻሻል መለኪያዎች መካከል ባይሆንም፣ የከርነል sysctl መለኪያ "kernel.core_pattern" (/proc/sys/kernel/core_pattern) የመቀየር ችሎታ ሲሆን፣ መዳረሻው ግን አልተዘጋም። ይህንን መለኪያ በመጠቀም፣ በመያዣው ውስጥ ያለ ተጠቃሚ የከርነል ባህሪን መቀየር ይችላል። Linux በአስተናጋጅ አካባቢ በኩል ዋና ፋይሎችን በማስኬድ ረገድ እና በአስተናጋጅ በኩል የስር መብቶች ያሉት የዘፈቀደ ትዕዛዝ እንዲጀመር ማደራጀት "|/bin/sh -c 'commands'" አይነት ተቆጣጣሪን በመግለጽ።
ችግሩ ከCRI-O 1.19.0 ጀምሮ የነበረ ሲሆን በዝማኔዎች 1.19.6፣ 1.20.7፣ 1.21.6፣ 1.22.3፣ 1.23.2 እና 1.24.0 ላይ ተስተካክሏል። የተጎዱት የተወሰኑ ስርጭቶች Red Hat OpenShift Container Platform እና openSUSE/SUSE ያካትታሉ፣ እነዚህም በክሪስቶራዎቻቸው ውስጥ የክሪ-ኦ ፓኬጅን ይይዛሉ።
ምንጭ: opennet.ru
