በ CRI-O ውስጥ ወሳኝ ተጋላጭነት (CVE-2022-0811) ተለይቷል፣ ገለልተኛ ኮንቴይነሮችን ለማስተዳደር በሚሰራበት ጊዜ፣ ይህም ማግለልን እንዲያልፉ እና ኮድዎን በአስተናጋጅ ስርዓት በኩል እንዲፈጽሙ ያስችልዎታል። CRI-O ከመያዣው ይልቅ እና ዶከር በ Kubernetes መድረክ ስር የሚሰሩ ኮንቴይነሮችን ለማስኬድ ጥቅም ላይ የሚውል ከሆነ አጥቂ በኩበርኔትስ ክላስተር ውስጥ ያለውን ማንኛውንም መስቀለኛ መንገድ መቆጣጠር ይችላል። ጥቃት ለመፈጸም፣ መያዣዎን በኩበርኔትስ ክላስተር ውስጥ ለማስኬድ በቂ መብቶች ብቻ ነው ያለዎት።
ተጋላጭነቱ የከርነል sysctl መለኪያን “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) የመቀየር እድል በመፈጠሩ ነው፣ ምንም እንኳን ደህንነቱ ከተጠበቀው ልኬቶች ውስጥ ባይሆንም መዳረሻው አልተዘጋም። ለውጥ፣ አሁን ባለው መያዣ የስም ቦታ ብቻ የሚሰራ። ይህንን መመዘኛ በመጠቀም ከኮንቴይነር የመጣ ተጠቃሚ ከአስተናጋጁ አከባቢ ጎን ያሉ ዋና ፋይሎችን ከማስኬድ ጋር በተያያዘ የሊኑክስ ከርነል ባህሪን ሊለውጥ እና እንደ ተቆጣጣሪው በመግለጽ የዘፈቀደ ትእዛዝ በአስተናጋጁ በኩል ከስር መብቶች ጋር መጀመሩን ማደራጀት ይችላል። "|/bin/sh -c 'ትዕዛዞች'" .
ችግሩ CRI-O 1.19.0 ከተለቀቀበት ጊዜ ጀምሮ የነበረ ሲሆን በዝማኔዎች 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 እና 1.24.0 ተስተካክሏል. ከስርጭቶቹ መካከል፣ ችግሩ በ Red Hat OpenShift Container Platform እና openSUSE/SUSE ምርቶች ውስጥ ይታያል፣ ይህም በማከማቻቸው ውስጥ የcri-o ጥቅል ነው።
ምንጭ: opennet.ru