تم التعرف على ثغرة أمنية حرجة (CVE-2022-0811) في CRI-O، وهو وقت تشغيل لإدارة الحاويات المعزولة، والذي يسمح لك بتجاوز العزل وتنفيذ التعليمات البرمجية الخاصة بك على جانب النظام المضيف. إذا تم استخدام CRI-O بدلاً من Containerd وDocker لتشغيل الحاويات التي تعمل ضمن النظام الأساسي Kubernetes، فيمكن للمهاجم التحكم في أي عقدة في مجموعة Kubernetes. لتنفيذ هجوم، لديك فقط الحقوق الكافية لتشغيل الحاوية الخاصة بك في مجموعة Kubernetes.
سبب الثغرة هو إمكانية تغيير معلمة kernel sysctl "kernel.core_pattern" ("/proc/sys/kernel/core_pattern")، والتي لم يتم حظر الوصول إليها، على الرغم من أنها ليست من بين المعلمات الآمنة تغيير صالح فقط في مساحة الاسم للحاوية الحالية. باستخدام هذه المعلمة، يمكن لمستخدم من حاوية تغيير سلوك نواة Linux فيما يتعلق بمعالجة الملفات الأساسية على جانب البيئة المضيفة وتنظيم إطلاق أمر عشوائي مع حقوق الجذر على الجانب المضيف عن طريق تحديد معالج مثل "|/bin/sh -c 'الأوامر'" .
كانت المشكلة موجودة منذ إصدار CRI-O 1.19.0 وتم إصلاحها في التحديثات 1.19.6 و1.20.7 و1.21.6 و1.22.3 و1.23.2 و1.24.0. من بين التوزيعات، تظهر المشكلة في منصة Red Hat OpenShift Container Platform ومنتجات openSUSE/SUSE، التي تحتوي على حزمة cri-o في مستودعاتها.
المصدر: opennet.ru