CRI-O-da, təcrid olunmuş konteynerləri idarə etmək üçün iş vaxtı olan kritik zəiflik (CVE-2022-0811) müəyyən edilmişdir ki, bu da sizə izolyasiyadan keçməyə və kodunuzu host sistem tərəfində icra etməyə imkan verir. Kubernetes platforması altında işləyən konteynerləri işə salmaq üçün konteyner və Docker əvəzinə CRI-O istifadə edilərsə, təcavüzkar Kubernetes klasterindəki istənilən node üzərində nəzarəti ələ keçirə bilər. Hücum etmək üçün yalnız Kubernetes klasterində konteynerinizi idarə etmək üçün kifayət qədər hüququnuz var.
Zəiflik, təhlükəsiz parametrlər sırasında olmamasına baxmayaraq, girişi bloklanmamış “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) kernel sysctl parametrinin dəyişdirilməsi imkanından qaynaqlanır. dəyişiklik, yalnız cari konteynerin ad məkanında etibarlıdır. Bu parametrdən istifadə edərək, konteynerdən olan istifadəçi host mühitinin tərəfində əsas faylların işlənməsi ilə bağlı Linux nüvəsinin davranışını dəyişə bilər və ana tərəfdə kök hüquqları ilə ixtiyari əmrin işə salınmasını təşkil edə bilər. “|/bin/sh -c 'əmrlər'” .
Problem CRI-O 1.19.0 buraxılışından bəri mövcuddur və 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 və 1.24.0 yeniləmələrində həll edilmişdir. Dağıtımlar arasında problem Red Hat OpenShift Konteyner Platforması və anbarlarında cri-o paketi olan openSUSE/SUSE məhsullarında görünür.
Mənbə: opennet.ru