CRI-O-তে দুর্বলতা যা হোস্ট পরিবেশে রুট অ্যাক্সেসের অনুমতি দেয়

CRI-O-তে একটি জটিল দুর্বলতা (CVE-2022-0811) চিহ্নিত করা হয়েছে, বিচ্ছিন্ন কন্টেইনারগুলি পরিচালনার জন্য একটি রানটাইম, যা আপনাকে বিচ্ছিন্নতা বাইপাস করতে এবং হোস্ট সিস্টেমের দিকে আপনার কোড কার্যকর করতে দেয়। Kubernetes প্ল্যাটফর্মের অধীনে চলমান কন্টেইনারগুলি চালানোর জন্য কন্টেইনার এবং ডকারের পরিবর্তে CRI-O ব্যবহার করা হলে, একজন আক্রমণকারী কুবারনেটস ক্লাস্টারের যেকোনো নোডের নিয়ন্ত্রণ অর্জন করতে পারে। আক্রমণ চালানোর জন্য, কুবারনেটস ক্লাস্টারে আপনার কন্টেইনার চালানোর জন্য আপনার যথেষ্ট অধিকার আছে।

কার্নেল sysctl প্যারামিটার “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) পরিবর্তন করার সম্ভাবনার কারণে দুর্বলতা সৃষ্টি হয়, যেটিতে অ্যাক্সেস ব্লক করা হয়নি, যদিও এটি পরামিতিগুলির মধ্যে নিরাপদ নয় পরিবর্তন, শুধুমাত্র বর্তমান পাত্রের নামস্থানে বৈধ। এই পরামিতিটি ব্যবহার করে, একটি কন্টেইনার থেকে একজন ব্যবহারকারী হোস্ট পরিবেশের পাশের মূল ফাইলগুলি প্রক্রিয়াকরণের ক্ষেত্রে লিনাক্স কার্নেলের আচরণ পরিবর্তন করতে পারে এবং একটি হ্যান্ডলার নির্দিষ্ট করে হোস্ট সাইডে রুট অধিকার সহ একটি স্বেচ্ছাচারী কমান্ড চালু করার আয়োজন করতে পারে। “|/bin/sh -c 'কমান্ডস'”।

CRI-O 1.19.0 প্রকাশের পর থেকে সমস্যাটি উপস্থিত রয়েছে এবং 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 এবং 1.24.0 আপডেটে সংশোধন করা হয়েছে৷ বিতরণগুলির মধ্যে, সমস্যাটি Red Hat OpenShift কন্টেইনার প্ল্যাটফর্ম এবং openSUSE/SUSE পণ্যগুলিতে প্রদর্শিত হয়, যেগুলির সংগ্রহস্থলে cri-o প্যাকেজ রয়েছে।

উত্স: opennet.ru