Kritična ranjivost (CVE-2022-0811) je identifikovana u CRI-O, vremenu izvođenja za upravljanje izolovanim kontejnerima, koja vam omogućava da zaobiđete izolaciju i izvršite svoj kod na strani host sistema. Ako se CRI-O koristi umjesto kontejnera i Dockera za pokretanje kontejnera koji rade pod Kubernetes platformom, napadač može dobiti kontrolu nad bilo kojim čvorom u Kubernetes klasteru. Da biste izvršili napad, imate dovoljno prava samo da pokrenete svoj kontejner u Kubernetes klasteru.
Ranjivost je uzrokovana mogućnošću promjene sysctl parametra kernela “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”), kojem pristup nije bio blokiran, uprkos činjenici da se ne nalazi među parametrima bezbednim za promjena, vrijedi samo u imenskom prostoru trenutnog kontejnera. Koristeći ovaj parametar, korisnik iz kontejnera može promijeniti ponašanje Linux kernela u pogledu obrade osnovnih datoteka na strani domaćinskog okruženja i organizirati pokretanje proizvoljne naredbe s root pravima na strani hosta specificiranjem rukovatelja kao što je “|/bin/sh -c 'naredbe'” .
Problem je prisutan od izdanja CRI-O 1.19.0 i popravljen je u ažuriranjima 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 i 1.24.0. Među distribucijama, problem se pojavljuje u Red Hat OpenShift Container Platform i openSUSE/SUSE proizvodima, koji imaju cri-o paket u svojim repozitorijumima.
izvor: opennet.ru