V CRI-O, běhovém prostředí pro správu izolovaných kontejnerů, byla identifikována kritická chyba zabezpečení (CVE-2022-0811), která umožňuje obejít izolaci a spustit kód na straně hostitelského systému. Pokud se místo kontejnerů a Dockeru používá CRI-O ke spouštění kontejnerů běžících na platformě Kubernetes, může útočník získat kontrolu nad jakýmkoli uzlem v clusteru Kubernetes. K provedení útoku máte dostatek práv pouze ke spuštění svého kontejneru v clusteru Kubernetes.
Zranitelnost je způsobena možností změny parametru sysctl jádra „kernel.core_pattern“ („/proc/sys/kernel/core_pattern“), ke kterému nebyl zablokován přístup, přestože nepatří mezi parametry bezpečné pro změna, platná pouze ve jmenném prostoru aktuálního kontejneru. Pomocí tohoto parametru může uživatel z kontejneru změnit chování linuxového jádra s ohledem na zpracování základních souborů na straně hostitelského prostředí a organizovat spuštění libovolného příkazu s právy root na straně hostitele zadáním obslužné rutiny, jako je “|/bin/sh -c 'příkazy'” .
Problém se vyskytuje od vydání CRI-O 1.19.0 a byl opraven v aktualizacích 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 a 1.24.0. Mezi distribucemi se problém objevuje v Red Hat OpenShift Container Platform a openSUSE/SUSE produktech, které mají balíček cri-o ve svých repozitářích.
Zdroj: opennet.ru