In CRI-O, einer Laufzeitumgebung zur Verwaltung isolierter Container, wurde eine kritische Schwachstelle (CVE-2022-0811) identifiziert, die es Ihnen ermöglicht, die Isolation zu umgehen und Ihren Code auf der Seite des Hostsystems auszuführen. Wenn CRI-O anstelle von Containerd und Docker verwendet wird, um Container auszuführen, die unter der Kubernetes-Plattform laufen, kann ein Angreifer die Kontrolle über jeden Knoten im Kubernetes-Cluster erlangen. Um einen Angriff durchzuführen, verfügen Sie lediglich über ausreichende Rechte, um Ihren Container im Kubernetes-Cluster auszuführen.
Die Schwachstelle wird durch die Möglichkeit verursacht, den Kernel-Sysctl-Parameter „kernel.core_pattern“ („/proc/sys/kernel/core_pattern“) zu ändern, dessen Zugriff nicht blockiert wurde, obwohl er nicht zu den sicheren Parametern gehört Änderung, nur im Namespace des aktuellen Containers gültig. Mithilfe dieses Parameters kann ein Benutzer eines Containers das Verhalten des Linux-Kernels hinsichtlich der Verarbeitung von Kerndateien auf der Seite der Host-Umgebung ändern und den Start eines beliebigen Befehls mit Root-Rechten auf der Host-Seite organisieren, indem er einen Handler wie z „|/bin/sh -c 'Befehle'“ .
Das Problem besteht seit der Veröffentlichung von CRI-O 1.19.0 und wurde in den Updates 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 und 1.24.0 behoben. Unter den Distributionen tritt das Problem bei der Red Hat OpenShift Container Platform und openSUSE/SUSE-Produkten auf, deren Repositorys das cri-o-Paket enthalten.
Source: opennet.ru