Ένα κρίσιμο θέμα ευπάθειας (CVE-2022-0811) εντοπίστηκε στο CRI-O, ένα runtime για τη διαχείριση απομονωμένων κοντέινερ, που επιτρέπει σε έναν εισβολέα να παρακάμψει την απομόνωση και να εκτελέσει τον κώδικά του από την πλευρά του συστήματος υποδοχής. Εάν χρησιμοποιηθεί το CRI-O αντί για το containerd και το Docker για την οργάνωση της εκκίνησης κοντέινερ που εκτελούνται στην πλατφόρμα Kubernetes, ένας εισβολέας μπορεί να αποκτήσει τον έλεγχο οποιουδήποτε κόμβου στο σύμπλεγμα Kubernetes. Για να πραγματοποιήσει την επίθεση, αρκεί να έχει τα δικαιώματα εκκίνησης του κοντέινερ του στο σύμπλεγμα Kubernetes.
Η ευπάθεια προκαλείται από τη δυνατότητα τροποποίησης της παραμέτρου sysctl του πυρήνα "kernel.core_pattern" (/proc/sys/kernel/core_pattern), η πρόσβαση στην οποία δεν αποκλείστηκε, παρά το γεγονός ότι δεν περιλαμβάνεται στις παραμέτρους ασφαλούς τροποποίησης που ισχύουν μόνο στον τρέχοντα χώρο ονομάτων του κοντέινερ. Χρησιμοποιώντας αυτήν την παράμετρο, ένας χρήστης εντός του κοντέινερ μπορεί να αλλάξει τη συμπεριφορά του πυρήνα. Linux όσον αφορά την επεξεργασία αρχείων πυρήνα στην πλευρά του περιβάλλοντος κεντρικού υπολογιστή και να οργανώσετε την εκκίνηση μιας αυθαίρετης εντολής με δικαιώματα root στην πλευρά του κεντρικού υπολογιστή καθορίζοντας έναν χειριστή του τύπου "|/bin/sh -c 'commands'".
Το πρόβλημα εμφανίζεται από την κυκλοφορία του CRI-O 1.19.0 και διορθώθηκε στις ενημερώσεις 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 και 1.24.0. Μεταξύ των διανομών, το πρόβλημα εμφανίζεται στα προϊόντα Red Hat OpenShift Container Platform και openSUSE/SUSE, στα αποθετήρια των οποίων υπάρχει ένα πακέτο cri-o.
Πηγή: opennet.ru
