Εντοπίστηκε μια κρίσιμη ευπάθεια (CVE-2022-0811) στο CRI-O, ένας χρόνος εκτέλεσης για τη διαχείριση απομονωμένων κοντέινερ, που σας επιτρέπει να παρακάμψετε την απομόνωση και να εκτελέσετε τον κώδικά σας στην πλευρά του συστήματος κεντρικού υπολογιστή. Εάν το CRI-O χρησιμοποιείται αντί για το containerd και το Docker για την εκτέλεση κοντέινερ που εκτελούνται κάτω από την πλατφόρμα Kubernetes, ένας εισβολέας μπορεί να αποκτήσει τον έλεγχο οποιουδήποτε κόμβου στο σύμπλεγμα Kubernetes. Για να πραγματοποιήσετε μια επίθεση, έχετε μόνο αρκετά δικαιώματα για να εκτελέσετε το κοντέινερ σας στο σύμπλεγμα Kubernetes.
Η ευπάθεια προκαλείται από τη δυνατότητα αλλαγής της παραμέτρου kernel sysctl "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), η πρόσβαση στην οποία δεν αποκλείστηκε, παρά το γεγονός ότι δεν είναι μεταξύ των παραμέτρων με ασφάλεια αλλαγή, ισχύει μόνο στον χώρο ονομάτων του τρέχοντος κοντέινερ. Χρησιμοποιώντας αυτήν την παράμετρο, ένας χρήστης από ένα κοντέινερ μπορεί να αλλάξει τη συμπεριφορά του πυρήνα Linux σε σχέση με την επεξεργασία των βασικών αρχείων στο πλάι του περιβάλλοντος κεντρικού υπολογιστή και να οργανώσει την εκκίνηση μιας αυθαίρετης εντολής με δικαιώματα ρίζας στην πλευρά του κεντρικού υπολογιστή, καθορίζοντας έναν χειριστή όπως "|/bin/sh -c 'εντολές'" .
Το πρόβλημα είναι παρόν από την κυκλοφορία του CRI-O 1.19.0 και επιδιορθώθηκε στις ενημερώσεις 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 και 1.24.0. Μεταξύ των διανομών, το πρόβλημα εμφανίζεται στην πλατφόρμα Red Hat OpenShift Container και στα προϊόντα openSUSE/SUSE, που έχουν το πακέτο cri-o στα αποθετήρια τους.
Πηγή: opennet.ru