Kritika vundebleco (CVE-2022-0811) estis identigita en CRI-O, rultempo por administri izolitajn ujojn, kiu ebligas al vi preteriri izolitecon kaj efektivigi vian kodon ĉe la gastiga sistemo. Se CRI-O estas uzata anstataŭ containerd kaj Docker por ruli ujojn kurantajn sub la Kubernetes-platformo, atakanto povas akiri kontrolon de iu ajn nodo en la Kubernetes-areo. Por fari atakon, vi nur havas sufiĉajn rajtojn por ruli vian ujon en la Kubernetes-grupo.
La vundebleco estas kaŭzita de la ebleco ŝanĝi la kernan sysctl-parametron "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), al kiu aliro ne estis blokita, malgraŭ ke ĝi ne estas inter la parametroj sekuraj por ŝanĝo, valida nur en nomspaco de la nuna ujo. Uzante ĉi tiun parametron, uzanto de ujo povas ŝanĝi la konduton de la Linukso-kerno koncerne prilaboradon de kernaj dosieroj flanke de la gastiga medio kaj organizi la lanĉon de arbitra komando kun radikrajtoj ĉe la gastiganta flanko per specifo de prizorganto kiel “|/bin/sh -c 'komandoj'” .
La problemo ĉeestas ekde la liberigo de CRI-O 1.19.0 kaj estis riparita en ĝisdatigoj 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 kaj 1.24.0. Inter la distribuoj, la problemo aperas en la Red Hat OpenShift Container Platform kaj openSUSE/SUSE-produktoj, kiuj havas la cri-o-pakaĵon en siaj deponejoj.
fonto: opennet.ru