Eraldatud konteinerite haldamise käituskeskkonnas CRI-O on tuvastatud kriitiline haavatavus (CVE-2022-0811), mis võimaldab teil isolatsioonist mööda minna ja oma koodi hostsüsteemi poolel käivitada. Kui Kubernetese platvormi all töötavate konteinerite käitamiseks kasutatakse konteinerite asemel CRI-O-d ja Dockerit, võib ründaja saada kontrolli Kubernetese klastri mis tahes sõlme üle. Rünnaku läbiviimiseks on teil ainult piisavalt õigusi oma konteineri käitamiseks Kubernetese klastris.
Haavatavuse põhjustab võimalus muuta kerneli sysctl parameetrit "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), millele juurdepääsu ei blokeeritud, hoolimata asjaolust, et see ei kuulu ohutute parameetrite hulka. muutus, kehtib ainult praeguse konteineri nimeruumis. Seda parameetrit kasutades saab konteinerist kasutaja muuta Linuxi kerneli käitumist põhifailide töötlemisel hostikeskkonna poolel ja korraldada suvalise juurõigustega käsu käivitamist hosti poolel, määrates näiteks töötleja. “|/bin/sh -c 'käsud'” .
Probleem on ilmnenud alates CRI-O 1.19.0 väljalaskmisest ja see parandati värskendustes 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ja 1.24.0. Distributsioonidest ilmneb probleem Red Hat OpenShift Container Platformis ja openSUSE/SUSE toodetes, mille hoidlates on cri-o pakett.
Allikas: opennet.ru