Ahultasun kritiko bat (CVE-2022-0811) identifikatu da CRI-O-n, isolatutako edukiontzien kudeaketarako exekuzio-denboran, isolamendua saihestu eta zure kodea ostalari-sistemaren aldean exekutatzeko aukera ematen duena. CRI-O containerd eta Dockerren ordez Kubernetes plataformaren azpian exekutatzeko edukiontziak exekutatzeko erabiltzen bada, erasotzaileak Kubernetes klusterreko edozein nodoren kontrola lor dezake. Eraso bat egiteko, zure edukiontzia Kubernetes klusterrean exekutatzeko adina eskubide baino ez dituzu.
Ahultasuna nukleoaren sysctl parametroa "kernel.core_pattern" ("/proc/sys/kernel/core_pattern") aldatzeko aukerak eragiten du, eta horretarako sarbidea blokeatu ez zen, parametro seguruen artean ez dagoen arren. aldaketa, oraingo edukiontziaren izen-espazioan soilik balio duena. Parametro hau erabiliz, edukiontzi bateko erabiltzaileak Linux kernelaren portaera alda dezake ostalari-ingurunearen alboan dauden core fitxategiak prozesatzeari dagokionez eta ostalari aldean erro-eskubideak dituen komando arbitrario bat abiarazteko antola dezake kudeatzaile bat zehaztuz. β|/bin/sh -c 'aginduak'β .
Arazoa CRI-O 1.19.0 kaleratu zenetik dago eta 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 eta 1.24.0 eguneraketetan konpondu zen. Banaketen artean, arazoa Red Hat OpenShift Container Platform-en eta openSUSE/SUSE produktuetan agertzen da, beren biltegietan cri-o paketea baitute.
Iturria: opennet.ru