Kriittinen haavoittuvuus (CVE-2022-0811) on tunnistettu CRI-O:ssa, ajonaikaisessa eristettyjen säiliöiden hallintaan. Sen avulla voit ohittaa eristyksen ja suorittaa koodisi isäntäjärjestelmän puolella. Jos CRI-O:ta käytetään säilön ja Dockerin sijaan Kubernetes-alustan alla toimivien säiliöiden suorittamiseen, hyökkääjä voi saada hallintaansa Kubernetes-klusterin minkä tahansa solmun. Hyökkäyksen suorittamiseksi sinulla on vain tarpeeksi oikeuksia käyttää säilöäsi Kubernetes-klusterissa.
Haavoittuvuuden aiheuttaa mahdollisuus muuttaa ytimen sysctl-parametria "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), johon pääsyä ei estetty, vaikka se ei ole turvallisten parametrien joukossa. muutos, voimassa vain nykyisen säilön nimiavaruudessa. Tämän parametrin avulla säilön käyttäjä voi muuttaa Linux-ytimen käyttäytymistä ydintiedostojen käsittelyn suhteen isäntäympäristön puolella ja järjestää mielivaltaisen komennon käynnistämisen pääkäyttäjän puolella määrittämällä käsittelijän, kuten "|/bin/sh -c 'komennot'" .
Ongelma on ollut olemassa CRI-O 1.19.0:n julkaisusta lähtien, ja se korjattiin päivityksillä 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ja 1.24.0. Jakeluista ongelma ilmenee Red Hat OpenShift Container Platformissa ja openSUSE/SUSE-tuotteissa, joiden arkistoissa on cri-o-paketti.
Lähde: opennet.ru