Une vulnérabilité critique (CVE-2022-0811) a été identifiée dans CRI-O, un runtime de gestion de conteneurs isolés, qui vous permet de contourner l'isolation et d'exécuter votre code côté système hôte. Si CRI-O est utilisé à la place de containersd et Docker pour exécuter des conteneurs exécutés sous la plate-forme Kubernetes, un attaquant peut prendre le contrôle de n'importe quel nœud du cluster Kubernetes. Pour mener une attaque, vous disposez uniquement des droits suffisants pour exécuter votre conteneur dans le cluster Kubernetes.
La vulnérabilité est causée par la possibilité de modifier le paramètre sysctl du noyau « kernel.core_pattern » (« /proc/sys/kernel/core_pattern »), dont l'accès n'a pas été bloqué, bien qu'il ne fasse pas partie des paramètres sûrs. changement, valable uniquement dans l'espace de noms du conteneur actuel. Grâce à ce paramètre, un utilisateur d'un conteneur peut modifier le comportement du noyau Linux concernant le traitement des fichiers core du côté de l'environnement hôte et organiser le lancement d'une commande arbitraire avec les droits root du côté de l'hôte en spécifiant un gestionnaire comme « |/bin/sh -c 'commandes' » .
Le problème est présent depuis la sortie de CRI-O 1.19.0 et a été corrigé dans les mises à jour 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 et 1.24.0. Parmi les distributions, le problème apparaît dans les produits Red Hat OpenShift Container Platform et openSUSE/SUSE, qui ont le package cri-o dans leurs référentiels.
Source: opennet.ru