In krityske kwetsberens (CVE-2022-0811) is identifisearre yn CRI-O, in runtime foar it behearen fan isolearre konteners, wêrmei jo isolaasje kinne omgean en jo koade útfiere oan 'e kant fan it hostsysteem. As CRI-O wurdt brûkt ynstee fan containerd en Docker om konteners út te fieren dy't ûnder it Kubernetes-platfoarm rinne, kin in oanfaller kontrôle krije oer elke knooppunt yn it Kubernetes-kluster. Om in oanfal út te fieren, hawwe jo allinich genôch rjochten om jo kontener yn it Kubernetes-kluster út te fieren.
De kwetsberens wurdt feroarsake troch de mooglikheid fan it feroarjen fan de kernel sysctl parameter "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), tagong dêr't net blokkearre waard, nettsjinsteande it feit dat it net ûnder de parameters feilich is foar wizigje, allinich jildich yn nammeromte fan 'e hjoeddeistige kontener. Mei dizze parameter kin in brûker fan in kontener it gedrach fan 'e Linux-kernel feroarje oangeande it ferwurkjen fan kearnbestannen oan' e kant fan 'e host-omjouwing en organisearje de lansearring fan in willekeurige kommando mei root-rjochten op' e host-kant troch it opjaan fan in handler lykas "|/bin/sh -c 'kommando's'" .
It probleem is oanwêzich sûnt de frijlitting fan CRI-O 1.19.0 en waard reparearre yn updates 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 en 1.24.0. Under de distribúsjes ferskynt it probleem yn it Red Hat OpenShift Container Platform en openSUSE / SUSE-produkten, dy't it cri-o-pakket yn har repositories hawwe.
Boarne: opennet.ru