CRI-O માં નબળાઈ કે જે યજમાન પર્યાવરણમાં રૂટ એક્સેસની મંજૂરી આપે છે

CRI-O માં એક મહત્વપૂર્ણ નબળાઈ (CVE-2022-0811) ઓળખવામાં આવી છે, જે આઇસોલેટેડ કન્ટેનરનું સંચાલન કરવા માટેનો રનટાઇમ છે, જે હોસ્ટ સિસ્ટમ પર આઇસોલેશન બાયપાસ અને કોડ એક્ઝેક્યુશન માટે પરવાનગી આપે છે. જો કુબર્નેટ્સ પ્લેટફોર્મ પર ચાલતા કન્ટેનર લોન્ચ કરવા માટે કન્ટેનર અને ડોકરને બદલે CRI-O નો ઉપયોગ કરવામાં આવે છે, તો હુમલાખોર કુબર્નેટ્સ ક્લસ્ટરમાં કોઈપણ નોડનું નિયંત્રણ મેળવી શકે છે. કુબર્નેટ્સ ક્લસ્ટરમાં કન્ટેનર લોન્ચ કરવા માટે હુમલા માટે ફક્ત વિશેષાધિકારોની જરૂર પડે છે.

આ નબળાઈ કર્નલ sysctl પેરામીટર "kernel.core_pattern" (/proc/sys/kernel/core_pattern) ને સંશોધિત કરવાની ક્ષમતાને કારણે છે, જેની ઍક્સેસ અવરોધિત નહોતી, તે હકીકત હોવા છતાં કે તે સુરક્ષિત-થી-સંશોધિત પરિમાણોમાં નથી જે ફક્ત વર્તમાન કન્ટેનરના નેમસ્પેસમાં માન્ય છે. આ પેરામીટરનો ઉપયોગ કરીને, કન્ટેનરમાંનો વપરાશકર્તા કર્નલ વર્તણૂક બદલી શકે છે. Linux હોસ્ટ એન્વાયર્નમેન્ટ બાજુ પર કોર ફાઇલોની પ્રક્રિયા કરવાના સંદર્ભમાં અને "|/bin/sh -c 'કમાન્ડ્સ'" પ્રકારના હેન્ડલરનો ઉલ્લેખ કરીને હોસ્ટ બાજુ પર રૂટ અધિકારો સાથે મનસ્વી આદેશના લોન્ચનું આયોજન કરો.

આ સમસ્યા CRI-O 1.19.0 થી હાજર છે અને તેને અપડેટ્સ 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2, અને 1.24.0 માં સુધારેલ છે. અસરગ્રસ્ત ચોક્કસ વિતરણોમાં Red Hat OpenShift કન્ટેનર પ્લેટફોર્મ અને openSUSE/SUSEનો સમાવેશ થાય છે, જે તેમના ભંડારમાં cri-o પેકેજ ધરાવે છે.

સોર્સ: opennet.ru