Kritična ranjivost (CVE-2022-0811) identificirana je u CRI-O, runtimeu za upravljanje izoliranim spremnicima, koji vam omogućuje da zaobiđete izolaciju i izvršite svoj kod na strani glavnog sustava. Ako se CRI-O koristi umjesto kontejnera i Dockera za pokretanje kontejnera koji rade pod platformom Kubernetes, napadač može preuzeti kontrolu nad bilo kojim čvorom u klasteru Kubernetes. Da biste izvršili napad, imate samo dovoljno prava da pokrenete svoj spremnik u Kubernetes klasteru.
Ranjivost je uzrokovana mogućnošću promjene sysctl parametra jezgre “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”), kojem pristup nije bio blokiran, unatoč činjenici da nije među parametrima sigurnim za promjena, važeća samo u prostoru imena trenutnog spremnika. Pomoću ovog parametra korisnik iz spremnika može promijeniti ponašanje jezgre Linuxa s obzirom na obradu datoteka jezgre na strani glavnog okruženja i organizirati pokretanje proizvoljne naredbe s root pravima na strani glavnog računala određivanjem rukovatelja poput “|/bin/sh -c 'naredbe'” .
Problem je prisutan od izdanja CRI-O 1.19.0 i riješen je u ažuriranjima 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 i 1.24.0. Među distribucijama, problem se pojavljuje u Red Hat OpenShift Container Platform i openSUSE/SUSE proizvodima, koji imaju cri-o paket u svojim spremištima.
Izvor: opennet.ru