Yo te idantifye yon vilnerabilite kritik (CVE-2022-0811) nan CRI-O, yon ègzekutabl pou jere resipyan izole, ki pèmèt ou kontoune izolasyon ak egzekite kòd ou sou bò sistèm lame a. Si yo itilize CRI-O olye pou yo containerd ak Docker pou kouri kontenè ki kouri anba platfòm Kubernetes, yon atakè ka pran kontwòl nenpòt ne nan gwoup Kubernetes la. Pou fè yon atak, ou sèlman gen ase dwa pou kouri veso ou nan gwoup Kubernetes la.
Se vilnerabilite a ki te koze pa posiblite pou chanje paramèt kernel sysctl "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), aksè a ki pa te bloke, malgre lefèt ke li pa nan mitan paramèt yo san danje. chanjman, valab sèlman nan namespace nan veso aktyèl la. Lè l sèvi avèk paramèt sa a, yon itilizatè ki soti nan yon veso ka chanje konpòtman nwayo Linux la konsènan pwosesis dosye debaz sou bò anviwònman lame a epi òganize lansman yon kòmandman abitrè ak dwa rasin sou bò lame lè li espesifye yon moun kap okipe tankou. "|/bin/sh -c 'kòmand'" .
Pwoblèm nan te prezan depi liberasyon CRI-O 1.19.0 e li te fiks nan mizajou 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ak 1.24.0. Pami distribisyon yo, pwoblèm nan parèt nan Red Hat OpenShift Container Platform ak pwodwi openSUSE/SUSE, ki gen pake cri-o nan depo yo.
Sous: opennet.ru