Kritikus biztonsági rést (CVE-2022-0811) azonosítottak a CRI-O-ban, az elszigetelt tárolók kezelésére szolgáló futási környezetben, amely lehetővé teszi az elkülönítés megkerülését és a kód futtatását a gazdarendszer oldalán. Ha CRI-O-t használunk a konténerek és a Docker helyett a Kubernetes platform alatt futó tárolók futtatásához, a támadó átveheti az irányítást a Kubernetes-fürt bármely csomópontja felett. Támadás végrehajtásához csak annyi joga van, hogy a Kubernetes-fürtben futtassa a tárolót.
A sérülékenységet a kernel sysctl „kernel.core_pattern” („/proc/sys/kernel/core_pattern”) paraméterének megváltoztatásának lehetősége okozza, amelyhez való hozzáférés nem volt blokkolva, annak ellenére, hogy nem tartozik a biztonságos paraméterek közé. változás, csak az aktuális tároló névterében érvényes. Ezzel a paraméterrel a tárolóból származó felhasználó megváltoztathatja a Linux kernel viselkedését a központi fájlok feldolgozásával kapcsolatban a gazdagép oldalán, és megszervezheti egy tetszőleges parancs indítását root jogokkal a gazdagép oldalon egy kezelő megadásával, mint pl. “|/bin/sh -c 'parancsok'” .
A probléma a CRI-O 1.19.0 kiadása óta fennáll, és az 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 és 1.24.0 frissítésekkel javították. A disztribúciók közül a probléma a Red Hat OpenShift Container Platformban és az openSUSE/SUSE termékekben jelenik meg, amelyek tárolóiban megtalálható a cri-o csomag.
Forrás: opennet.ru