CRI-O-ում հայտնաբերվել է կրիտիկական խոցելիություն (CVE-2022-0811), որը մեկուսացված կոնտեյներների կառավարման ժամանակ է, որը թույլ է տալիս շրջանցել մեկուսացումը և կատարել ձեր կոդը հյուրընկալող համակարգի կողմից: Եթե CRI-O-ն օգտագործվում է Containerd-ի և Docker-ի փոխարեն՝ Kubernetes պլատֆորմի տակ աշխատող կոնտեյներներ գործարկելու համար, հարձակվողը կարող է վերահսկողություն ձեռք բերել Kubernetes կլաստերի ցանկացած հանգույցի վրա: Հարձակում իրականացնելու համար դուք ունեք բավարար իրավունքներ՝ ձեր բեռնարկղը Kubernetes կլաստերում գործարկելու համար:
Խոցելիությունը պայմանավորված է միջուկի sysctl «kernel.core_pattern» («/proc/sys/kernel/core_pattern») պարամետրը փոխելու հնարավորությամբ, որի մուտքն արգելափակված չէր, չնայած այն հանգամանքին, որ այն անվտանգ պարամետրերի թվում չէ: փոփոխություն, վավեր է միայն ընթացիկ կոնտեյների անունների տարածքում: Օգտագործելով այս պարամետրը, կոնտեյներից օգտվողը կարող է փոխել Linux միջուկի վարքագիծը՝ կապված հիմնական ֆայլերի մշակման հետ հյուրընկալող միջավայրի կողմում և կազմակերպել կամայական հրամանի գործարկումը արմատային իրավունքներով հյուրընկալողի կողմից՝ նշելով կարգավորիչ, ինչպիսին է. «|/bin/sh -c 'հրամաններ'» .
Խնդիրն առկա է CRI-O 1.19.0-ի թողարկումից ի վեր և շտկվել է 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 և 1.24.0 թարմացումներում: Բաշխումների շարքում խնդիրը հայտնվում է Red Hat OpenShift Container Platform-ում և openSUSE/SUSE արտադրանքներում, որոնք ունեն cri-o փաթեթը իրենց պահեստներում։
Source: opennet.ru