Mikilvægt varnarleysi (CVE-2022-0811) hefur verið greint í CRI-O, keyrslutíma til að stjórna einangruðum gámum, sem gerir þér kleift að komast framhjá einangrun og keyra kóðann þinn á hýsilkerfishlið. Ef CRI-O er notað í stað containerd og Docker til að keyra gáma sem keyra undir Kubernetes pallinum, getur árásarmaður náð stjórn á hvaða hnút sem er í Kubernetes klasanum. Til að framkvæma árás hefurðu aðeins næg réttindi til að keyra gáminn þinn í Kubernetes þyrpingunni.
Veikleikinn stafar af því að hægt er að breyta kjarna sysctl breytunni "kernel.core_pattern" (/proc/sys/kernel/core_pattern), sem aðgangur að var ekki lokaður, þrátt fyrir að hún sé ekki á meðal þeirra breyta sem eru öruggar og aðeins gildar í nafnrými núverandi íláts. Með þessari breytu getur notandi innan ílátsins breytt hegðun kjarnans. Linux með tilliti til vinnslu kjarnaskráa á hýsilumhverfishliðinni og skipuleggja ræsingu handahófskenndrar skipunar með rótarréttindum á hýsilshliðinni með því að tilgreina meðhöndlara af gerðinni "|/bin/sh -c 'skipanir'".
Vandamálið hefur verið til staðar frá útgáfu CRI-O 1.19.0 og var lagað í uppfærslum 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 og 1.24.0. Meðal dreifinganna birtist vandamálið í Red Hat OpenShift Container Platform og openSUSE/SUSE vörum, sem hafa cri-o pakkann í geymslum sínum.
Heimild: opennet.ru
