Mikilvægt varnarleysi (CVE-2022-0811) hefur verið greint í CRI-O, keyrslutíma til að stjórna einangruðum gámum, sem gerir þér kleift að komast framhjá einangrun og keyra kóðann þinn á hýsilkerfishlið. Ef CRI-O er notað í stað containerd og Docker til að keyra gáma sem keyra undir Kubernetes pallinum, getur árásarmaður náð stjórn á hvaða hnút sem er í Kubernetes klasanum. Til að framkvæma árás hefurðu aðeins næg réttindi til að keyra gáminn þinn í Kubernetes þyrpingunni.
Varnarleysið stafar af möguleikanum á að breyta kjarna sysctl færibreytunni „kernel.core_pattern“ (“/proc/sys/kernel/core_pattern“), en aðgangur að henni var ekki lokaður, þrátt fyrir að hún sé ekki meðal færibreytna sem er örugg til að breyting, gildir aðeins í nafnrými núverandi íláts. Með því að nota þessa færibreytu getur notandi úr gámi breytt hegðun Linux kjarnans með tilliti til vinnslu kjarnaskráa á hlið hýsilumhverfisins og skipulagt upphaf handahófskenndrar skipunar með rótarréttindum hýsilmegin með því að tilgreina meðhöndlun eins og "|/bin/sh -c 'skipanir'" .
Vandamálið hefur verið til staðar frá útgáfu CRI-O 1.19.0 og var lagað í uppfærslum 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 og 1.24.0. Meðal dreifinganna birtist vandamálið í Red Hat OpenShift Container Platform og openSUSE/SUSE vörum, sem hafa cri-o pakkann í geymslum sínum.
Heimild: opennet.ru