פגיעות ב-CRI-O המאפשרת גישת שורש לסביבת המארח

פגיעות קריטית (CVE-2022-0811) זוהתה ב-CRI-O, זמן ריצה לניהול קונטיינרים מבודדים, המאפשר לך לעקוף את הבידוד ולהפעיל את הקוד שלך בצד המערכת המארחת. אם נעשה שימוש ב-CRI-O במקום containerd ו-Docker כדי להפעיל קונטיינרים הפועלים תחת פלטפורמת Kubernetes, תוקף יכול להשיג שליטה על כל צומת באשכול Kubernetes. כדי לבצע התקפה, יש לך רק מספיק זכויות להפעיל את המיכל שלך באשכול Kubernetes.

הפגיעות נגרמת כתוצאה מהאפשרות לשנות את הפרמטר sysctl kernel "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), שהגישה אליו לא נחסמה, למרות העובדה שהוא אינו בין הפרמטרים הבטוחים ל- שינוי, תקף רק במרחב השמות של המכולה הנוכחית. באמצעות פרמטר זה, משתמש ממיכל יכול לשנות את ההתנהגות של ליבת לינוקס ביחס לעיבוד קבצי ליבה בצד של סביבת המארח ולארגן את ההשקה של פקודה שרירותית עם זכויות שורש בצד המארח על ידי ציון מטפל כמו "|/bin/sh -c 'פקודות'" .

הבעיה קיימת מאז שחרורו של CRI-O 1.19.0 ותוקנה בעדכונים 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ו-1.24.0. בין ההפצות, הבעיה מופיעה ב-Red Hat OpenShift Container Platform ובמוצרי openSUSE/SUSE, אשר במאגרים שלהם יש את חבילת cri-o.

מקור: OpenNet.ru