分離されたコンテナを管理するためのランタイムである CRI-O に重大な脆弱性 (CVE-2022-0811) が特定されました。これにより、分離をバイパスしてホスト システム側でコードを実行できます。 Kubernetes プラットフォームで実行されるコンテナーを実行するために、containerd および Docker の代わりに CRI-O が使用される場合、攻撃者は Kubernetes クラスター内の任意のノードの制御を取得できます。 攻撃を実行するには、Kubernetes クラスターでコンテナーを実行するための十分な権限のみが必要です。
この脆弱性は、カーネル sysctl パラメータ「kernel.core_pattern」(「/proc/sys/kernel/core_pattern」)が変更される可能性によって引き起こされます。このパラメータは安全なパラメータではないにもかかわらず、このパラメータへのアクセスはブロックされませんでした。変更。現在のコンテナの名前空間でのみ有効です。 このパラメーターを使用すると、コンテナーのユーザーは、ホスト環境側でのコア ファイルの処理に関する Linux カーネルの動作を変更し、次のようなハンドラーを指定することで、ホスト側での root 権限による任意のコマンドの起動を整理できます。 “|/bin/sh -c 'コマンド'” 。
この問題は CRI-O 1.19.0 のリリース以来存在しており、アップデート 1.19.6、1.20.7、1.21.6、1.22.3、1.23.2、および 1.24.0 で修正されました。 ディストリビューションの中では、リポジトリに cri-o パッケージが含まれる Red Hat OpenShift Container Platform および openSUSE/SUSE 製品で問題が発生します。
出所: オープンネット.ru