Kerentanan kritis (CVE-2022-0811) wis diidentifikasi ing CRI-O, runtime kanggo ngatur wadhah terisolasi, sing ngidini sampeyan ngliwati isolasi lan nglakokake kode sampeyan ing sisih sistem host. Yen CRI-O digunakake tinimbang containerd lan Docker kanggo mbukak wadah sing mlaku ing platform Kubernetes, panyerang bisa ngontrol simpul apa wae ing kluster Kubernetes. Kanggo nindakake serangan, sampeyan mung duwe hak sing cukup kanggo mbukak wadhah sampeyan ing kluster Kubernetes.
Kerentanan kasebut disebabake kamungkinan ngganti parameter sysctl kernel "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), akses sing ora diblokir, senadyan kasunyatan sing ora ana ing antarane paramèter sing aman. owah-owahan, mung sah ing namespace saka wadhah saiki. Nggunakake parameter iki, pangguna saka wadhah bisa ngganti prilaku kernel Linux babagan ngolah file inti ing sisih lingkungan host lan ngatur peluncuran perintah sing sewenang-wenang kanthi hak root ing sisih host kanthi nemtokake panangan kaya. "|/bin/sh -c 'prentah'" .
Masalah wis ana wiwit release saka CRI-O 1.19.0 lan didandani ing nganyari 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 lan 1.24.0. Antarane distribusi, masalah kasebut katon ing Red Hat OpenShift Container Platform lan produk openSUSE / SUSE, sing duwe paket cri-o ing repositori.
Source: opennet.ru