Критикалық осалдық (CVE-2022-0811) оқшаулануды айналып өтуге және хост жүйесінің жағында кодты орындауға мүмкіндік беретін оқшауланған контейнерлерді басқаруға арналған жұмыс уақыты CRI-O ішінде анықталды. Егер Kubernetes платформасы астында жұмыс істейтін контейнерлерді іске қосу үшін контейнер және Docker орнына CRI-O пайдаланылса, шабуылдаушы Kubernetes кластеріндегі кез келген түйінді басқара алады. Шабуыл жасау үшін сізде Кубернетес кластерінде контейнерді іске қосуға жеткілікті құқықтарыңыз бар.
Қауіпсіз параметрлердің қатарында болмағанына қарамастан, кіруге тыйым салынбаған «kernel.core_pattern» («/proc/sys/kernel/core_pattern») ядросының sysctl параметрін өзгерту мүмкіндігі осалдықпен байланысты. өзгерту, тек ағымдағы контейнердің аттар кеңістігінде жарамды. Бұл параметрді пайдалана отырып, контейнердегі пайдаланушы хост ортасының жағындағы негізгі файлдарды өңдеуге қатысты Linux ядросының әрекетін өзгерте алады және келесідей өңдеушіні көрсету арқылы хост жағында түбірлік құқықтары бар ерікті пәрменді іске қосуды ұйымдастыра алады. “|/bin/sh -c 'командалар'” .
Мәселе CRI-O 1.19.0 шығарылымынан бері бар және 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 және 1.24.0 жаңартуларында түзетілді. Таратулардың арасында мәселе Red Hat OpenShift контейнер платформасында және репозиторийлерінде cri-o пакеті бар openSUSE/SUSE өнімдерінде пайда болады.
Ақпарат көзі: opennet.ru