CRI-O ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-0811) ಗುರುತಿಸಲಾಗಿದೆ, ಪ್ರತ್ಯೇಕವಾದ ಕಂಟೈನರ್ಗಳನ್ನು ನಿರ್ವಹಿಸುವ ರನ್ಟೈಮ್, ಇದು ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ಹೋಸ್ಟ್ ಸಿಸ್ಟಮ್ ಬದಿಯಲ್ಲಿ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಕುಬರ್ನೆಟ್ಸ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಅಡಿಯಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಕಂಟೇನರ್ಗಳನ್ನು ಚಲಾಯಿಸಲು ಕಂಟೈನರ್ಡ್ ಮತ್ತು ಡಾಕರ್ ಬದಲಿಗೆ CRI-O ಅನ್ನು ಬಳಸಿದರೆ, ಆಕ್ರಮಣಕಾರರು ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ಯಾವುದೇ ನೋಡ್ನ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಬಹುದು. ದಾಳಿಯನ್ನು ನಡೆಸಲು, ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ನಿಮ್ಮ ಕಂಟೇನರ್ ಅನ್ನು ಚಲಾಯಿಸಲು ನಿಮಗೆ ಸಾಕಷ್ಟು ಹಕ್ಕುಗಳಿವೆ.
ಕರ್ನಲ್ sysctl ಪ್ಯಾರಾಮೀಟರ್ "kernel.core_pattern" ("/proc/sys/kernel/core_pattern") ಅನ್ನು ಬದಲಾಯಿಸುವ ಸಾಧ್ಯತೆಯಿಂದ ದುರ್ಬಲತೆಯು ಉಂಟಾಗುತ್ತದೆ, ಇದು ಪ್ಯಾರಾಮೀಟರ್ಗಳಲ್ಲಿ ಸುರಕ್ಷಿತವಲ್ಲ ಎಂಬ ಅಂಶದ ಹೊರತಾಗಿಯೂ, ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿಲ್ಲ. ಬದಲಾವಣೆ, ಪ್ರಸ್ತುತ ಕಂಟೇನರ್ನ ನೇಮ್ಸ್ಪೇಸ್ನಲ್ಲಿ ಮಾತ್ರ ಮಾನ್ಯವಾಗಿರುತ್ತದೆ. ಈ ನಿಯತಾಂಕವನ್ನು ಬಳಸಿಕೊಂಡು, ಕಂಟೇನರ್ನಿಂದ ಬಳಕೆದಾರರು ಹೋಸ್ಟ್ ಪರಿಸರದ ಬದಿಯಲ್ಲಿ ಕೋರ್ ಫೈಲ್ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ನ ನಡವಳಿಕೆಯನ್ನು ಬದಲಾಯಿಸಬಹುದು ಮತ್ತು ಹೋಸ್ಟ್ ಸೈಡ್ನಲ್ಲಿ ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಯ ಪ್ರಾರಂಭವನ್ನು ಸಂಘಟಿಸಬಹುದು. "|/bin/sh -c 'ಕಮಾಂಡ್ಸ್'" .
CRI-O 1.19.0 ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ ಸಮಸ್ಯೆಯು ಪ್ರಸ್ತುತವಾಗಿದೆ ಮತ್ತು 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ಮತ್ತು 1.24.0 ನವೀಕರಣಗಳಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ. ವಿತರಣೆಗಳಲ್ಲಿ, ಸಮಸ್ಯೆಯು Red Hat OpenShift ಕಂಟೈನರ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಮತ್ತು openSUSE/SUSE ಉತ್ಪನ್ನಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ, ಇದು cri-o ಪ್ಯಾಕೇಜ್ ಅನ್ನು ತಮ್ಮ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಹೊಂದಿದೆ.
ಮೂಲ: opennet.ru