🥇호스트 환경에 대한 루트 액세스를 허용하는 CRI-O의 취약점

격리된 컨테이너를 관리하는 런타임인 CRI-O에서 심각한 취약점(CVE-2022-0811)이 발견되었습니다. 이 취약점을 통해 공격자는 격리를 우회하여 호스트 시스템 측에서 코드를 실행할 수 있습니다. Kubernetes 플랫폼에서 실행되는 컨테이너의 실행을 구성하기 위해 containerd와 Docker 대신 CRI-O를 사용할 경우, 공격자는 Kubernetes 클러스터의 모든 노드를 제어할 수 있습니다. 공격을 실행하려면 Kubernetes 클러스터에서 컨테이너를 실행할 권한이 있으면 됩니다.

Уязвимость вызвана возможностью изменения sysctl-параметра ядра «kernel.core_pattern» («/proc/sys/kernel/core_pattern»), доступ к которому не блокировался, несмотря на то, что он не входит в число безопасных для изменения параметров, действующих только в пространстве имён текущего контейнера. При помощи данного параметра пользователь из контейнера может изменить поведение ядра Linux в отношении обработки core-файлов на стороне хост-окружения и организовать запуск произвольной команды с правами root на стороне хоста, указав обработчик типа «|/bin/sh -c ‘команды'».

이 문제는 CRI-O 1.19.0 출시부터 발생했으며, 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2, 1.24.0 업데이트에서 수정되었습니다. 배포판 중에서는 Red Hat OpenShift Container Platform과 openSUSE/SUSE 제품에서 발생하며, 해당 제품의 저장소에는 cri-o 패키지가 포함되어 있습니다.

출처 : opennet.ru

호스트 환경에 대한 루트 액세스를 허용하는 CRI-O의 취약점

ProHoster