๊ฒฉ๋ฆฌ๋ ์ปจํ ์ด๋๋ฅผ ๊ด๋ฆฌํ๊ธฐ ์ํ ๋ฐํ์์ธ CRI-O์์ ์ฌ๊ฐํ ์ทจ์ฝ์ (CVE-2022-0811)์ด ํ์ธ๋์์ต๋๋ค. ์ด๋ฅผ ํตํด ๊ฒฉ๋ฆฌ๋ฅผ ์ฐํํ๊ณ ํธ์คํธ ์์คํ ์ธก์์ ์ฝ๋๋ฅผ ์คํํ ์ ์์ต๋๋ค. Kubernetes ํ๋ซํผ์์ ์คํ๋๋ ์ปจํ ์ด๋๋ฅผ ์คํํ๊ธฐ ์ํด Containerd ๋ฐ Docker ๋์ CRI-O๋ฅผ ์ฌ์ฉํ๋ฉด ๊ณต๊ฒฉ์๊ฐ Kubernetes ํด๋ฌ์คํฐ์ ๋ชจ๋ ๋ ธ๋๋ฅผ ์ ์ดํ ์ ์์ต๋๋ค. ๊ณต๊ฒฉ์ ์ํํ๋ ค๋ฉด Kubernetes ํด๋ฌ์คํฐ์์ ์ปจํ ์ด๋๋ฅผ ์คํํ ์ ์๋ ๊ถํ๋ง ์์ผ๋ฉด ๋ฉ๋๋ค.
์ด ์ทจ์ฝ์ ์ ์ปค๋ sysctl ๋งค๊ฐ๋ณ์ "kernel.core_pattern"("/proc/sys/kernel/core_pattern")์ ๋ณ๊ฒฝํ ๊ฐ๋ฅ์ฑ์ผ๋ก ์ธํด ๋ฐ์ํฉ๋๋ค. ์ด ๋งค๊ฐ๋ณ์๋ ์์ ํ ๋งค๊ฐ๋ณ์์ ์ํ์ง ์์์๋ ๋ถ๊ตฌํ๊ณ ์ด์ ๋ํ ์ก์ธ์ค๊ฐ ์ฐจ๋จ๋์ง ์์ต๋๋ค. ๋ณ๊ฒฝ, ํ์ฌ ์ปจํ ์ด๋์ ๋ค์์คํ์ด์ค์์๋ง ์ ํจํฉ๋๋ค. ์ด ๋งค๊ฐ๋ณ์๋ฅผ ์ฌ์ฉํ๋ฉด ์ปจํ ์ด๋์ ์ฌ์ฉ์๋ ํธ์คํธ ํ๊ฒฝ ์ธก์์ ์ฝ์ด ํ์ผ ์ฒ๋ฆฌ์ ๊ด๋ จํ์ฌ Linux ์ปค๋์ ๋์์ ๋ณ๊ฒฝํ๊ณ ๋ค์๊ณผ ๊ฐ์ ํธ๋ค๋ฌ๋ฅผ ์ง์ ํ์ฌ ํธ์คํธ ์ธก์์ ๋ฃจํธ ๊ถํ์ผ๋ก ์์ ๋ช ๋ น์ ์คํ์ ๊ตฌ์ฑํ ์ ์์ต๋๋ค. "|/bin/sh -c '๋ช ๋ น'" .
์ด ๋ฌธ์ ๋ CRI-O 1.19.0 ๋ฆด๋ฆฌ์ค๋ถํฐ ์กด์ฌํ์ผ๋ฉฐ ์
๋ฐ์ดํธ 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ๋ฐ 1.24.0์์ ์์ ๋์์ต๋๋ค. ๋ฐฐํฌํ ์ค์์ ๋ฆฌํฌ์งํ ๋ฆฌ์ cri-o ํจํค์ง๊ฐ ์๋ Red Hat OpenShift Container Platform ๋ฐ openSUSE/SUSE ์ ํ์ ๋ฌธ์ ๊ฐ ๋ํ๋ฉ๋๋ค.
์ถ์ฒ : opennet.ru