Критикалык аялуу (CVE-2022-0811) CRI-Oдо аныкталган, обочолонгон контейнерлерди башкаруу үчүн иштөө убактысы, ал изоляцияны айланып өтүүгө жана хост тутумунун тарабында кодуңузду аткарууга мүмкүндүк берет. Эгер Kubernetes платформасынын астында иштеген контейнерлерди иштетүү үчүн контейнердин жана Докердин ордуна CRI-O колдонулса, чабуулчу Kubernetes кластериндеги каалаган түйүндү башкара алат. Чабуул жасоо үчүн сизде Кубернетес кластеринде контейнериңизди иштетүүгө гана укугуңуз бар.
Алсыздык ядронун sysctl параметрин “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) өзгөртүү мүмкүнчүлүгү менен шартталган, ага кирүү коопсуз параметрлердин катарына кирбегендигине карабастан, ага кирүү бөгөттөлгөн эмес. өзгөртүү, учурдагы контейнердин аталыш мейкиндигинде гана жарактуу. Бул параметрди колдонуу менен контейнердеги колдонуучу Linux ядросунун кыймыл-аракетин хост чөйрөсүнүн тарабындагы негизги файлдарды иштетүүгө карата өзгөртө алат жана сыяктуу иштеткичти көрсөтүү менен хост тарабында тамыр укуктары менен ыктыярдуу буйрукту ишке киргизүүнү уюштура алат. “|/bin/sh -c 'буйруктар'” .
Көйгөй CRI-O 1.19.0 чыккандан бери бар жана 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 жана 1.24.0 жаңыртууларында оңдолгон. Бөлүштүрүүлөрдүн арасында көйгөй Red Hat OpenShift Контейнер Платформасында жана репозиторийлеринде cri-o пакети бар openSUSE/SUSE өнүмдөрүндө пайда болот.
Source: opennet.ru