CRI-O, izpildlaikā izolētu konteineru pārvaldībai, ir identificēta kritiska ievainojamība (CVE-2022-0811), kas ļauj apiet izolāciju un izpildīt kodu resursdatora sistēmas pusē. Ja konteineru un Docker vietā tiek izmantots CRI-O, lai palaistu konteinerus, kas darbojas zem Kubernetes platformas, uzbrucējs var iegūt kontroli pār jebkuru Kubernetes klastera mezglu. Lai veiktu uzbrukumu, jums ir tikai pietiekami daudz tiesību, lai palaistu konteineru Kubernetes klasterī.
Ievainojamību izraisa iespēja mainīt kodola sysctl parametru “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”), kuram piekļuve netika bloķēta, neskatoties uz to, ka tas nav starp drošiem parametriem. izmaiņas, derīgas tikai pašreizējā konteinera nosaukumvietā. Izmantojot šo parametru, lietotājs no konteinera var mainīt Linux kodola darbību attiecībā uz galveno failu apstrādi resursdatora vides pusē un organizēt patvaļīgas komandas palaišanu ar root tiesībām resursdatora pusē, norādot apdarinātāju, piemēram, “|/bin/sh -c 'komandas'” .
Problēma pastāv kopš CRI-O 1.19.0 izlaišanas un tika novērsta atjauninājumos 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 un 1.24.0. Starp izplatīšanu problēma parādās Red Hat OpenShift Container Platform un openSUSE/SUSE produktos, kuru krātuvēs ir cri-o pakotne.
Avots: opennet.ru