Тусгаарлагдсан контейнеруудыг удирдах ажлын цаг болох CRI-O-д чухал эмзэг байдал (CVE-2022-0811) илэрсэн бөгөөд энэ нь танд тусгаарлалтыг давж, хост системийн тал дээр өөрийн кодыг ажиллуулах боломжийг олгодог. Хэрэв Kubernetes платформ дээр ажиллаж байгаа контейнеруудыг ажиллуулахын тулд containerd болон Docker-ийн оронд CRI-O ашигладаг бол халдагчид Kubernetes кластерын дурын зангилааг хянах боломжтой. Довтолгоог явуулахын тулд танд зөвхөн Кубернетес кластерт контейнер ажиллуулах хангалттай эрх бий.
Энэ эмзэг байдал нь цөмийн системийн "kernel.core_pattern" ("/proc/sys/kernel/core_pattern") параметрийг өөрчлөх боломжоос үүдэлтэй бөгөөд энэ нь ашиглахад аюулгүй параметрүүдийн тоонд ороогүй ч хандах нь хаагдсангүй. өөрчлөлт, зөвхөн одоогийн контейнерийн нэрийн зайд хүчинтэй. Энэ параметрийг ашиглан контейнерийн хэрэглэгч хост орчны тал дахь үндсэн файлуудыг боловсруулахтай холбоотой Линуксийн цөмийн үйл ажиллагааг өөрчилж, хост тал дээр root эрх бүхий дурын командыг ажиллуулах ажлыг зохион байгуулж болно. “|/bin/sh -c 'командууд'” .
Асуудал нь CRI-O 1.19.0 гарсанаас хойш байсаар байгаа бөгөөд 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 болон 1.24.0-д засварлагдсан. Түгээлтийн дунд асуудал нь Red Hat OpenShift Container Platform болон openSUSE/SUSE бүтээгдэхүүнүүдэд гарч ирдэг бөгөөд тэдгээр нь хадгалах сандаа cri-o багц байдаг.
Эх сурвалж: opennet.ru