CRI-O मधील भेद्यता जी होस्ट वातावरणात रूट प्रवेशास अनुमती देते

CRI-O मध्ये एक गंभीर भेद्यता (CVE-2022-0811) ओळखली गेली आहे, जो वेगळ्या कंटेनर्सच्या व्यवस्थापनासाठी रनटाइम आहे, जो तुम्हाला आयसोलेशन बायपास करण्यास आणि होस्ट सिस्टम बाजूला तुमचा कोड कार्यान्वित करण्यास अनुमती देतो. कुबर्नेट्स प्लॅटफॉर्मखाली चालणारे कंटेनर चालविण्यासाठी कंटेनर आणि डॉकरऐवजी CRI-O वापरल्यास, आक्रमणकर्ता कुबर्नेट्स क्लस्टरमधील कोणत्याही नोडवर नियंत्रण मिळवू शकतो. हल्ला करण्यासाठी, तुमच्याकडे कुबर्नेट्स क्लस्टरमध्ये तुमचे कंटेनर चालवण्याचे पुरेसे अधिकार आहेत.

kernel sysctl पॅरामीटर “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) बदलण्याच्या शक्यतेमुळे असुरक्षा उद्भवते, ज्याचा प्रवेश अवरोधित केला गेला नाही, हे तथ्य असूनही ते पॅरामीटर्समध्ये सुरक्षित नाही. बदल, फक्त वर्तमान कंटेनरच्या नेमस्पेसमध्ये वैध. या पॅरामीटरचा वापर करून, कंटेनरमधील वापरकर्ता लिनक्स कर्नलचे वर्तन होस्ट वातावरणाच्या बाजूने कोर फाइल्सवर प्रक्रिया करण्याच्या संदर्भात बदलू शकतो आणि यजमान बाजूला रूट अधिकारांसह एक अनियंत्रित कमांड लॉन्च करू शकतो जसे की हँडलर निर्दिष्ट करून “|/bin/sh -c 'commands'” .

CRI-O 1.19.0 च्या रिलीझपासून ही समस्या उपस्थित आहे आणि 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 आणि 1.24.0 अद्यतनांमध्ये निराकरण करण्यात आली आहे. वितरणांमध्ये, समस्या Red Hat OpenShift कंटेनर प्लॅटफॉर्म आणि openSUSE/SUSE उत्पादनांमध्ये दिसून येते, ज्यांच्या रेपॉजिटरीजमध्ये cri-o पॅकेज आहे.

स्त्रोत: opennet.ru