CRI-O मधील भेद्यता जी होस्ट वातावरणात रूट प्रवेशास अनुमती देते

CRI-O मध्ये एक गंभीर भेद्यता (CVE-2022-0811) ओळखली गेली आहे, जी आयसोलेटेड कंटेनर व्यवस्थापित करण्यासाठी एक रनटाइम आहे, ज्यामुळे होस्ट सिस्टमवर आयसोलेशन बायपास आणि कोड एक्झिक्युशन करता येते. जर कंटेनर आणि डॉकरऐवजी CRI-O चा वापर कुबर्नेट्स प्लॅटफॉर्मवर चालणारे कंटेनर लाँच करण्यासाठी केला गेला, तर आक्रमणकर्ता कुबर्नेट्स क्लस्टरमधील कोणत्याही नोडवर नियंत्रण मिळवू शकतो. हल्ल्यासाठी कुबर्नेट्स क्लस्टरमध्ये कंटेनर लाँच करण्यासाठी फक्त विशेषाधिकारांची आवश्यकता असते.

ही असुरक्षितता "kernel.core_pattern" (/proc/sys/kernel/core_pattern) या कर्नल sysctl पॅरामीटरमध्ये बदल करण्याच्या क्षमतेमुळे निर्माण झाली आहे. सध्याच्या कंटेनरच्या नेमस्पेसमध्येच वैध असलेल्या आणि बदल करण्यास सुरक्षित असलेल्या पॅरामीटर्सपैकी हा एक नसतानाही, त्याच्या वापरावर बंदी घालण्यात आली नव्हती. या पॅरामीटरचा वापर करून, कंटेनरमधील वापरकर्ता कर्नलच्या कार्यपद्धतीत बदल करू शकतो. Linux होस्ट एनव्हायरमेंट बाजूला कोअर फाइल्सवर प्रक्रिया करण्याच्या संदर्भात आणि "|/bin/sh -c 'commands'" प्रकारचा हँडलर निर्दिष्ट करून होस्ट बाजूला रूट अधिकारांसह कोणत्याही कमांडचा प्रारंभ आयोजित करा.

ही समस्या CRI-O 1.19.0 पासून अस्तित्वात आहे आणि 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 आणि 1.24.0 अपडेट्समध्ये दुरुस्त करण्यात आली आहे. प्रभावित झालेल्या विशिष्ट वितरणांमध्ये Red Hat OpenShift कंटेनर प्लॅटफॉर्म आणि openSUSE/SUSE यांचा समावेश आहे, ज्यामध्ये त्यांच्या रिपॉझिटरीजमध्ये cri-o पॅकेज आहे.

स्त्रोत: opennet.ru