Kerentanan kritikal (CVE-2022-0811) telah dikenal pasti dalam CRI-O, masa jalan untuk mengurus bekas terpencil, yang membolehkan anda memintas pengasingan dan melaksanakan kod anda pada bahagian sistem hos. Jika CRI-O digunakan dan bukannya containerd dan Docker untuk menjalankan kontena yang dijalankan di bawah platform Kubernetes, penyerang boleh mengawal mana-mana nod dalam kelompok Kubernetes. Untuk melakukan serangan, anda hanya mempunyai hak yang mencukupi untuk menjalankan kontena anda dalam kelompok Kubernetes.
Kerentanan ini disebabkan oleh keupayaan untuk mengubah suai parameter sysctl kernel "kernel.core_pattern" (/proc/sys/kernel/core_pattern), akses yang tidak disekat, walaupun pada hakikatnya ia bukan antara parameter selamat untuk diubah suai yang hanya sah dalam ruang nama bekas semasa. Menggunakan parameter ini, pengguna dalam bekas boleh mengubah tingkah laku kernel. Linux berkenaan dengan pemprosesan fail teras di bahagian persekitaran hos dan mengatur pelancaran arahan sewenang-wenangnya dengan hak root di bahagian hos dengan menentukan pengendali jenis "|/bin/sh -c 'commands'".
Masalahnya telah wujud sejak keluaran CRI-O 1.19.0 dan telah dibetulkan dalam kemas kini 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 dan 1.24.0. Di antara pengedaran, masalah muncul dalam Platform Kontena OpenShift Red Hat dan produk openSUSE/SUSE, yang mempunyai pakej cri-o dalam repositori mereka.
Sumber: opennet.ru
