အထီးကျန်ကွန်တိန်နာများကို စီမံခန့်ခွဲခြင်းအတွက် အရေးကြီးသော အားနည်းချက် (CVE-2022-0811) ကို CRI-O တွင် ရှာဖွေတွေ့ရှိခဲ့ပြီး၊ သင်သည် သီးခြားခွဲထုတ်ခြင်းကို ကျော်ဖြတ်ပြီး လက်ခံဆောင်ရွက်ပေးသည့်စနစ်ဘက်ခြမ်းရှိ သင်၏ကုဒ်ကို လုပ်ဆောင်နိုင်စေမည်ဖြစ်သည်။ Kubernetes ပလပ်ဖောင်းအောက်တွင် အလုပ်လုပ်သော ကွန်တိန်နာများကို ကွန်တိန်နာများထည့်သွင်းရန် နှင့် Docker အစား CRI-O ကို အသုံးပြုပါက၊ တိုက်ခိုက်သူသည် Kubernetes အစုအဝေးရှိ မည်သည့် node ကိုမဆို ထိန်းချုပ်နိုင်မည်ဖြစ်သည်။ တိုက်ခိုက်မှုတစ်ခုလုပ်ဆောင်ရန်၊ Kubernetes အစုအဝေးတွင် သင့်ကွန်တိန်နာကိုဖွင့်ရန် လုံလောက်သောအခွင့်အရေးရှိသည်။
အားနည်းချက်သည် kernel sysctl ကန့်သတ်ဘောင် “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) ကို ပြောင်းလဲခြင်းဖြစ်နိုင်ချေရှိပြီး ၎င်းသည် ဘေးကင်းသော ကန့်သတ်ဘောင်များထဲတွင် မပါဝင်သော်လည်း ၎င်းအား ပိတ်ဆို့ထားခြင်း မရှိသော ဝင်ရောက်ခွင့်၊ ပြောင်းလဲခြင်း၊ လက်ရှိ container ၏ namespace တွင်သာ အကျုံးဝင်ပါသည်။ ဤကန့်သတ်ဘောင်ကိုအသုံးပြုခြင်းဖြင့်၊ ကွန်တိန်နာတစ်ခုမှအသုံးပြုသူတစ်ဦးသည် host ပတ်၀န်းကျင်ရှိ core ဖိုင်များကိုလုပ်ဆောင်ခြင်းနှင့်ပတ်သက်၍ Linux kernel ၏အပြုအမူကိုပြောင်းလဲနိုင်ပြီး ကိုင်တွယ်သူကဲ့သို့သောကိုင်တွယ်သူကိုသတ်မှတ်ခြင်းဖြင့် host side ရှိ root လုပ်ပိုင်ခွင့်ရှိသော မတရားသော command ကိုစတင်ရန် စုစည်းနိုင်သည်။ “|/bin/sh -c 'commands'”။
CRI-O 1.19.0 ထုတ်ဝေပြီးကတည်းက ပြဿနာရှိနေခဲ့ပြီး အပ်ဒိတ် 1.19.6၊ 1.20.7၊ 1.21.6၊ 1.22.3၊ 1.23.2 နှင့် 1.24.0 တို့တွင် ဖြေရှင်းထားသည်။ ဖြန့်ဖြူးမှုများကြားတွင်၊ ၎င်းတို့၏ သိုလှောင်နေရာများတွင် cri-o ပက်ကေ့ခ်ျပါရှိသည့် Red Hat OpenShift Container Platform နှင့် openSUSE/SUSE ထုတ်ကုန်များတွင် ပြဿနာပေါ်လာပါသည်။
source: opennet.ru