Er is een kritieke kwetsbaarheid (CVE-2022-0811) ontdekt in CRI-O, een runtime voor het beheer van geïsoleerde containers, waardoor een aanvaller isolatie kan omzeilen en zijn code op het hostsysteem kan uitvoeren. Als CRI-O wordt gebruikt in plaats van containerd en Docker om de lancering van containers die op het Kubernetes-platform draaien te organiseren, kan een aanvaller controle krijgen over elke node in het Kubernetes-cluster. Om de aanval uit te voeren, is het voldoende om de rechten te hebben om de container in het Kubernetes-cluster te lanceren.
De kwetsbaarheid wordt veroorzaakt door de mogelijkheid om de sysctl-parameter "kernel.core_pattern" ("/proc/sys/kernel/core_pattern") van de kernel te wijzigen. De toegang hiertoe werd niet geblokkeerd, ondanks het feit dat deze niet behoort tot de parameters die veilig gewijzigd kunnen worden en alleen geldig zijn in de naamruimte van de huidige container. Met behulp van deze parameter kan een gebruiker van de container het gedrag van de Linux-kernel met betrekking tot de verwerking van kernbestanden aan de hostomgeving wijzigen en de start van een willekeurige opdracht met rootrechten aan de hostomgeving organiseren door een handler zoals "|/bin/sh -c 'commands'" op te geven.
Het probleem doet zich voor vanaf de release van CRI-O 1.19.0 en is opgelost in de updates 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 en 1.24.0. Het probleem doet zich voor in de distributies Red Hat OpenShift Container Platform en openSUSE/SUSE, waarvan de repositories een cri-o-pakket bevatten.
Bron: opennet.ru
