Er is een kritieke kwetsbaarheid (CVE-2022-0811) geïdentificeerd in CRI-O, een runtime voor het beheren van geïsoleerde containers, waarmee u isolatie kunt omzeilen en uw code kunt uitvoeren op de kant van het hostsysteem. Als CRI-O wordt gebruikt in plaats van containers en Docker om containers uit te voeren die onder het Kubernetes-platform draaien, kan een aanvaller controle krijgen over elk knooppunt in het Kubernetes-cluster. Om een aanval uit te voeren, heeft u alleen voldoende rechten om uw container in het Kubernetes-cluster te laten draaien.
De kwetsbaarheid wordt veroorzaakt door de mogelijkheid om de kernel-sysctl-parameter “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) te wijzigen, waarvan de toegang niet werd geblokkeerd, ondanks het feit dat het niet tot de parameters behoort die veilig zijn om change, alleen geldig in de naamruimte van de huidige container. Met behulp van deze parameter kan een gebruiker uit een container het gedrag van de Linux-kernel veranderen met betrekking tot het verwerken van kernbestanden aan de kant van de hostomgeving en de lancering van een willekeurig commando met rootrechten aan de hostkant organiseren door een handler zoals op te geven “|/bin/sh -c 'opdrachten'” .
Het probleem is aanwezig sinds de release van CRI-O 1.19.0 en is opgelost in updates 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 en 1.24.0. Bij de distributies komt het probleem voor bij het Red Hat OpenShift Container Platform en openSUSE/SUSE-producten, die het cri-o-pakket in hun repository's hebben.
Bron: opennet.ru