W CRI-O, środowisku wykonawczym do zarządzania izolowanymi kontenerami, które pozwala ominąć izolację i wykonać kod po stronie systemu hosta, wykryto krytyczną lukę (CVE-2022-0811). Jeśli zamiast kontenera i Dockera do uruchamiania kontenerów działających na platformie Kubernetes zostanie użyte CRI-O, osoba atakująca może przejąć kontrolę nad dowolnym węzłem w klastrze Kubernetes. Aby przeprowadzić atak, posiadasz jedynie uprawnienia umożliwiające uruchomienie Twojego kontenera w klastrze Kubernetes.
Podatność wynika z możliwości zmiany parametru sysctl jądra „kernel.core_pattern” („/proc/sys/kernel/core_pattern”), do którego dostęp nie został zablokowany, mimo że nie należy on do parametrów bezpiecznych zmiana, ważna tylko w przestrzeni nazw bieżącego kontenera. Używając tego parametru, użytkownik kontenera może zmienić zachowanie jądra Linuksa w zakresie przetwarzania podstawowych plików po stronie środowiska hosta i zorganizować uruchomienie dowolnego polecenia z uprawnieniami roota po stronie hosta, określając procedurę obsługi taką jak „|/bin/sh -c 'polecenia'” .
Problem występuje od wydania CRI-O 1.19.0 i został naprawiony w aktualizacjach 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 i 1.24.0. Wśród dystrybucji problem pojawia się w produktach Red Hat OpenShift Container Platform oraz openSUSE/SUSE, które posiadają w swoich repozytoriach pakiet cri-o.
Źródło: opennet.ru