Uma vulnerabilidade crítica (CVE-2022-0811) foi identificada no CRI-O, um tempo de execução para gerenciamento de contêineres isolados, que permite contornar o isolamento e executar seu código no lado do sistema host. Se o CRI-O for usado em vez do containerd e do Docker para executar contêineres em execução na plataforma Kubernetes, um invasor poderá obter o controle de qualquer nó no cluster Kubernetes. Para realizar um ataque, você só tem direitos suficientes para executar seu contêiner no cluster Kubernetes.
A vulnerabilidade é causada pela possibilidade de alteração do parâmetro sysctl do kernel “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”), cujo acesso não foi bloqueado, apesar de não estar entre os parâmetros seguros para alteração, válida apenas no namespace do contêiner atual. Usando este parâmetro, um usuário de um contêiner pode alterar o comportamento do kernel Linux em relação ao processamento de arquivos principais no ambiente host e organizar o lançamento de um comando arbitrário com direitos de root no lado host, especificando um manipulador como “|/bin/sh -c 'comandos'” .
O problema está presente desde o lançamento do CRI-O 1.19.0 e foi corrigido nas atualizações 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 e 1.24.0. Entre as distribuições, o problema aparece no Red Hat OpenShift Container Platform e nos produtos openSUSE/SUSE, que possuem o pacote cri-o em seus repositórios.
Fonte: opennet.ru