V CRI-O, runtime na správu izolovaných kontajnerov, bola identifikovaná kritická zraniteľnosť (CVE-2022-0811), ktorá vám umožňuje obísť izoláciu a spustiť váš kód na strane hostiteľského systému. Ak sa namiesto kontajnerov a Docker použije CRI-O na spustenie kontajnerov spustených pod platformou Kubernetes, útočník môže získať kontrolu nad ktorýmkoľvek uzlom v klastri Kubernetes. Na vykonanie útoku máte dostatok práv iba na spustenie svojho kontajnera v klastri Kubernetes.
Zraniteľnosť je spôsobená možnosťou úpravy parametra sysctl jadra „kernel.core_pattern“ (/proc/sys/kernel/core_pattern), ku ktorému nebol blokovaný prístup, a to aj napriek tomu, že nepatrí medzi parametre bezpečné na úpravu platné iba v mennom priestore aktuálneho kontajnera. Pomocou tohto parametra môže používateľ v rámci kontajnera zmeniť správanie jadra. Linux vzhľadom na spracovanie jadrových súborov na strane hostiteľského prostredia a organizovať spustenie ľubovoľného príkazu s root právami na strane hostiteľa zadaním obslužného programu typu "|/bin/sh -c 'commands'".
Problém je prítomný od vydania CRI-O 1.19.0 a bol opravený v aktualizáciách 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 a 1.24.0. Medzi distribúciami sa problém objavuje v Red Hat OpenShift Container Platform a openSUSE/SUSE produktoch, ktoré majú vo svojich úložiskách balík cri-o.
Zdroj: opennet.ru
