Kritična ranljivost (CVE-2022-0811) je bila ugotovljena v CRI-O, izvajalnem okolju za upravljanje izoliranih vsebnikov, ki vam omogoča, da obidete izolacijo in izvedete kodo na strani gostiteljskega sistema. Če se CRI-O uporablja namesto kontejnerja in Dockerja za zagon vsebnikov, ki se izvajajo pod platformo Kubernetes, lahko napadalec pridobi nadzor nad katerim koli vozliščem v gruči Kubernetes. Za izvedbo napada imate le dovolj pravic za zagon vsebnika v gruči Kubernetes.
Ranljivost je posledica možnosti spreminjanja sysctl parametra jedra “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”), dostop do katerega ni bil blokiran, kljub temu, da ni med varnimi parametri. sprememba, velja samo v imenskem prostoru trenutnega vsebnika. Z uporabo tega parametra lahko uporabnik iz vsebnika spremeni vedenje jedra Linuxa glede obdelave jedrnih datotek na strani gostiteljskega okolja in organizira zagon poljubnega ukaza s korenskimi pravicami na strani gostitelja tako, da določi upravljalnik, kot je “|/bin/sh -c 'ukazi'” .
Težava je prisotna od izdaje CRI-O 1.19.0 in je bila odpravljena v posodobitvah 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 in 1.24.0. Med distribucijami se težava pojavlja v vsebniški platformi Red Hat OpenShift in izdelkih openSUSE/SUSE, ki imajo v svojih repozitorijih paket cri-o.
Vir: opennet.ru