Një cenueshmëri kritike (CVE-2022-0811) është identifikuar në CRI-O, një kohë ekzekutimi për menaxhimin e kontejnerëve të izoluar, që ju lejon të anashkaloni izolimin dhe të ekzekutoni kodin tuaj në anën e sistemit pritës. Nëse CRI-O përdoret në vend të containerd dhe Docker për të drejtuar kontejnerët që funksionojnë nën platformën Kubernetes, një sulmues mund të marrë kontrollin e çdo nyje në grupimin Kubernetes. Për të kryer një sulm, ju keni vetëm të drejta të mjaftueshme për të drejtuar kontejnerin tuaj në grupin Kubernetes.
Dobësia shkaktohet nga aftësia për të modifikuar parametrin sysctl të kernelit "kernel.core_pattern" (/proc/sys/kernel/core_pattern), qasja në të cilin nuk ishte bllokuar, pavarësisht faktit se nuk është ndër parametrat e sigurt për modifikim që janë të vlefshëm vetëm në hapësirën e emrave të kontejnerit aktual. Duke përdorur këtë parametër, një përdorues brenda kontejnerit mund të ndryshojë sjelljen e kernelit. Linux në lidhje me përpunimin e skedarëve kryesorë në anën e mjedisit pritës dhe organizimin e nisjes së një komande arbitrare me të drejta rrënjë në anën pritëse duke specifikuar një trajtues të tipit "|/bin/sh -c 'commands'".
Problemi ka qenë i pranishëm që nga lëshimi i CRI-O 1.19.0 dhe është rregulluar në përditësimet 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 dhe 1.24.0. Ndër shpërndarjet, problemi shfaqet në platformën Red Hat OpenShift Container dhe produktet openSUSE/SUSE, të cilat kanë paketën cri-o në depot e tyre.
Burimi: opennet.ru
