Një cenueshmëri kritike (CVE-2022-0811) është identifikuar në CRI-O, një kohë ekzekutimi për menaxhimin e kontejnerëve të izoluar, që ju lejon të anashkaloni izolimin dhe të ekzekutoni kodin tuaj në anën e sistemit pritës. Nëse CRI-O përdoret në vend të containerd dhe Docker për të drejtuar kontejnerët që funksionojnë nën platformën Kubernetes, një sulmues mund të marrë kontrollin e çdo nyje në grupimin Kubernetes. Për të kryer një sulm, ju keni vetëm të drejta të mjaftueshme për të drejtuar kontejnerin tuaj në grupin Kubernetes.
Dobësia është shkaktuar nga mundësia e ndryshimit të parametrit kernel sysctl "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), qasja në të cilën nuk ishte e bllokuar, pavarësisht faktit se nuk është ndër parametrat e sigurt për të. ndryshim, i vlefshëm vetëm në hapësirën e emrave të kontejnerit aktual. Duke përdorur këtë parametër, një përdorues nga një kontejner mund të ndryshojë sjelljen e kernelit Linux në lidhje me përpunimin e skedarëve bazë në anën e mjedisit pritës dhe të organizojë nisjen e një komande arbitrare me të drejta rrënjësore në anën e hostit duke specifikuar një mbajtës si p.sh. “|/bin/sh -c 'urdhërat'” .
Problemi ka qenë i pranishëm që nga lëshimi i CRI-O 1.19.0 dhe është rregulluar në përditësimet 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 dhe 1.24.0. Ndër shpërndarjet, problemi shfaqet në platformën Red Hat OpenShift Container dhe produktet openSUSE/SUSE, të cilat kanë paketën cri-o në depot e tyre.
Burimi: opennet.ru