Критична рањивост (ЦВЕ-2022-0811) је идентификована у ЦРИ-О, времену извођења за управљање изолованим контејнерима, која вам омогућава да заобиђете изолацију и извршите свој код на страни хост система. Ако се ЦРИ-О користи уместо контејнера и Доцкер-а за покретање контејнера који раде под Кубернетес платформом, нападач може добити контролу над било којим чвором у Кубернетес кластеру. Да бисте извршили напад, имате само довољно права да покренете свој контејнер у Кубернетес кластеру.
Рањивост је узрокована могућношћу промене сисцтл параметра кернела „кернел.цоре_паттерн” (“/проц/сис/кернел/цоре_паттерн”), чији приступ није блокиран, упркос чињеници да се не налази међу параметрима безбедним за промена, важи само у именском простору тренутног контејнера. Користећи овај параметар, корисник из контејнера може променити понашање Линук кернела у погледу обраде основних датотека на страни домаћинског окружења и организовати покретање произвољне команде са роот правима на страни хоста тако што ће навести руковалац као што је “|/бин/сх -ц 'команде'” .
Проблем је присутан од издавања ЦРИ-О 1.19.0 и поправљен је у ажурирањима 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 и 1.24.0. Међу дистрибуцијама, проблем се појављује у Ред Хат ОпенСхифт Цонтаинер Платформ и опенСУСЕ/СУСЕ производима, који имају цри-о пакет у својим репозиторијумима.
Извор: опеннет.ру