Kerentanan kritis (CVE-2022-0811) parantos diidentifikasi dina CRI-O, runtime pikeun ngatur wadah terasing, anu ngamungkinkeun anjeun ngaliwat isolasi sareng ngaéksekusi kode anjeun dina sisi sistem host. Upami CRI-O dianggo tibatan containerd sareng Docker pikeun ngajalankeun peti anu dijalankeun dina platform Kubernetes, panyerang tiasa ngontrol titik mana waé dina kluster Kubernetes. Pikeun ngalaksanakeun serangan, anjeun ngan ukur gaduh hak anu cukup pikeun ngajalankeun wadahna dina klaster Kubernetes.
Kerentanan disababkeun ku kamungkinan ngarobih parameter kernel sysctl "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), aksés anu henteu diblokir, sanaos kanyataan yén éta sanés diantara parameter anu aman. robah, valid ngan dina namespace tina wadahna ayeuna. Ngagunakeun parameter ieu, pamaké ti wadah bisa ngarobah paripolah kernel Linux Ubuntu ngeunaan ngolah file inti di sisi lingkungan host sarta ngatur peluncuran hiji paréntah sawenang kalawan hak root dina sisi host ku nangtukeun hiji handler kawas. "|/bin/sh -c 'paréntah'" .
Masalahna parantos aya saprak sékrési CRI-O 1.19.0 sareng dilereskeun dina apdet 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 sareng 1.24.0. Diantara distribusina, masalahna muncul dina Red Hat OpenShift Container Platform sareng produk openSUSE/SUSE, anu gaduh pakét cri-o dina repositori na.
sumber: opennet.ru