En kritisk sårbarhet (CVE-2022-0811) har identifierats i CRI-O, en körtid för hantering av isolerade behållare, som låter dig kringgå isolering och exekvera din kod på värdsystemsidan. Om CRI-O används istället för containerd och Docker för att köra containrar som körs under Kubernetes-plattformen, kan en angripare få kontroll över vilken nod som helst i Kubernetes-klustret. För att utföra en attack har du bara tillräckligt med rättigheter för att köra din behållare i Kubernetes-klustret.
Sårbarheten orsakas av möjligheten att ändra kernel sysctl-parametern "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), som åtkomst till inte blockerades, trots att den inte är bland parametrarna som är säkra att ändring, endast giltig i namnutrymmet för den aktuella behållaren. Med den här parametern kan en användare från en behållare ändra beteendet hos Linuxkärnan med avseende på bearbetning av kärnfiler på sidan av värdmiljön och organisera lanseringen av ett godtyckligt kommando med roträttigheter på värdsidan genom att ange en hanterare som t.ex. "|/bin/sh -c 'kommandon'" .
Problemet har funnits sedan utgivningen av CRI-O 1.19.0 och åtgärdades i uppdateringarna 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 och 1.24.0. Bland distributionerna dyker problemet upp i Red Hat OpenShift Container Platform och openSUSE/SUSE-produkter, som har cri-o-paketet i sina förråd.
Källa: opennet.ru