Athari mbaya (CVE-2022-0811) imetambuliwa katika CRI-O, muda wa utekelezaji wa kudhibiti vyombo vilivyotengwa, vinavyokuruhusu kukwepa kutengwa na kutekeleza msimbo wako kwenye upande wa mfumo wa seva pangishi. Ikiwa CRI-O itatumika badala ya kuwekewa kontena na Docker kuendesha vyombo vinavyoendeshwa chini ya jukwaa la Kubernetes, mshambulizi anaweza kupata udhibiti wa nodi yoyote katika nguzo ya Kubernetes. Ili kutekeleza shambulizi, una haki za kutosha tu kuendesha kontena lako katika nguzo ya Kubernetes.
Udhaifu unasababishwa na uwezekano wa kubadilisha kigezo cha sysctl cha kernel "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), ufikiaji ambao haukuzuiwa, licha ya ukweli kwamba sio kati ya vigezo salama. mabadiliko, halali tu katika nafasi ya jina ya kontena la sasa. Kwa kutumia kigezo hiki, mtumiaji kutoka kwenye kontena anaweza kubadilisha tabia ya kinu cha Linux kuhusiana na kuchakata faili za msingi kwenye kando ya mazingira ya seva pangishi na kuandaa uzinduzi wa amri ya kiholela yenye haki za mizizi kwenye upande wa mwenyeji kwa kubainisha kidhibiti kama vile. "|/bin/sh -c 'amri'" .
Tatizo limekuwepo tangu kutolewa kwa CRI-O 1.19.0 na ilirekebishwa katika sasisho 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 na 1.24.0. Kati ya usambazaji, shida inaonekana kwenye Jukwaa la Kontena la Red Hat OpenShift na bidhaa za openSUSE/SUSE, ambazo zina kifurushi cha cri-o kwenye hazina zao.
Chanzo: opennet.ru