தனிமைப்படுத்தப்பட்ட கொள்கலன்களை நிர்வகிப்பதற்கான இயக்க நேரமான CRI-O இல் ஒரு முக்கியமான பாதிப்பு (CVE-2022-0811) கண்டறியப்பட்டுள்ளது, இது தனிமைப்படுத்தலைத் தவிர்த்து, ஹோஸ்ட் சிஸ்டம் பக்கத்தில் உங்கள் குறியீட்டைச் செயல்படுத்த அனுமதிக்கிறது. குபெர்னெட்ஸ் பிளாட்ஃபார்மின் கீழ் இயங்கும் கொள்கலன்களை இயக்குவதற்கு கண்டெய்னர்டு மற்றும் டோக்கருக்குப் பதிலாக CRI-O பயன்படுத்தப்பட்டால், தாக்குபவர் குபெர்னெட்ஸ் கிளஸ்டரில் உள்ள எந்த முனையின் கட்டுப்பாட்டையும் பெற முடியும். தாக்குதலை நடத்த, குபெர்னெட்ஸ் கிளஸ்டரில் உங்கள் கொள்கலனை இயக்க உங்களுக்கு போதுமான உரிமைகள் மட்டுமே உள்ளன.
கர்னல் sysctl அளவுருவான “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) மாற்றுவதற்கான சாத்தியக்கூறுகளால் பாதிப்பு ஏற்படுகிறது, இது பாதுகாப்பான அளவுருக்களில் இல்லை என்ற போதிலும், அணுகல் தடுக்கப்படவில்லை. மாற்றம், தற்போதைய கொள்கலனின் பெயர்வெளியில் மட்டுமே செல்லுபடியாகும். இந்த அளவுருவைப் பயன்படுத்தி, ஒரு கொள்கலனில் இருந்து ஒரு பயனர், ஹோஸ்ட் சூழலின் பக்கத்தில் உள்ள கோர் கோப்புகளை செயலாக்குவது தொடர்பாக லினக்ஸ் கர்னலின் நடத்தையை மாற்றலாம் மற்றும் ஒரு ஹேண்ட்லரைக் குறிப்பிடுவதன் மூலம் ஹோஸ்ட் பக்கத்தில் ரூட் உரிமைகளுடன் தன்னிச்சையான கட்டளையை தொடங்குவதை ஒழுங்கமைக்கலாம். "|/bin/sh -c 'கட்டளைகள்'" .
CRI-O 1.19.0 வெளியானதில் இருந்து சிக்கல் உள்ளது மற்றும் 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 மற்றும் 1.24.0 புதுப்பிப்புகளில் சரி செய்யப்பட்டது. விநியோகங்களில், Red Hat OpenShift கண்டெய்னர் பிளாட்ஃபார்ம் மற்றும் openSUSE/SUSE தயாரிப்புகளில் சிக்கல் தோன்றும், அவை அவற்றின் களஞ்சியங்களில் cri-o தொகுப்பைக் கொண்டுள்ளன.
ஆதாரம்: opennet.ru