Дар CRI-O, як вақти иҷро барои идоракунии контейнерҳои ҷудогона, ки имкон медиҳад, ки аз изолятсия гузаред ва кодро дар системаи мизбон иҷро кунед, як осебпазирии муҳим (CVE-2022-0811) муайян карда шуд. Агар CRI-O ба ҷои containerd ва Docker барои оғоз кардани контейнерҳои дар платформаи Kubernetes коркунанда истифода шавад, ҳамлагар метавонад назорати ҳама гуна гиреҳро дар кластери Kubernetes ба даст орад. Ҳамла танҳо имтиёзҳоро барои оғоз кардани контейнер дар кластери Kubernetes талаб мекунад.
Уязвимость вызвана возможностью изменения sysctl-параметра ядра «kernel.core_pattern» («/proc/sys/kernel/core_pattern»), доступ к которому не блокировался, несмотря на то, что он не входит в число безопасных для изменения параметров, действующих только в пространстве имён текущего контейнера. При помощи данного параметра пользователь из контейнера может изменить поведение ядра Linux в отношении обработки core-файлов на стороне хост-окружения и организовать запуск произвольной команды с правами root на стороне хоста, указав обработчик типа «|/bin/sh -c ‘команды'».
Ин мушкилот аз замони CRI-O 1.19.0 вуҷуд дошт ва дар навсозиҳои 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ва 1.24.0 ислоҳ карда шуд. Паҳнкуниҳои мушаххаси таъсиррасон Red Hat OpenShift Container Platform ва openSUSE/SUSE-ро дар бар мегиранд, ки бастаи cri-o-ро дар анборҳои худ нигоҳ медоранд.
Манбаъ: opennet.ru
