Дар CRI-O як осебпазирии интиқодӣ (CVE-2022-0811) муайян карда шуд, ки вақти корӣ барои идоракунии контейнерҳои ҷудошуда, ки ба шумо имкон медиҳад, ки изолятсияро канорагирӣ кунед ва рамзи худро дар паҳлӯи системаи ҳост иҷро кунед. Агар CRI-O ба ҷои контейнер ва Docker барои идора кардани контейнерҳое, ки зери платформаи Kubernetes кор мекунанд, истифода шавад, ҳамлакунанда метавонад ҳама гиреҳи кластери Кубернетесро назорат кунад. Барои анҷом додани ҳамла, шумо танҳо ҳуқуқи кофӣ доред, ки контейнери худро дар кластери Kubernetes идора кунед.
Ин осебпазирӣ аз имкони тағир додани параметри sysctl ядрои "kernel.core_pattern" ("/proc/sys/kernel/core_pattern") ба вуҷуд омадааст, ки дастрасӣ ба он бо вуҷуди он ки дар байни параметрҳои бехатар барои тағирот, танҳо дар фазои номи контейнери ҷорӣ эътибор дорад. Бо истифода аз ин параметр, корбар аз контейнер метавонад рафтори ядрои Linux-ро дар робита ба коркарди файлҳои аслӣ дар паҳлӯи муҳити ҳост тағир диҳад ва оғози фармони худсаронаро бо ҳуқуқи реша дар тарафи ҳост бо нишон додани коркардкунанда ба монанди "|/bin/sh -c 'фармонҳо'" .
Мушкилот аз замони нашри CRI-O 1.19.0 вуҷуд дошт ва дар навсозиҳои 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ва 1.24.0 ислоҳ карда шуд. Дар байни тақсимот, мушкилот дар Red Hat OpenShift Container Platform ва маҳсулоти openSUSE/SUSE, ки дар анбори худ бастаи cri-o доранд, пайдо мешавад.
Манбаъ: opennet.ru