มีการระบุช่องโหว่ร้ายแรง (CVE-2022-0811) ใน CRI-O ซึ่งเป็นรันไทม์สำหรับจัดการคอนเทนเนอร์ที่แยกเดี่ยว ซึ่งช่วยให้คุณสามารถข้ามการแยกและรันโค้ดของคุณบนฝั่งระบบโฮสต์ได้ หากใช้ CRI-O แทนคอนเทนเนอร์และ Docker เพื่อเรียกใช้คอนเทนเนอร์ที่ทำงานภายใต้แพลตฟอร์ม Kubernetes ผู้โจมตีจะสามารถควบคุมโหนดใดก็ได้ในคลัสเตอร์ Kubernetes หากต้องการโจมตี คุณมีสิทธิ์เพียงพอที่จะเรียกใช้คอนเทนเนอร์ในคลัสเตอร์ Kubernetes เท่านั้น
ช่องโหว่นี้เกิดจากความเป็นไปได้ในการเปลี่ยนแปลงพารามิเตอร์เคอร์เนล sysctl “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) การเข้าถึงที่ไม่ได้ถูกบล็อก แม้ว่าจะไม่ได้อยู่ในพารามิเตอร์ที่ปลอดภัยก็ตาม เปลี่ยน ใช้ได้เฉพาะในเนมสเปซของคอนเทนเนอร์ปัจจุบันเท่านั้น การใช้พารามิเตอร์นี้ ผู้ใช้จากคอนเทนเนอร์สามารถเปลี่ยนพฤติกรรมของเคอร์เนล Linux โดยคำนึงถึงการประมวลผลไฟล์หลักที่ด้านข้างของสภาพแวดล้อมโฮสต์ และจัดระเบียบการเปิดตัวคำสั่งที่กำหนดเองด้วยสิทธิ์รูทบนฝั่งโฮสต์โดยการระบุตัวจัดการเช่น “|/bin/sh -c 'คำสั่ง'”
ปัญหานี้เกิดขึ้นตั้งแต่เปิดตัว CRI-O 1.19.0 และได้รับการแก้ไขแล้วในการอัพเดต 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 และ 1.24.0 ในบรรดาการแจกจ่าย ปัญหาปรากฏใน Red Hat OpenShift Container Platform และผลิตภัณฑ์ openSUSE/SUSE ซึ่งมีแพ็คเกจ cri-o อยู่ในที่เก็บข้อมูล
ที่มา: opennet.ru