Ang isang kritikal na kahinaan (CVE-2022-0811) ay natukoy sa CRI-O, isang runtime para sa pamamahala ng mga nakahiwalay na lalagyan, na nagbibigay-daan sa iyong i-bypass ang paghihiwalay at isagawa ang iyong code sa panig ng host system. Kung CRI-O ang ginagamit sa halip na containerd at Docker para magpatakbo ng mga container na tumatakbo sa ilalim ng Kubernetes platform, ang isang attacker ay maaaring makakuha ng kontrol sa anumang node sa Kubernetes cluster. Upang magsagawa ng pag-atake, mayroon ka lamang sapat na mga karapatan upang patakbuhin ang iyong container sa cluster ng Kubernetes.
Ang kahinaan ay sanhi ng posibilidad na baguhin ang kernel sysctl parameter na "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), ang pag-access kung saan ay hindi na-block, sa kabila ng katotohanan na hindi ito kabilang sa mga parameter na ligtas para sa pagbabago, valid lang sa namespace ng kasalukuyang container. Gamit ang parameter na ito, maaaring baguhin ng isang user mula sa isang container ang pag-uugali ng Linux kernel patungkol sa pagproseso ng mga core file sa gilid ng host environment at ayusin ang paglulunsad ng isang arbitrary na command na may mga root rights sa host side sa pamamagitan ng pagtukoy ng handler tulad ng β|/bin/sh -c 'mga utos'β .
Ang problema ay naroroon mula noong inilabas ang CRI-O 1.19.0 at naayos sa mga update 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 at 1.24.0. Sa mga distribusyon, lumilitaw ang problema sa Red Hat OpenShift Container Platform at openSUSE/SUSE na mga produkto, na mayroong cri-o package sa kanilang mga repositoryo.
Pinagmulan: opennet.ru