Yalıtılmış kapsayıcıları yönetmeye yönelik bir çalışma zamanı olan CRI-O'da, yalıtımı atlamanıza ve kodunuzu ana sistem tarafında yürütmenize olanak tanıyan kritik bir güvenlik açığı (CVE-2022-0811) belirlendi. Kubernetes platformu altında çalışan konteynerleri çalıştırmak için Containerd ve Docker yerine CRI-O kullanılırsa, saldırgan Kubernetes kümesindeki herhangi bir düğümün kontrolünü ele geçirebilir. Bir saldırı gerçekleştirmek için yalnızca konteynerinizi Kubernetes kümesinde çalıştırmaya yetecek haklara sahipsiniz.
Güvenlik açığı, güvenli parametreler arasında olmamasına rağmen erişimi engellenmeyen çekirdek sysctl parametresi “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) değiştirilme olasılığından kaynaklanıyor değişiklik, yalnızca geçerli kapsayıcının ad alanında geçerlidir. Bu parametreyi kullanarak, bir konteynerdeki bir kullanıcı, ana bilgisayar ortamı tarafındaki çekirdek dosyaların işlenmesiyle ilgili olarak Linux çekirdeğinin davranışını değiştirebilir ve aşağıdaki gibi bir işleyici belirterek ana bilgisayar tarafında kök haklarına sahip rastgele bir komutun başlatılmasını düzenleyebilir. “|/bin/sh -c 'komutlar'” .
Sorun, CRI-O 1.19.0'ın yayımlanmasından bu yana mevcuttur ve 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 ve 1.24.0 güncellemelerinde giderilmiştir. Dağıtımlar arasında sorun, depolarında cri-o paketi bulunan Red Hat OpenShift Container Platform ve openSUSE/SUSE ürünlerinde ortaya çıkıyor.
Kaynak: opennet.ru