У CRI-O, runtime для керування ізольованими контейнерами, виявлено критичну вразливість (CVE-2022-0811), що дозволяє обійти ізоляцію та виконати свій код на стороні хост-системи. У разі використання CRI-O замість containerd та Docker для організації запуску контейнерів, що працюють під керуванням платформи Kubernetes, атакуючий може отримати контроль над будь-яким вузлом у кластері Kubernetes. Для атаки достатньо прав для запуску свого контейнера в кластері Kubernetes.
Уразливість викликана можливістю зміни sysctl-параметра ядра "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), доступ до якого не блокувався, незважаючи на те, що він не входить до числа безпечних для зміни параметрів, що діють тільки в простір імен поточного контейнера. За допомогою цього параметра користувач з контейнера може змінити поведінку ядра Linux щодо обробки core-файлів на стороні хост-оточення та організувати запуск довільної команди з правами root на стороні хоста, вказавши обробник типу «|/bin/sh -c 'команди'» .
Проблема проявляється починаючи з випуску CRI-O 1.19.0 та усунена в оновленнях 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 та 1.24.0. З дистрибутивів проблема проявляється у продуктах Red Hat OpenShift Container Platform та openSUSE/SUSE, у репозиторіях яких є пакет cri-o.
Джерело: opennet.ru