CRI-O میں ایک اہم کمزوری (CVE-2022-0811) کی نشاندہی کی گئی ہے، جو الگ تھلگ کنٹینرز کے انتظام کے لیے ایک رن ٹائم ہے، جو آپ کو تنہائی کو نظرانداز کرنے اور میزبان سسٹم کی طرف اپنے کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے۔ اگر Kubernetes پلیٹ فارم کے تحت چلنے والے کنٹینرز کو چلانے کے لیے کنٹینر اور ڈوکر کے بجائے CRI-O استعمال کیا جاتا ہے، تو حملہ آور Kubernetes کلسٹر میں کسی بھی نوڈ کا کنٹرول حاصل کر سکتا ہے۔ حملہ کرنے کے لیے، آپ کو اپنے کنٹینر کو Kubernetes کلسٹر میں چلانے کے لیے صرف کافی حقوق حاصل ہیں۔
کمزوری kernel sysctl پیرامیٹر "kernel.core_pattern" ("/proc/sys/kernel/core_pattern") کو تبدیل کرنے کے امکان کی وجہ سے ہوتی ہے، جس تک رسائی کو بلاک نہیں کیا گیا تھا، اس حقیقت کے باوجود کہ یہ پیرامیٹرز میں محفوظ نہیں ہے۔ تبدیلی، صرف موجودہ کنٹینر کے نام کی جگہ میں درست ہے۔ اس پیرامیٹر کا استعمال کرتے ہوئے، کنٹینر کا صارف میزبان ماحول کی طرف بنیادی فائلوں کی پروسیسنگ کے سلسلے میں لینکس کرنل کے رویے کو تبدیل کر سکتا ہے اور ایک ہینڈلر کی وضاحت کر کے ہوسٹ سائیڈ پر روٹ رائٹس کے ساتھ صوابدیدی کمانڈ کے اجراء کو منظم کر سکتا ہے۔ "|/bin/sh -c 'کمانڈز'"۔
یہ مسئلہ CRI-O 1.19.0 کے اجراء کے بعد سے موجود ہے اور اسے 1.19.6، 1.20.7، 1.21.6، 1.22.3، 1.23.2 اور 1.24.0 اپ ڈیٹس میں حل کیا گیا ہے۔ تقسیم کے درمیان، مسئلہ Red Hat OpenShift کنٹینر پلیٹ فارم اور openSUSE/SUSE پروڈکٹس میں ظاہر ہوتا ہے، جن کے ذخیروں میں cri-o پیکیج ہوتا ہے۔
ماخذ: opennet.ru