CRI-O-da muhim zaiflik (CVE-2022-0811) aniqlandi, bu izolyatsiyalangan konteynerlarni boshqarish uchun ish vaqti, bu sizga izolyatsiyani chetlab o'tish va kodingizni xost tizimi tomonida bajarish imkonini beradi. Agar Kubernetes platformasi ostida ishlaydigan konteynerlarni ishga tushirish uchun konteyner va Docker o‘rniga CRI-O ishlatilsa, tajovuzkor Kubernetes klasteridagi istalgan tugunni boshqarishi mumkin. Hujumni amalga oshirish uchun siz faqat Kubernetes klasterida konteyneringizni ishga tushirish uchun yetarli huquqlarga egasiz.
Zaiflik “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”) yadro sysctl parametrini o‘zgartirish imkoniyati bilan bog‘liq bo‘lib, unga kirish xavfsiz parametrlar qatoriga kirmasligiga qaramay, unga kirish bloklanmagan. o'zgartirish, faqat joriy konteyner nom maydonida amal qiladi. Ushbu parametrdan foydalanib, konteyner foydalanuvchisi Linux yadrosining asosiy fayllarni qayta ishlashga nisbatan xost muhiti tomonidagi xatti-harakatlarini o'zgartirishi va shunga o'xshash ishlov beruvchini belgilash orqali xost tomonida ildiz huquqlariga ega bo'lgan ixtiyoriy buyruqni ishga tushirishni tashkil qilishi mumkin. “|/bin/sh -c ‘buyruqlar’” .
Muammo CRI-O 1.19.0 versiyasi chiqqandan beri mavjud va 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 va 1.24.0 yangilanishlarida tuzatildi. Tarqatishlar orasida muammo Red Hat OpenShift Konteyner Platformasi va openSUSE/SUSE mahsulotlarida paydo bo'ladi, ularning omborlarida cri-o paketi mavjud.
Manba: opennet.ru