CRI-O(用於管理隔離容器的執行時間)中發現了一個嚴重漏洞 (CVE-2022-0811),它允許您繞過隔離並在主機系統端執行程式碼。 如果使用CRI-O取代containerd和Docker來運作在Kubernetes平台下運作的容器,攻擊者就可以控制Kubernetes叢集中的任何節點。 要進行攻擊,您只有足夠的權限在 Kubernetes 叢集中執行容器。
這個漏洞是由於可能更改核心sysctl 參數“kernel.core_pattern”(“/proc/sys/kernel/core_pattern”)而引起的,儘管事實上該參數不屬於安全參數,但對該參數的存取並未被阻止。更改,僅在目前容器的命名空間中有效。 使用此參數,容器中的使用者可以更改 Linux 核心在主機環境端處理核心檔案的行為,並透過指定類似處理程序來組織在主機端以 root 權限啟動任意命令“|/bin/sh -c '命令' 」。
該問題自 CRI-O 1.19.0 發布以來一直存在,並在更新 1.19.6、1.20.7、1.21.6、1.22.3、1.23.2 和 1.24.0 中修復。 在這些發行版中,該問題出現在 Red Hat OpenShift Container Platform 和 openSUSE/SUSE 產品中,這些產品的儲存庫中包含 cri-o 軟體包。
來源: opennet.ru