Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению

21.03.2022 16:50

В CRI-O, runtime для управления изолированными контейнерами, выявлена критическая уязвимость (CVE-2022-0811), позволяющая обойти изоляцию и выполнить свой код на стороне хост-системы. В случае использования CRI-O вместо containerd и Docker для организации запуска контейнеров, работающих под управлением платформы Kubernetes, атакующий может получить контроль над любым узлом в кластере Kubernetes. Для проведения атаки достаточно прав для запуска своего контейнера в кластере Kubernetes.

Уязвимость вызвана возможностью изменения sysctl-параметра ядра "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), доступ к которому не блокировался, несмотря на то, что он не входит в число безопасных для изменения параметров, действующих только в пространстве имён текущего контейнера. При помощи данного параметра пользователь из контейнера может изменить поведение ядра Linux в отношении обработки core-файлов на стороне хост-окружения и организовать запуск произвольной команды с правами root на стороне хоста, указав обработчик типа "|/bin/sh -c 'команды'".

Проблема проявляется начиная с выпуска CRI-O 1.19.0 и устранена в обновлениях 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 и 1.24.0. Из дистрибутивов проблема проявляется в продуктах Red Hat OpenShift Container Platform и openSUSE/SUSE, в репозиториях которых имеется пакет cri-o.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56886-cri-o

Ключевые слова: cri-o, container

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.1, . (?), 17:19, 21/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+21 +/–
изолированные контейнеры опять неизолированные, да что ж такое-то...

2.2, CPU Load (?), 17:23, 21/03/2022 [^] [^^] [^^^] [ответить]	+6 +/–
Какая изоляция, такие и контейнеры. Протекает изоляция местами ))

3.19, Аноним (19), 21:14, 21/03/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Троянская изоляция.

3.20, InuYasha (??), 21:47, 21/03/2022 [^] [^^] [^^^] [ответить]	+/–
Пробивает. Киловольт на сантиметр )

2.6, Аноним (6), 18:01, 21/03/2022 [^] [^^] [^^^] [ответить]	+2 +/–
А безопасные языки небезопасны. Мир несправедлив.

2.15, BorichL (ok), 19:28, 21/03/2022 [^] [^^] [^^^] [ответить]	+/–
"Добро пожаловать в реальный мир, Нео" (с) :-)

2.16, Аноним (-), 19:52, 21/03/2022 [^] [^^] [^^^] [ответить]	+/–
Безопастность по игогошному, как то > указав обработчик типа "\|/bin/sh -c 'команды'".

3.17, MaleDog (?), 20:18, 21/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Не очень понял при чем здесь go. os/exec конструкцию "ls \| grep sh" скормить нельзя. Pipe там иным образом организовывается. Так же как нельзя по умолчанию манипулировать параметрами передаваемыми внешней команде.Все они передаются массивом строк и дописать один из них не получится. То что некоторые программисты идут на сознательное нарушение всех принципов безопасности, даже при создании безопасного приложения, не проблема языка.

4.18, Аноним (-), 20:40, 21/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Это про низкоуровневые вызовы типа execve? Там так не выйдет но это ж игогошки, у них так не игого, им бы что-то типа system()

1.5, Аноним (5), 17:57, 21/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> альтернативном runtime для управления изолированными контейнерами альтернитивном чему? Докер депрекейтнули 2 релиза кубера назад. Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет. Короче, "альтернативным" cri-o неправильно называть.

2.7, Аноним (6), 18:05, 21/03/2022 [^] [^^] [^^^] [ответить]	+/–
Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от какого-то там стартапа под названием докер, тем более докер не хотят продаваться. Это всё та же история с системд только про кубер.

3.9, Аноним (9), 18:32, 21/03/2022 [^] [^^] [^^^] [ответить]

+/–

Что значит "не хотят"? Они два года как продались нахрен, новые хозяева уволили всех разработчиков (кому эти макаки игогошники нужны были) и оставили себе сладкое - репо с образами. А код писать - вон, гугль что-ли, пусть займется...или там rhbm.

Ой, а у тех опять г-но получилось. Место чтоль, правда, проклятое?

4.10, Аноним (6), 18:51, 21/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Они продали какую-то часть, которая отвечала за Docker Enterprise. Тем более продали не Гуглу что некошерно. Вот и имеем nih-синдромы из всех щелей.

2.8, Аноним (8), 18:27, 21/03/2022 [^] [^^] [^^^] [ответить]	+4 +/–
containerd все же де-факто стандарт

3.11, Аноним (6), 18:54, 21/03/2022 [^] [^^] [^^^] [ответить]	+/–
Это не на долго.

4.13, Аноним (13), 18:57, 21/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Ага. Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут.

2.12, Аноним (13), 18:56, 21/03/2022 [^] [^^] [^^^] [ответить]	+2 +/–
> Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет. Да ладно! containerd остался дефолтом и наследником докера. CRI-O - сугубо редхатовское местечковое решение, они даже не парятся о кросс-дистрибутивной поддержке. А с бесплатной версией RH для серверов сейчас некоторые проблемы из-за обострения жадности у редхатовских манагеров.

3.14, Аноним (14), 19:11, 21/03/2022 [^] [^^] [^^^] [ответить]	+/–
>они даже не парятся о кросс-дистрибутивной поддержке. Это потому все наработки по cri-o пилятся в opensuse?

4.22, hohax (?), 22:36, 21/03/2022 [^] [^^] [^^^] [ответить]	+/–
Ой ли?

1.21, InuYasha (??), 21:49, 21/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Были же какие-то линуксовые нативные [hide]сишные[/hide] контейнеры, не? Или они недостаточно оправдывают необходимость закупок нового железа?

2.23, nvidiaamd (?), 00:19, 22/03/2022 [^] [^^] [^^^] [ответить]	+/–
Ты про systemd-nspawn? Тоже удивляюсь почему с ним куб не работает.

3.24, Аноним (24), 11:14, 22/03/2022 [^] [^^] [^^^] [ответить]	+/–
Куб работает со всем, что поддерживает стандарт CRI. Люди пользуются только тем, что поддерживает стандарт OCI. containerd и cri-o поддерживают и то, и другое, systemd-nspawn - ничего из перечисленного.

4.25, Аноним (-), 15:50, 22/03/2022 [^] [^^] [^^^] [ответить]	+/–
И какие организации стандартизации подписались за "стандарты"? Номера стандартов? Или типа если сколотил фаундейшн и вывалил пасквиль то все, стандарт?

5.26, Онаним (?), 10:07, 23/03/2022 [^] [^^] [^^^] [ответить]	+/–
Да ладно, не трожьте болезненный merit bloat.

5.27, rhbm (?), 17:04, 24/03/2022 [^] [^^] [^^^] [ответить]

+/–

> И какие организации стандартизации подписались за "стандарты"?

Мы. Вы systemd/linoops сожрали вместо юникс-системы без патентных проблем? Мы ваш новый стандарт!

И это сожрете. И еще добавки попросите. Вам же лишь бы шва...бесплатно, нахалявку и побольше.

А мы потом вам сделаем опа, и ваше 6ешплатно будет работать примерно как OKD - "скачайте воооонизтогоместа внутри rhn бинарник для бутстрапа - мы работаем над этим [хахаха, нет] но пока вот такой вам впопенсорсе". А когда оно вас таки подзатрахает - приходите в кассу и несите дань за тридцать лет и три года.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: