The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению

21.03.2022 16:50

В CRI-O, runtime для управления изолированными контейнерами, выявлена критическая уязвимость (CVE-2022-0811), позволяющая обойти изоляцию и выполнить свой код на стороне хост-системы. В случае использования CRI-O вместо containerd и Docker для организации запуска контейнеров, работающих под управлением платформы Kubernetes, атакующий может получить контроль над любым узлом в кластере Kubernetes. Для проведения атаки достаточно прав для запуска своего контейнера в кластере Kubernetes.

Уязвимость вызвана возможностью изменения sysctl-параметра ядра "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), доступ к которому не блокировался, несмотря на то, что он не входит в число безопасных для изменения параметров, действующих только в пространстве имён текущего контейнера. При помощи данного параметра пользователь из контейнера может изменить поведение ядра Linux в отношении обработки core-файлов на стороне хост-окружения и организовать запуск произвольной команды с правами root на стороне хоста, указав обработчик типа "|/bin/sh -c 'команды'".

Проблема проявляется начиная с выпуска CRI-O 1.19.0 и устранена в обновлениях 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 и 1.24.0. Из дистрибутивов проблема проявляется в продуктах Red Hat OpenShift Container Platform и openSUSE/SUSE, в репозиториях которых имеется пакет cri-o.

  1. Главная ссылка к новости (https://www.crowdstrike.com/bl...)
  2. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
  3. OpenNews: Уязвимость в Docker, позволяющая выбраться из контейнера
  4. OpenNews: Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера
  5. OpenNews: Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера
  6. OpenNews: В Kubernetes 1.13 устранена критическая уязвимость, позволяющая поднять свои привилегии
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56886-cri-o
Ключевые слова: cri-o, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, . (?), 17:19, 21/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    изолированные контейнеры опять неизолированные, да что ж такое-то...

     
     
  • 2.2, CPU Load (?), 17:23, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Какая изоляция, такие и контейнеры. Протекает изоляция местами ))
     
     
  • 3.19, Аноним (19), 21:14, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Троянская изоляция.
     
  • 3.20, InuYasha (??), 21:47, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пробивает. Киловольт на сантиметр )
     
  • 2.6, Аноним (6), 18:01, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А безопасные языки небезопасны. Мир несправедлив.  
     
  • 2.15, BorichL (ok), 19:28, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "Добро пожаловать в реальный мир, Нео" (с)   :-)
     
  • 2.16, Аноним (-), 19:52, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Безопастность по игогошному, как то
    > указав обработчик типа "|/bin/sh -c 'команды'".
     
     
  • 3.17, MaleDog (?), 20:18, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не очень понял при чем здесь go. os/exec конструкцию "ls | grep sh" скормить нельзя. Pipe там иным образом организовывается. Так же как нельзя по умолчанию манипулировать параметрами передаваемыми внешней команде.Все они передаются массивом строк и дописать один из них не получится. То что некоторые программисты идут на сознательное нарушение всех принципов безопасности, даже при создании безопасного приложения, не проблема языка.
     
     
  • 4.18, Аноним (-), 20:40, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это про низкоуровневые вызовы типа execve? Там так не выйдет но это ж игогошки, у них так не игого, им бы что-то типа system()
     

  • 1.5, Аноним (5), 17:57, 21/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > альтернативном runtime для управления изолированными контейнерами

    альтернитивном чему? Докер депрекейтнули 2 релиза кубера назад.
    Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.
    Короче, "альтернативным" cri-o неправильно называть.

     
     
  • 2.7, Аноним (6), 18:05, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от какого-то там стартапа под названием докер, тем более докер не хотят продаваться.  Это всё та же история с системд только про кубер.  
     
     
  • 3.9, Аноним (9), 18:32, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит "не хотят"? Они два года как продались нахрен, новые хозяева уволили всех разработчиков (кому эти макаки игогошники нужны были) и оставили себе сладкое - репо с образами. А код писать - вон, гугль что-ли, пусть займется...или там rhbm.

    Ой, а у тех опять г-но получилось. Место чтоль, правда, проклятое?

     
     
  • 4.10, Аноним (6), 18:51, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они продали какую-то часть, которая отвечала за Docker Enterprise. Тем более продали не Гуглу что некошерно.  Вот и имеем nih-синдромы из всех щелей.  
     
  • 2.8, Аноним (8), 18:27, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    containerd все же де-факто стандарт
     
     
  • 3.11, Аноним (6), 18:54, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это не на долго.  
     
     
  • 4.13, Аноним (13), 18:57, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага. Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут.
     
  • 2.12, Аноним (13), 18:56, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.

    Да ладно! containerd остался дефолтом и наследником докера.
    CRI-O - сугубо редхатовское местечковое решение, они даже не парятся о кросс-дистрибутивной поддержке. А с бесплатной версией RH для серверов сейчас некоторые проблемы из-за обострения жадности у редхатовских манагеров.

     
     
  • 3.14, Аноним (14), 19:11, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >они даже не парятся о кросс-дистрибутивной поддержке.

    Это потому все наработки по cri-o пилятся в opensuse?

     
     
  • 4.22, hohax (?), 22:36, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ой ли?
     

  • 1.21, InuYasha (??), 21:49, 21/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Были же какие-то линуксовые нативные [hide]сишные[/hide] контейнеры, не? Или они недостаточно оправдывают необходимость закупок нового железа?
     
     
  • 2.23, nvidiaamd (?), 00:19, 22/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты про systemd-nspawn? Тоже удивляюсь почему с ним куб не работает.
     
     
  • 3.24, Аноним (24), 11:14, 22/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Куб работает со всем, что поддерживает стандарт CRI.
    Люди пользуются только тем, что поддерживает стандарт OCI.
    containerd и cri-o поддерживают и то, и другое, systemd-nspawn - ничего из перечисленного.
     
     
  • 4.25, Аноним (-), 15:50, 22/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И какие организации стандартизации подписались за "стандарты"? Номера стандартов? Или типа если сколотил фаундейшн и вывалил пасквиль то все, стандарт?
     
     
  • 5.26, Онаним (?), 10:07, 23/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно, не трожьте болезненный merit bloat.
     
  • 5.27, rhbm (?), 17:04, 24/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > И какие организации стандартизации подписались за "стандарты"?

    Мы. Вы systemd/linoops сожрали вместо юникс-системы без патентных проблем? Мы ваш новый стандарт!

    И это сожрете. И еще добавки попросите. Вам же лишь бы шва...бесплатно, нахалявку и побольше.

    А мы потом вам сделаем опа, и ваше 6ешплатно будет работать примерно как OKD - "скачайте воооонизтогоместа внутри rhn бинарник для бутстрапа - мы работаем над этим [хахаха, нет] но пока вот такой вам впопенсорсе". А когда оно вас таки подзатрахает - приходите в кассу и несите дань за тридцать лет и три года.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2023 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру