更新时间:2023-07-06 GMT+08:00
CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811)
漏洞详情
crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数,在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。
该问题已被收录为CVE-2022-0811。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
容器逃逸 |
CVE-2022-0811 |
高 |
2021-03-16 |
漏洞影响
该漏洞影响范围为使用了CRI-O的Kubernetes集群,CRI-O的版本大于1.19,涉及的补丁版本包括1.19.6、1.20.7、1.21.6、1.22.3、1.23.2、1.24.0。
CCE集群未使用CRI-O,因此不受此漏洞影响。
漏洞修复方案
- 1.19、1.20版本CRI-O,将manage_ns_lifecycle设置为false, 由OCI运行时配置sysctl。
- 创建PodSecurityPolicy,将所有sysctl指定为false。
- 及时升级CRI-O版本。
相关链接
- Red Hat社区漏洞公告:https://access.redhat.com/security/cve/cve-2022-0811
- cr8escape: New Vulnerability in CRI-O Container Engine Discovered by CrowdStrike:https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/
父主题: 漏洞公告