文档首页/ 云容器引擎 CCE/ 用户指南(巴黎区域)/ 产品公告/ 漏洞公告/ CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811)
更新时间:2023-07-06 GMT+08:00

CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811)

漏洞详情

crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数,在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。

该问题已被收录为CVE-2022-0811。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

容器逃逸

CVE-2022-0811

2021-03-16

漏洞影响

该漏洞影响范围为使用了CRI-O的Kubernetes集群,CRI-O的版本大于1.19,涉及的补丁版本包括1.19.6、1.20.7、1.21.6、1.22.3、1.23.2、1.24.0。

CCE集群未使用CRI-O,因此不受此漏洞影响。

漏洞修复方案

  1. 1.19、1.20版本CRI-O,将manage_ns_lifecycle设置为false, 由OCI运行时配置sysctl。
  2. 创建PodSecurityPolicy,将所有sysctl指定为false。
  3. 及时升级CRI-O版本。

相关链接

  1. Red Hat社区漏洞公告:https://access.redhat.com/security/cve/cve-2022-0811
  2. cr8escape: New Vulnerability in CRI-O Container Engine Discovered by CrowdStrike:https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/