大工网安告[2022]011号

一、情况分析

CRI-O是支持 Kubernetes 的容器运行时引擎，它是Kubernetes CRI（容器运行时接口）的一个实现，以实现使用OCI（开放容器倡议）兼容的运行时。

近日，研究人员公开披露了CRI-O 中称为“cr8escape”的任意代码执行漏洞（CVE-2022-0811），该漏洞的CVSS评分为8.8。

该漏洞是由于开发人员无意中在CRI-O 1.19 版本中的引入代码存在安全问题，可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。任何有权在使用 CRI-O 运行时的 Kubernetes 集群上部署 pod 的人都可以通过滥用“kernel.core_pattern”内核参数，在集群中的任何节点上以 root 身份实现容器逃逸和任意代码执行

二、影响版本

CRI-O版本 > 1.19.0

三、处置建议

该漏洞已在3月15日发布的CRI-O版本1.19.6、1.20.7、1.21.6、1.22.3、1.23.2、1.24.0（暂未发布）中修复，受影响用户可以及时升级更新。

下载链接：

https://github.com/cri-o/cri-o/releases