【安全狗高危安全通告】Kubernetes CRI-O引擎任意代码执行漏洞

最新推荐文章于 2024-07-17 23:48:55 发布
最新推荐文章于 2024-07-17 23:48:55 发布
阅读量411 收藏
点赞数
分类专栏: 安全狗 文章标签: 安全 linux ubuntu debian
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocco/article/details/123642099
版权

近日,安全狗应急响应中心监测到网上公开披露了CRI-O中称为“cr8escape”的任意代码执行漏洞(CVE-2022-0811)。

漏洞描述

CRI-O是支持Kubernetes的容器运行时引擎,它是Kubernetes CRI(容器运行时接口)的一个实现,以实现使用OCI(开放容器倡议)兼容的运行时。

该漏洞是由于开发人员无意中在CRI-O 1.19版本中引入代码产生的安全问题。不法分子可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。任何有权限使用CRI-O运行时的Kubernetes集群上部署pod的人都可以通过滥用“kernel.core_pattern”内核参数,在集群中的任何节点上以root身份实现容器逃逸和任意代码执行。

安全通告信息

漏洞名称

Kubernetes CRI-O引擎任意代码执行漏洞

漏洞影响版本

CRI-O版本>1.19.0;

<1.19.6、<1.20.7、<1.21.6、<1.22.3、<1.23.2、<1.24.0

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://github.com/cri-o/cri-o/releases

安全狗总预警期数

211

安全狗发布预警日期

2022年03月18日

安全狗更新预警日期

2022年03月18日

发布者

安全狗海青实验室

处置措施

该漏洞已在3月15日发布的CRI-O版本1.19.6、1.20.7、1.21.6、1.22.3、1.23.2、1.24.0(暂未发布)中修复,受影响用户可以及时升级更新。

【下载链接】

https://github.com/cri-o/cri-o/releases

注:要确定主机是否受到影响:run crio—version

【缓解措施】

可以将manage_ns_lifecycle设置为false,这将导致sysctls由OCI运行时进行配置,将过滤此问题。该选项在1.20和1.19中可用,但较新的版本没有这个选项;或者可以创建一个admission webhook来拒绝在pod的sysctl值中指定+的pod。

【备注】:建议您在升级前做好数据备份工作,避免出现意外

bocco
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cri-o:基于开放容器倡议的Kubernetes容器运行时接口的实现
02-02
CRI-O-Kubernetes容器运行时接口的基于OCI的实现 兼容性矩阵:CRI-OKubernetes CRI-OKubernetes遵循相同的发布周期和弃用策略。 有关更多信息,请访问。 版本-分支 Kubernetes分支/版本 维护状态 CRI-O HEAD-...
fluentbit-containerd-cri-o-json-log:使用Fluent Bit解析CRI JSON日志-适用于fluentbit,kubernetes,contained和cri-o
05-28
带有容器,CRI-O和JSON的流利位随着dockerd弃用作为Kubernetes容器运行时,我们就搬到containerd 。 更改后,我们的fluentbit日志记录无法正确解析JSON日志。 containerd和CRI-O使用CRI Log格式,该格式略有不同,...
Kubernetes安全公告:发布v1.11.8、1.12.6、1.13.4以解决中等严重性CVE-2019-1002100
weixin_44100234的博客
03-04 498
Kubernetes安全公告:发布v1.11.8、1.12.6、1.13.4以解决中等严重性CVE-2019-1002100 Kubernetes社区你好, 在kube-apiserver中发现了拒绝服务漏洞,其中具有API写入权限的授权用户可以在处理写入请求时导致API服务器消耗过多的资源。问题是中等严重性,可以通过将kube-apiserver升级到v1.11.8、v1.12.6或v1.1...
KubernetesCRI-O 容器引擎中发现漏洞
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
03-21 374
鼓励在其环境中使用 KubernetesCRI-O 容器运行时的 Linux 管理员立即安装最新补丁以关闭严重漏洞。 此前,CrowdStrike 的安全研究人员在 CRI-O 中发现了该漏洞(跟踪为 CVE-2022-0811)。 它被称为“cr8escape”,它可以让攻击者逃离 Kubernetes 容器,获得对主机的 root 访问权限,并能够在集群中的任何位置移动。这将允许攻击者做任何事情,从执行恶意软件到复制数据和在 Pod 之间横向移动。 请注意,Kubernetes 是一种用于自动化.
Kubernetes出现重大漏洞 使黑客可透过 API 下达非授权命令
chexiu2195的博客
12-06 556
容器技术在网站开发上相当方便,也被各家云端业者支持。不过其中受欢迎的容器项目 Kubernetes,首度被回报重大漏洞。黑客只要用特殊的网络联机请求,就能透过 API 连到后端下达非授权不符权限的命令。 容器技术重要支持厂商红帽称 CVE-2018-1002105 漏洞为特权升级缺陷,除...
kubernetes/k8s源码分析】kubelet crio 启动源码分析
zhonglinzhang
08-12 3612
github:https://github.com/cri-o/cri-o Compatibility matrix: CRI-OKubernetes Version - Branch Kubernetes branch/version Maintenance status CRI-O 1.12.x - release-1.12 Kubernetes 1.1...
热门开源多媒体库 PJSIP 被爆5个内存损坏漏洞
smellycat000的专栏
03-02 333
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
cri-o_CRI-OKubernetes的所有运行时需求
cumo7370的博客
06-28 583
cri-o 在过去几年中,随着容器技术的使用大量增加,我们也看到了Docker的类似增长。 因为Docker使容器的创建比以前的解决方案更加容易,所以它Swift成为运行容器的最受欢迎的工具。 但是,Docker仅解决了部分问题很快就显而易见了。 尽管Docker非常适合在一台机器上本地运行容器,但对于在集群上大规模运行软件却效果不佳。 相反,需要一个编排系统,该系统可以帮助轻松地跨多台机器调度...
CRI-O的原理及应用详解(三)
凛鼕将至的博客
05-02 1860
CRI-O是一个用于运行容器的开源容器运行时项目。它是由Kubernetes社区推动的,旨在提供一个在Kubernetes集群中运行Pod时,符合Open Container Initiative (OCI) 标准的轻量级容器运行时。本文将跟随《CRI-O的原理及应用详解(二)》的进度,继续介绍CRI-O。希望通过本系列文章的学习,您将能够更好地理解CRI-O的内部工作原理,掌握CRI-O的使用技巧,以及通过合理的设计完成最佳实践,充分发挥优化CRI-O的潜力,为系统的高效运行提供有力保障。
kubernetes-server-linux-amd64.tar.gz 安装包
08-28
6. **container runtime**:如Docker或CRI-O,负责实际的容器运行、网络设置和存储绑定。Kubernetes与这些运行时接口通信,来启动、停止和管理容器。 7. **kube-proxy**:网络代理,负责实现Kubernetes的服务发现和...
Go-cri-o-基于OCI的实现Kubernetes容器运行时界面
08-14
综上所述,cri-o作为一个符合OCI标准的Kubernetes容器运行时,以其轻量、高效、安全的特性,成为了Docker之外的另一种选择,尤其适合对性能和安全有较高要求的环境。随着Kubernetes的广泛应用,cri-o在容器化领域的...
kubernetes-server-linux-amd64.tar
01-17
首先,你需要在所有参与的服务器上安装必要的依赖包,如Docker和cri-tools。然后,通过kubeadm初始化主节点,创建证书和配置文件,设置网络插件,最后加入工作节点。在这个过程中,"kubernetes-server-linux-amd64....
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 316
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 453
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 698
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 307
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 377
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
安全防御-用户认证综合实验
weixin_69863399的博客
07-12 471
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
cri-o 和containerd的区别
04-22
CRI-O和containerd都是用于管理容器运行时的工具,但它们在实现和目标上存在一些区别。 CRI-O是一个轻量级的容器...所以,总体来说,CRI-O更加专注于Kubernetes集成和安全,而containerd则更加通用并提供更多的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值