CVE-2022-0811

Versões do CRI-O de 1.19 a 1.23.1

Versões do CRI-O anteriores à 1.19.6

Versões do CRI-O anteriores à 1.20.7

Versões do CRI-O anteriores à 1.21.6

Versões do CRI-O anteriores à 1.22.3

Versões do CRI-O anteriores à 1.23.2

Versão 1.24.0 e anteriores do CRI-O

Foi encontrada uma falha no CRI-O na forma como ele define as opções do kernel para um pod, permitindo que qualquer pessoa com direitos para implantar um pod em um cluster do Kubernetes que utilize o runtime do CRI-O consiga escapar do contêiner e executar código arbitrário como root no nó do cluster. O problema está relacionado à falta de validação adequada dos parâmetros do kernel, o que pode ser explorado por um invasor para contornar as proteções e definir parâmetros arbitrários do kernel no host. Isso pode levar à fuga do contêiner e à execução de código arbitrário como root em qualquer nó do cluster.

Para as versões 1.19 a 1.23.1 do CRI-O, atualize para a versão 1.23.2 ou posterior para corrigir o problema.

Para versões do CRI-O anteriores à 1.19.6, atualize para a versão 1.19.6 ou posterior para corrigir o problema.

Para versões do CRI-O anteriores à 1.20.7, atualize para a versão 1.20.7 ou posterior para corrigir o problema.

Para versões do CRI-O anteriores à 1.21.6, atualize para a versão 1.21.6 ou posterior para corrigir o problema.

Para versões do CRI-O anteriores à 1.22.3, atualize para a versão 1.22.3 ou posterior para corrigir o problema.

Para versões do CRI-O anteriores à 1.23.2, atualize para a versão 1.23.2 ou posterior para corrigir o problema.

Para a versão 1.24.0 e anteriores do CRI-O, atualize para uma versão posterior à 1.24.0 para corrigir o problema.

Como solução temporária