Cri-o
Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.19046
Распределение по критичности
Критический
0
Высокий
5
Средний
9
Низкий
1
Также сопоставлено как (исходные строки): cri-o
Топ уязвимостей
CVE-2022-0811Обнаружена уязвимость в CRI-O в способе установки параметров ядра для pod. Эта проблема позволяет любому, у кого есть права на развертывание pod в кластере Kubernetes, использующем среду выполнения CRI-O, добиться выхода из контейнера и выполнения произвольного кода от имени root на узле кластера, где был развернут вредоносный pod.
CVE-2024-5154Обнаружена уязвимость в cri-o. Вредоносный контейнер может создать символическую ссылку на произвольные файлы на хосте через обход каталогов (“../“). Эта уязвимость позволяет контейнеру читать и записывать произвольные файлы в хост-системе.
CVE-2022-4318Обнаружена уязвимость в cri-o. Эта проблема позволяет добавлять произвольные строки в /etc/passwd посредством использования специально созданной переменной окружения.
CVE-2024-8676Обнаружена уязвимость в CRI-O, при которой можно запросить создание архивной контрольной точки контейнера и позже запросить ее восстановление. При восстановлении он пытается восстановить точки монтирования из архива восстановления вместо запроса pod. В результате проверки, выполняемые в спецификации pod, подтверждающие, что pod имеет доступ к указанным точкам монтирования, не применимы к восстановленному контейнеру. Этот недостаток позволяет злоумышленнику обманом заставить CRI-O восстановить pod, у которого нет доступа к точкам монтирования хоста. Пользователю необходим доступ к сокету kubelet или cri-o, чтобы вызвать конечную точку восстановления и запустить восстановление.
CVE-2024-3154Обнаружена уязвимость в cri-o, где произвольное свойство systemd может быть внедрено через аннотацию Pod. Любой пользователь, который может создать pod с произвольной аннотацией, может выполнить произвольное действие в хост-системе.
CVE-2022-1708Обнаружена уязвимость в CRI-O, которая вызывает истощение памяти или дискового пространства на узле для любого пользователя, имеющего доступ к Kube API. Запрос ExecSync выполняет команды в контейнере и регистрирует вывод команды. Затем этот вывод считывается CRI-O после выполнения команды, и он считывается таким образом, что считывается весь файл, соответствующий выводу команды. Таким образом, если вывод команды велик, возможно исчерпать память или дисковое пространство узла, когда CRI-O считывает вывод команды. Наивысшая угроза от этой уязвимости - доступность системы.
CVE-2025-0750Уязвимость была обнаружена в CRI-O. Проблема с обходом путей в функциях управления журналом (UnMountPodLogs и LinkContainerLogs) может позволить злоумышленнику с правами на создание и удаление Pod'ов размонтировать произвольные пути на хосте, что приведет к отказу в обслуживании на уровне узла из-за размонтирования критически важных системных директорий.
CVE-2023-6476Обнаружена ошибка в CRI-O, связанная с экспериментальной аннотацией, приводящей к тому, что контейнер становится неограниченным. Это может позволить поду указать и получить любое количество памяти/процессора, обходя планировщик kubernetes и потенциально приводя к отказу в обслуживании в узле.
CVE-2025-4437В приложении CRI-O есть уязвимость, при которой при запуске контейнера с securityContext.runAsUser, указывающими несуществующего пользователя, CRI-O пытается создать пользователя, считывая весь файл контейнера /etc/passwd в память. Если этот файл слишком большой, это может привести к тому, что высокое потребление памяти, ведущего приложения, будут убиты из-за отсутствия памяти. В результате может быть достигнут отказ в обслуживании, что может нарушить работу других капсул и сервисов, работающих в одном и том же хосте.
CVE-2019-14891Уязвимость была обнаружена в cri-o в результате того, что все процессы, связанные с pod, помещаются в одну и ту же группу памяти cgroup. Это может привести к завершению процессов управления контейнерами (conmon), если процесс рабочей нагрузки вызывает состояние нехватки памяти (OOM) для cgroup. Злоумышленник может использовать эту уязвимость для получения доступа к сети хоста на хосте cri-o.
CVE-2022-3466Версия cri-o, выпущенная для Red Hat OpenShift Container Platform 4.9.48, 4.10.31 и 4.11.6 через RHBA-2022:6316, RHBA-2022:6257 и RHBA-2022:6658, соответственно, включала неправильную версию cri-o, в которой отсутствовало исправление для CVE-2022-27652, которое ранее было исправлено в OCP 4.9.41 и 4.10.12 через RHBA-2022:5433 и RHSA-2022:1600. Эта проблема может позволить злоумышленнику, имеющему доступ к программам с наследуемыми возможностями файлов, повысить эти возможности до разрешенного набора при запуске execve(2). Более подробную информацию см. на странице https://access.redhat.com/security/cve/CVE-2022-27652.
CVE-2022-27652Обнаружена уязвимость в cri-o, где контейнеры запускались некорректно с непустыми разрешениями по умолчанию. Обнаружена уязвимость в Moby (Docker Engine), где контейнеры запускались некорректно с непустыми наследуемыми возможностями процесса Linux. Эта уязвимость позволяет злоумышленнику с доступом к программам с наследуемыми возможностями файлов повысить эти возможности до разрешенного набора при запуске execve(2).
CVE-2018-1000400Kubernetes CRI-O версии до 1.9 содержит ошибку переключения контекста привилегий (CWE-270) при обработке окружающих возможностей, что может привести к тому, что контейнеры будут работать с повышенными привилегиями, предоставляя пользователям возможности, которых у них не должно быть. Эта атака, по-видимому, может быть использована посредством выполнения контейнера. Эта уязвимость, по-видимому, была исправлена в версии 1.9.
CVE-2022-0532В CRI-O 1.18 и более ранних версиях обнаружена уязвимость, связанная с некорректной проверкой sysctls. Sysctls из списка "безопасных" sysctls, указанных для кластера, будут применены к хосту, если злоумышленник сможет создать pod с пространством имен ядра hostIPC и hostNetwork.
CVE-2022-2995Неправильная обработка дополнительных групп в контейнерном движке CRI-O может привести к раскрытию конфиденциальной информации или возможной модификации данных, если злоумышленник имеет прямой доступ к уязвимому контейнеру, где дополнительные группы используются для установки разрешений доступа, и может выполнить двоичный код в этом контейнере.