2024年度クラウドネイティブセキュリティおよび利用状況レポート
Crowdstrikeが発見したCRI-Oコンテナエンジンの新しい脆弱性CVE-2022-0811(別名cr8escape、CVSS 8.8)は、バージョン1.19以上のCRI-Oと、これを利用するKubernetesやOpenShift(バージョン4.6~4.10)に影響します。
この脆弱性を悪用すると、攻撃者はホストを侵害し、任意のコードを実行できる可能性があります。
CRI-OはOCI互換のランタイムを実行するプラットフォームで、KubernetesのコンテナエンジンとしてDockerを代替できます。
CVE-2022-0811は、pinnsユーティリティのサポート追加により生じた脆弱性で、適切な検証なしに任意のカーネルパラメータを設定できる欠陥があります。
対策として、CRI-Oのパッチを適用するか、FalcoやOPAを使用して悪用の試みを検出し、防ぐことが推奨されます。
