DFN-CERT

Advisory-Archiv

2022-0608: CRI-O, Red Hat OpenShift Container Platform: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2022-03-16 14:53)
Neues Advisory
Version 2 (2022-03-18 07:27)
Für Oracle Linux 7 (x86_64) sowie Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'cri-o' bereit.
Version 3 (2022-03-22 14:00)
Red Hat stellt Red Hat OpenShift Container Platform 4.9.25 als Sicherheitsupdate für Red Hat OpenShift Container Platform 4.9 für Red Hat Enterprise Linux 7 und 8 zur Verfügung.
Version 4 (2022-03-23 09:27)
Red Hat stellt Red Hat OpenShift Container Platform 4.7.45 als Sicherheitsupdate für Red Hat OpenShift Container Platform 4.7 sowie Red Hat OpenShift Container Platform 4.8.35 als Sicherheitsupdate für Red Hat OpenShift Container Platform 4.8 für Red Hat Enterprise Linux 7 und 8 zur Verfügung.
Version 5 (2022-03-23 17:38)
Red Hat stellt Red Hat OpenShift Container Platform 4.6.56 als Sicherheitsupdate für Red Hat OpenShift Container Platform 4.6 für Red Hat Enterprise Linux 7 und 8 zur Verfügung.
Version 6 (2022-03-25 08:15)
Für Fedora 34 und 35 Modular stehen Sicherheitsupdates für CRI-O auf Basis von Version 1.20.6 und 1.22.3 im Status 'testing' bereit, mit denen die Schwachstelle adressiert wird. Der Hersteller stellt die Versionen CRI-O 1.19.6, 1.20.7, 1.21.6, 1.22.3 und 1.23.2 als Sicherheitsupdates bereit.

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer mit der Berechtigung, einen Pod auf einem Kubernetes-Cluster zu installieren, kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode mit 'root'-Rechten auf jedem Node des Clusters auszuführen.

Red Hat stellt Red Hat OpenShift Container Platform 4.10.4 als Sicherheitsupdate in Form von RPM-Paketen und Container-Images zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2022-0811

Schwachstelle in CRI-O ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.