2019年2月14日 星期四

[經驗分享]關於 Proxmox VE 漏洞修補與更新速度



Proxmox VE 是一套開放原始碼的平台套件,但是在更新速度上的效率如何呢?安全性的狀況又如何呢?

除了去年我在一場演講中提到「開源與閉源的安全性議題」之外,最近剛好也有個案例可以分享。








容器漏洞

就在最近,有個容器經常使用的 runC 套件被揭露具有嚴重的問題 (CVE-2019-5736),能夠讓入侵者掌握容器的管理權限甚至是建立新的容器。

由於容器技術在雲端世代運用極為廣泛,這個問題幾乎涵蓋了所有平台,諸如 Amazon、Google、Redhat...等,各家也立即展開修補動作。


iThome 報導 runC 套件漏洞資訊






修補狀況

對於我們很喜愛使用的 Proxmox VE 使用者來說,使用的 LXC 容器技術同樣也受到這個問題的威脅,那麼 Proxmox VE 這邊的修補情況又是如何呢?

我們來到官方團隊的 git 伺服器,看看專案的狀況進行了解。

PVE 修正進度


依據 iThome 新聞指向的來源顯示,在 2/11 揭露 runC 漏洞存在,PVE 團隊在 2/12 就立即合併了來自 Debian 的修補檔。

PVE 版本更新進度


在完成修補檔的合併之後,PVE 團隊立刻在同一時間就推進了 lxc-pve 套件的版本號,而且立即開放使用者更新。

PVE 版本更新






結論

對於 PVE 開發團重視安全的程度以及處理的時效,讓我們身為使用者感受到非常安心。儘管他是開源軟體,但是更新與修補的速度並沒有比較慢,在很多情況下甚至比閉源軟體還要快速。

類似的案例在過去也多次上演,例如 Intel CPU 的 Spectre & Meltdown 漏洞,甚至是更早之前的 SambaCry 等,都在上游套件發出更新修補後,PVE 在極快的時間內合併進入且發出更新。

除了推出更新與修補檔以外,更重要的是 PVE 一直以來的版本更新非常嚴謹,每次版本更新均相當順利,我從來沒有因為更新而造成虛擬機器停止服務,或是系統故障。

我想若每次更新都要要停機,或是需要很複雜的手續,或是都要靠運氣來賭更新會不會成功,這是很可怕的事,還好我選擇了 PVE,沒有這回事。






參考資料