【开源村快讯】Kubernetes曝漏洞、Kata Container 发布 1.4 版本

Kubernetes曝漏洞！可取得管理员权限

近期Kubernetes爆出信息安全漏洞，Kubernetes 产品安全团队表示，近日在 Kubernetes API Server 内存在权限扩张漏洞，发现此漏洞的开发者为 Rancher 共同创办人兼首席架构师 Darren Shepherd 。

目前 Kubernetes 开发团队已经发布 V1.10.11、V1.11.5 及 V1.12.3 ，以解决该漏洞带来的风险。参与 Kubernetes 安全团队的 Google 高级工程师 Jordan Liggitt 建议，在集群内执行先前版本 Kubernetes 的企业用户，得尽速择一版本进行更新。

此漏洞编号为 CVE-2018-1002105 ，让攻击者可以发送特殊的系统请求，经由 Kubernetes API Server ，与企业内部后端服务器进行连线，借由取得 Kubernetes API Server 的认证，攻击者就能利用既有连线，任意向后端服务器发送请求。

红帽云端平台副总裁 Ashesh Badani 表示，此权限扩张漏洞的影响非常重大，可让不法人士在任何运算节点、Kubernetes Pod 取得管理员权限，黑客可以盗取机密资料、注入恶意程序码，或者瘫痪企业正式环境内的应用程序。而红帽使用 Kubernetes 作为核心调度引擎的产品线，包含容器平台 OpenShift、OpenShift Online、OpenShift Dedicated 皆受该漏洞影响。他表示，红帽已经开始进行修补工作，发布更新档，并且上传给受该漏洞影响的企业用户。

OpenStack 的容器项目 Kata Container 发布 1.4 版本

在去年由 OpenStack 基金会发布的开放容器项目 Kata Containers ，继今年5月发布1.0版后，近期该基金会也宣布，分别发布两个新版本：1.3及1.4版。OpenStack基金会表示，1.3版为稳定发行版，主要针对其核心进行修改，而1.4版才搭配较多新功能。

1.4版有不少新功能。首先，主机端开始支持 Linux 内建的资源隔离机制 cgroups ，可限定主机端虚拟机器上的系统程序只能在特定 CPU 上执行，除了可以分配各个虚拟机存取 CPU 资源的额度，还能避免特定容器存取过多资源，导致服务中断的状况发生。

第二个亮点，则是为云端部署应用情境，支持更轻量型的虚拟机器类型 NEMU，这是以 QEMU 为基础修改的云端Hypervisor ，借由缩小容量，降低虚拟机器的攻击面积。

再者是加强 Kata Container 项目的网络功能。在1.4版新增了两种网络使用模式，分别是 none 模式及tcfilter 模式。第一种 none 模式中，主要锁定支持网络分流装置（Tap），只要开启容器网络介面（CNI），就能跳过设定主机网络空间工作，直接将分流装置加入沙盒。第二个模式为 tcfilter 模式，让Kata Containers 可以相容不同类型的网络端点及容器网络套件。同时，Kata Containers 也支持 MacVLAN、IPVlan这两个 Linux 内建的网络虚拟化功能。

至于在9月时就发布的1.3版，当时还未稳定。这一次的发布内，较多针对核心程序码、系统臭虫修改。在此版中较值得注意的功能，包含支持网络套件热插拔（Network hotplug），利用 Kata Runtime 网络内建的子指令，可随需求重新修改网络组态，同时让开发者可以在执行当中的容器，使用自制容器网络套件，建立更多原生 Kata 的网络端点。

Nutanix 将整合 Nutanix 企业云 OS 及英特尔数据中心模块

虽然 Nutanix 近期积极往混合云市场布局，混合云解决方案 Xi Cloud 发布了灾难恢复、原生监控解决方案，还扩大支持物联网、边缘应用情境，自己的超融合架构产品也有新方向，这一次 Nutanix 找上了英特尔（Intel）合作，整合自家的企业云OS，以及 Intel 数据中心模块（Data Center Block，DCB），让系统整合商、增值经销商可以贩售经 Nutanix 认证的硬体平台。该公司表示，目前此合作方案于美国地区立即生效，未来会推广至全球分部。

Nutanix 进一步解释，此合作方案采取按订单需求生产模式（Configure to order），该公司的渠道伙伴可因应不同客户业务需求，以 Intel 数据中心模块打造定制化的服务器。该公司表示，此策略让基础架构可以更快落地，应付快速的市场需求。目前Intel数据中心模块分别有三大产品线，分别针对企业内部部署、云端环境，及强调网络效能的应用情境。

而 Nutanix 这一步的发展策略，不禁让人想到 VMware 在2014年时，与服务器厂商如 Dell、EMC、富士通等公司，合作推出一体机解决方案 EVO:RAIL ，在其服务器中内建 VMware 整套的软件定义数据中心，加速企业基础架构的构建速度。虽然 EVO:RAIL 联盟的成立时间不久后，陆续有厂商退出。VMware也重新在 2016 年另起炉灶，与 EMC 合作推出超融合架构产品 VxRail ，整合 VMware、EMC 及 VCE 旗下多套企业应用。

投稿：kaiyuancun@yeah.net

扫描二维码

加锁子进群讨论

加群时请备注关注方向如K8s、OpenStack、Ceph、超融合等。