K8S 生态周报| Docker v19.03.12 发布

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s 生态」 ( https://zhuanlan.zhihu.com/container )。

1

   

Docker CE v19.03.12 发布

在 Docker v19.03.11 发布时,我在「K8S 生态周报| 几乎影响所有 k8s 集群的漏洞」 ( https://zhuanlan.zhihu.com/p/146554894 ) 一文中曾介绍过,该版本主要是为了修复一个通过使用 IPv6 RA 消息进行地址欺骗的安全漏洞 CVE-2020-13401 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13401 )。

解决办法也很简单,直接将 /proc/sys/net/ipv6/conf/*/accept_ra 设置成 0 ,这样便可确保不接收 RA 消息,从而避免遭受攻击。

但是,在 v19.03.11 的修复中,当无法禁用 RA 消息时,会直接报错,导致 docker daemon 无法启动 (比如在容器内的只读文件系统上)。所以此次 v19.03.12 的一个最主要修复,就是无法禁用 RA 消息时,只是会记录一条日志,而不是直接报错。

-	return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+	logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")

对此版本感兴趣的小伙伴,可以直接更新。

2

   

containerd v1.3.5 发布

此次 v1.3.5 版本,有可能是 v1.3.x 系列的最后一个版本了。此版本中主要是把主线中的一些修正给移植过来。比如

  • #4276 ( https://github.com/containerd/containerd/pull/4276 ) 修正了镜像用量的计算错误;

  • #4278 ( https://github.com/containerd/containerd/pull/4278 ) 当遇到一些错误时候,清理掉分配的资源;

  • #4327 ( https://github.com/containerd/containerd/pull/4327/ ) shim v2 runc 传递了 options.Root

此版本也将很快集成进 Docker 中。

更多信息请参考其 ReleaseNote ( https://github.com/containerd/containerd/releases/tag/v1.3.5 )

3

   

Istio v1.4.10 发布

Istio v1.4.10 中主要包含以下值得注意的内容:

  • ISTIO-SECURITY-2020-006: 这个漏洞源自 CVE-2020-11080 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11080 ) nghttp2 在 v1.41.0 版本之前,存在 payload 过大导致拒绝服务的漏洞。当攻击者持续构造大型请求时,可能导致 CPU 飙到 100% 。这种请求可能会被发送到 Ingress Gateway 或者 Sidecar ,进而导致拒绝服务。

  • #23770 ( https://github.com/istio/istio/issues/23770 ) 修复了 CNI 导致 POD 延迟 30~40s 启动的 bug ,主要是因为 istio-iptables.sh 中 IPv6 相关的检查逻辑。

4

   

上游进展

  • #88649 ( https://github.com/kubernetes/kubernetes/pull/88649 ) 删除掉了自 v1.14 起,被废弃的 kubectl get--export 参数;

  • #89778 ( https://github.com/kubernetes/kubernetes/pull/89778 ) Ingress 已经 GA,当前使用的 API 版本为 networking.k8s.io/v1;


欢迎订阅我的文章公众号【MoeLove】

展开阅读全文
©️2020 CSDN 皮肤主题: 大白 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值