K8S 生態週報| Docker v19.03.12 發佈

「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄 「k8s生態」。

Docker CE v19.03.12 發佈

在 Docker v19.03.11 發佈時，我在「K8S 生態週報| 幾乎影響全部 k8s 集羣的漏洞」 一文中曾介紹過，該版本主要是爲了修復一個經過使用 IPv6 RA 消息進行地址欺騙的安全漏洞 CVE-2020-13401。

解決辦法也很簡單，直接將 /proc/sys/net/ipv6/conf/*/accept_ra 設置成 0 ，這樣即可確保不接收 RA 消息，從而避免遭受攻擊。

可是，在 v19.03.11 的修復中，當沒法禁用 RA 消息時，會直接報錯，致使 docker daemon 沒法啓動 （好比在容器內的只讀文件系統上）。因此這次 v19.03.12 的一個最主要修復，就是沒法禁用 RA 消息時，只是會記錄一條日誌，而不是直接報錯。

-    return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+    logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")

對此版本感興趣的小夥伴，能夠直接更新。

containerd v1.3.5 發佈

這次 v1.3.5 版本，有多是 v1.3.x 系列的最後一個版本了。此版本中主要是把主線中的一些修正給移植過來。好比

• #4276 修正了鏡像用量的計算錯誤；
• #4278 當遇到一些錯誤時候，清理掉分配的資源；
• #4327 shim v2 runc 傳遞了 options.Root；

此版本也將很快集成進 Docker 中。

更多信息請參考其 ReleaseNote

Istio v1.4.10 發佈

Istio v1.4.10 中主要包含如下值得注意的內容：

• ISTIO-SECURITY-2020-006: 這個漏洞源自 CVE-2020-11080 nghttp2 在 v1.41.0 版本以前，存在 payload 過大致使拒絕服務的漏洞。當攻擊者持續構造大型請求時，可能致使 CPU 飆到 100% 。這種請求可能會被髮送到 Ingress Gateway 或者 Sidecar ，進而致使拒絕服務。
• #23770 修復了 CNI 致使 POD 延遲 30~40s 啓動的 bug ，主要是由於 istio-iptables.sh 中 IPv6 相關的檢查邏輯。

上游進展

• #88649 刪除掉了自 v1.14 起，被廢棄的 kubectl get 的 --export 參數；
• #89778 Ingress 已經 GA，當前使用的 API 版本爲 networking.k8s.io/v1;

---

歡迎訂閱個人文章公衆號【MoeLove】