K8S 生態週報| 2019-06-03~2019-06-09

「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄「k8s生態」。

Kubernetes CVE-2019-11245 漏洞

這是一個評分爲 4.9 的漏洞，算是一箇中等漏洞。 受此漏洞影響的版本爲 v1.13.6 和 v1.14.2 ，因此本週也加緊發佈了 v1.13.7 和 v1.14.3 版本，以免受此漏洞影響。 若是有使用 v1.13.6 和 v1.14.2 版本的小夥伴，請儘快進行 升級 以避免受到影響。

上面說了最直接的解決辦法，接下來對此漏洞大體作下介紹：

這個漏洞影響了 v1.13.6 和 v1.14.2 版本的 kubelet，具體表現爲， 1) 若是 Pod 中的容器，開始時是以某個非 root 用戶啓動的，可是當它重啓後，則會以 root (uid 0) 的身份啓動。2) 或者是 Node 節點上已經存在了啓動容器所需的鏡像。

第 2 個狀況比較常見，再也不具體介紹。咱們來看下第 1 種狀況。舉個栗子：

一般狀況下，若是咱們使用 Docker 官方的 Redis 鏡像進行部署的時候，默認狀況下將會以 redis 用戶啓動；而若是受此漏洞影響，當容器重啓後，則當前的用戶可能會變成 root (uid 0) 。使用 root 用戶啓動服務可能帶來的危害，這裏也再也不多進行展開了。

也存在例外，好比已經顯式的經過 runAsUser 指定了運行用戶，則不會受到此漏洞影響。

因此除了開頭說的升級到 v1.13.7 或者 v1.14.3 版本外，也能夠經過顯式的指定 runAsUser 以緩解此漏洞的影響。

更多信息可訪問 v1.13.7 ReleaseNote v1.14.3 ReleaseNote 和 CVE-2019-11245 issues

Docker CVE-2018-15664 已經解決

在上週的 K8S 週報 中，我提到了 Docker CVE-2018-15664 安全漏洞 , 當時國內不少自媒體發佈了各類看起來很可怕的標題（這裏就不舉例了），實際上那個漏洞的影響正如我說的那樣並無特別大。

如今該漏洞已經修復，並將移植到 Docker 18.09 和 19.03 版本中，本週發佈的 Docker 19.03-rc2 就已經包含了此項修復。

感興趣的朋友可閱讀關於 CVE-2018-15664 的相關討論

Docker 19.03-rc2 發佈

這仍然是一個正式版本發佈前的常規測試版本，正如上面提到的，這個版本中包含了對 CVE-2018-15664 的修復。同時在此版本中，還包含了構建系統中，可能致使錯誤的一些 bug 。

對此版本有興趣的朋友可閱讀 19.03-rc2 ReleaseNote; 對 Docker 構建系統有興趣的朋友能夠閱讀我寫的 Docker 構建三部曲

Istio 1.2.0-rc.0 發佈

這個版本的變更其實還算比較大，但這裏暫時先不介紹了，還在持續迭代中，具體的介紹我等正式版發佈後再介紹好了。

這裏只說一個可能不少用戶都會在乎的改動，Istio 中自籤的 CA 根證書默認有效期是 1 年，可是在 1.2 中，有效期已經修改爲了默認 10 年。大概這個改動能免除一些用戶的擔心。

對此版本感興趣的朋友能夠在 Istio 1.2.0-rc.0 的 Release 頁面 進行嚐鮮體驗

---

能夠經過下面二維碼訂閱個人文章公衆號【MoeLove】