《K8S生态周刊》主要是一些我接触过的K8S生态相关的每周推荐资讯。欢迎订阅知乎专栏《k8s生态》。DockerCEv19.03.12在Dockerv19.03.11发布时发布。我在《K8S生态周报|影响几乎所有k8s集群的漏洞》一文中介绍过。该版本主要修复一个利用IPv6RA消息进行地址欺骗的安全漏洞CVE-2020-13401。解决方法也很简单,直接将/proc/sys/net/ipv6/conf/*/accept_ra设置为0,这样就可以保证收不到RA消息,从而避免攻击。但是在v19.03.11fix中,当无法关闭RA消息时,会直接报错,导致dockerdaemon无法启动(比如在容器内部的只读文件系统上)。所以这次v19.03.12最重要的修复之一就是当RA消息无法关闭时,只会记录日志,不会直接报错。-returnfmt.Errorf("libnetwork:UnabletodisableIPv6routeradvertisement:%v",err)+logrus.WithError(err).Warn("unabletodisableIPv6routeradvertisement")对于那些对此版本感兴趣的人,可以直接更新。containerdv1.3.5发布了这个v1.3.5版本,这可能是v1.3.x系列的最后一个版本。这个版本主要是移植了主线的一些修正。例如#4276修复了imageusage的计算错误;#4278遇到一些错误时清理分配的资源;#4327shimv2runc通过options.Root;这个版本也将很快集成到Docker中。有关详细信息,请参阅其发行说明。Istiov1.4.10发布Istiov1.4.10主要包含以下值得注意的内容:ISTIO-SECURITY-2020-006:该漏洞源自CVE-2020-11080nghttp2在v1.41.0之前存在payload过大导致拒绝服务漏洞。当攻击者继续构造大请求时,可能会导致CPU飙升至100%。此类请求可能会发送到IngressGateway或Sidecar,从而导致拒绝服务。#23770修复CNI导致POD延迟启动30~40s的bug,主要是istio-iptables.sh中IPv6相关的检查逻辑。上游进度#88649删除了kubectlget的--export参数,该参数从v1.14开始被丢弃;#89778Ingress已经GA,当前API版本为networking.k8s.io/v1;欢迎订阅我的文章公众号【MoeLove】
