「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。
Kubernetes CVE-2019-11245 漏洞
这是一个评分为 4.9 的漏洞,算是一个中等漏洞。 受此漏洞影响的版本为 v1.13.6 和 v1.14.2 ,所以本周也加紧发布了 v1.13.7 和 v1.14.3 版本,以避免受此漏洞影响。 如果有使用 v1.13.6 和 v1.14.2 版本的小伙伴,请尽快进行 升级 以免受到影响。
上面说了最直接的解决办法,接下来对此漏洞大致做下介绍:
这个漏洞影响了 v1.13.6 和 v1.14.2 版本的 kubelet
,具体表现为, 1) 如果 Pod 中的容器,开始时是以某个非 root 用户启动的,但是当它重启后,则会以 root (uid 0) 的身份启动。2) 或者是 Node 节点上已经存在了启动容器所需的镜像。
第 2 个情况比较常见,不再具体介绍。我们来看下第 1 种情况。举个栗子:
通常情况下,如果我们使用 Docker 官方的 Redis 镜像进行部署的时候,默认情况下将会以 redis
用户启动;而如果受此漏洞影响,当容器重启后,则当前的用户可能会变成 root (uid 0) 。使用 root 用户启动服务可能带来的危害,这里也不再多进行展开了。
也存在例外,比如已经显式的通过 runAsUser
指定了运行用户,则不会受到此漏洞影响。
所以除了开头说的升级到 v1.13.7 或者 v1.14.3 版本外,也可以通过显式的指定 runAsUser
以缓解此漏洞的影响。
更多信息可访问 v1.13.7 ReleaseNote v1.14.3 ReleaseNote 和 CVE-2019-11245 issues
Docker CVE-2018-15664 已经解决
在上周的 K8S 周报 中,我提到了 Docker CVE-2018-15664 安全漏洞 , 当时国内很多自媒体发布了各种看起来很可怕的标题(这里就不举例了),实际上那个漏洞的影响正如我说的那样并没有特别大。
现在该漏洞已经修复,并将移植到 Docker 18.09 和 19.03 版本中,本周发布的 Docker 19.03-rc2 就已经包含了此项修复。
感兴趣的朋友可阅读关于 CVE-2018-15664 的相关讨论
Docker 19.03-rc2 发布
这仍然是一个正式版本发布前的常规测试版本,正如上面提到的,这个版本中包含了对 CVE-2018-15664 的修复。同时在此版本中,还包含了构建系统中,可能导致错误的一些 bug 。
对此版本有兴趣的朋友可阅读 19.03-rc2 ReleaseNote; 对 Docker 构建系统有兴趣的朋友可以阅读我写的 Docker 构建三部曲
Istio 1.2.0-rc.0 发布
这个版本的变动其实还算比较大,但这里暂时先不介绍了,还在持续迭代中,具体的介绍我等正式版发布后再介绍好了。
这里只说一个可能很多用户都会在意的改动,Istio 中自签的 CA 根证书默认有效期是 1 年,但是在 1.2 中,有效期已经修改成了默认 10 年。大概这个改动能免除一些用户的担忧。
对此版本感兴趣的朋友可以在 Istio 1.2.0-rc.0 的 Release 页面 进行尝鲜体验
可以通过下面二维码订阅我的文章公众号【MoeLove】