K8S 生态周报| Docker v19.03.12 发布

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。

Docker CE v19.03.12 发布

在 Docker v19.03.11 发布时，我在「K8S 生态周报| 几乎影响所有 k8s 集群的漏洞」 一文中曾介绍过，该版本主要是为了修复一个通过使用 IPv6 RA 消息进行地址欺骗的安全漏洞 CVE-2020-13401。

解决办法也很简单，直接将 /proc/sys/net/ipv6/conf/*/accept_ra 设置成 0 ，这样便可确保不接收 RA 消息，从而避免遭受攻击。

但是，在 v19.03.11 的修复中，当无法禁用 RA 消息时，会直接报错，导致 docker daemon 无法启动 （比如在容器内的只读文件系统上）。所以此次 v19.03.12 的一个最主要修复，就是无法禁用 RA 消息时，只是会记录一条日志，而不是直接报错。

-	return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+	logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")

对此版本感兴趣的小伙伴，可以直接更新。

containerd v1.3.5 发布

此次 v1.3.5 版本，有可能是 v1.3.x 系列的最后一个版本了。此版本中主要是把主线中的一些修正给移植过来。比如

• #4276 修正了镜像用量的计算错误；
• #4278 当遇到一些错误时候，清理掉分配的资源；
• #4327 shim v2 runc 传递了 options.Root；

此版本也将很快集成进 Docker 中。

更多信息请参考其 ReleaseNote

Istio v1.4.10 发布

Istio v1.4.10 中主要包含以下值得注意的内容：

• ISTIO-SECURITY-2020-006: 这个漏洞源自 CVE-2020-11080 nghttp2 在 v1.41.0 版本之前，存在 payload 过大导致拒绝服务的漏洞。当攻击者持续构造大型请求时，可能导致 CPU 飙到 100% 。这种请求可能会被发送到 Ingress Gateway 或者 Sidecar ，进而导致拒绝服务。
• #23770 修复了 CNI 导致 POD 延迟 30~40s 启动的 bug ，主要是因为 istio-iptables.sh 中 IPv6 相关的检查逻辑。

上游进展

• #88649 删除掉了自 v1.14 起，被废弃的 kubectl get 的 --export 参数；
• #89778 Ingress 已经 GA，当前使用的 API 版本为 networking.k8s.io/v1;

欢迎订阅我的文章公众号【MoeLove】