「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。
Docker CE v19.03.12 发布
在 Docker v19.03.11 发布时,我在「K8S 生态周报| 几乎影响所有 k8s 集群的漏洞」 一文中曾介绍过,该版本主要是为了修复一个通过使用 IPv6 RA 消息进行地址欺骗的安全漏洞 CVE-2020-13401。
解决办法也很简单,直接将 /proc/sys/net/ipv6/conf/*/accept_ra
设置成 0 ,这样便可确保不接收 RA 消息,从而避免遭受攻击。
但是,在 v19.03.11 的修复中,当无法禁用 RA 消息时,会直接报错,导致 docker daemon 无法启动 (比如在容器内的只读文件系统上)。所以此次 v19.03.12 的一个最主要修复,就是无法禁用 RA 消息时,只是会记录一条日志,而不是直接报错。
- return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+ logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")
对此版本感兴趣的小伙伴,可以直接更新。
containerd v1.3.5 发布
此次 v1.3.5 版本,有可能是 v1.3.x 系列的最后一个版本了。此版本中主要是把主线中的一些修正给移植过来。比如
此版本也将很快集成进 Docker 中。
更多信息请参考其 ReleaseNote
Istio v1.4.10 发布
Istio v1.4.10 中主要包含以下值得注意的内容:
- ISTIO-SECURITY-2020-006: 这个漏洞源自 CVE-2020-11080 nghttp2 在 v1.41.0 版本之前,存在 payload 过大导致拒绝服务的漏洞。当攻击者持续构造大型请求时,可能导致 CPU 飙到 100% 。这种请求可能会被发送到 Ingress Gateway 或者 Sidecar ,进而导致拒绝服务。
- #23770 修复了 CNI 导致 POD 延迟 30~40s 启动的 bug ,主要是因为
istio-iptables.sh
中 IPv6 相关的检查逻辑。
上游进展
- #88649 删除掉了自 v1.14 起,被废弃的
kubectl get
的--export
参数; - #89778 Ingress 已经 GA,当前使用的 API 版本为
networking.k8s.io/v1
;
欢迎订阅我的文章公众号【MoeLove】