「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」

Docker CE v19.03.12 发布

在 Docker v19.03.11 发布时,我在「K8S 生态周报| 几乎影响所有 k8s 集群的漏洞」 一文中曾介绍过,该版本主要是为了修复一个通过使用 IPv6 RA 消息进行地址欺骗的安全漏洞 CVE-2020-13401

解决办法也很简单,直接将 /proc/sys/net/ipv6/conf/*/accept_ra 设置成 0 ,这样便可确保不接收 RA 消息,从而避免遭受攻击。

但是,在 v19.03.11 的修复中,当无法禁用 RA 消息时,会直接报错,导致 docker daemon 无法启动 (比如在容器内的只读文件系统上)。所以此次 v19.03.12 的一个最主要修复,就是无法禁用 RA 消息时,只是会记录一条日志,而不是直接报错。

-	return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+	logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")

对此版本感兴趣的小伙伴,可以直接更新。

containerd v1.3.5 发布

此次 v1.3.5 版本,有可能是 v1.3.x 系列的最后一个版本了。此版本中主要是把主线中的一些修正给移植过来。比如

  • #4276 修正了镜像用量的计算错误;
  • #4278 当遇到一些错误时候,清理掉分配的资源;
  • #4327 shim v2 runc 传递了 options.Root

此版本也将很快集成进 Docker 中。

更多信息请参考其 ReleaseNote

Istio v1.4.10 发布

Istio v1.4.10 中主要包含以下值得注意的内容:

  • ISTIO-SECURITY-2020-006: 这个漏洞源自 CVE-2020-11080 nghttp2 在 v1.41.0 版本之前,存在 payload 过大导致拒绝服务的漏洞。当攻击者持续构造大型请求时,可能导致 CPU 飙到 100% 。这种请求可能会被发送到 Ingress Gateway 或者 Sidecar ,进而导致拒绝服务。
  • #23770 修复了 CNI 导致 POD 延迟 30~40s 启动的 bug ,主要是因为 istio-iptables.sh 中 IPv6 相关的检查逻辑。

上游进展

  • #88649 删除掉了自 v1.14 起,被废弃的 kubectl get--export 参数;
  • #89778 Ingress 已经 GA,当前使用的 API 版本为 networking.k8s.io/v1;

欢迎订阅我的文章公众号【MoeLove】

TheMoeLove