K8S 生态周报| Docker v19.03.12 发布

1

Docker CE v19.03.12 发布

在 Docker v19.03.11 发布时，我在「K8S 生态周报| 几乎影响所有 k8s 集群的漏洞」 ( https://zhuanlan.zhihu.com/p/146554894 ) 一文中曾介绍过，该版本主要是为了修复一个通过使用 IPv6 RA 消息进行地址欺骗的安全漏洞 CVE-2020-13401 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13401 )。

解决办法也很简单，直接将 /proc/sys/net/ipv6/conf/*/accept_ra 设置成 0 ，这样便可确保不接收 RA 消息，从而避免遭受攻击。

但是，在 v19.03.11 的修复中，当无法禁用 RA 消息时，会直接报错，导致 docker daemon 无法启动 （比如在容器内的只读文件系统上）。所以此次 v19.03.12 的一个最主要修复，就是无法禁用 RA 消息时，只是会记录一条日志，而不是直接报错。

-	return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+	logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")

对此版本感兴趣的小伙伴，可以直接更新。

2

containerd v1.3.5 发布

此次 v1.3.5 版本，有可能是 v1.3.x 系列的最后一个版本了。此版本中主要是把主线中的一些修正给移植过来。比如

• #4276 ( https://github.com/containerd/containerd/pull/4276 ) 修正了镜像用量的计算错误；
• #4278 ( https://github.com/containerd/containerd/pull/4278 ) 当遇到一些错误时候，清理掉分配的资源；
• #4327 ( https://github.com/containerd/containerd/pull/4327/ ) shim v2 runc 传递了 options.Root；

此版本也将很快集成进 Docker 中。

更多信息请参考其 ReleaseNote ( https://github.com/containerd/containerd/releases/tag/v1.3.5 )

3

Istio v1.4.10 发布

Istio v1.4.10 中主要包含以下值得注意的内容：

• ISTIO-SECURITY-2020-006: 这个漏洞源自 CVE-2020-11080 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11080 ) nghttp2 在 v1.41.0 版本之前，存在 payload 过大导致拒绝服务的漏洞。当攻击者持续构造大型请求时，可能导致 CPU 飙到 100% 。这种请求可能会被发送到 Ingress Gateway 或者 Sidecar ，进而导致拒绝服务。
• #23770 ( https://github.com/istio/istio/issues/23770 ) 修复了 CNI 导致 POD 延迟 30~40s 启动的 bug ，主要是因为 istio-iptables.sh 中 IPv6 相关的检查逻辑。

4

上游进展

• #88649 ( https://github.com/kubernetes/kubernetes/pull/88649 ) 删除掉了自 v1.14 起，被废弃的 kubectl get 的 --export 参数；
• #89778 ( https://github.com/kubernetes/kubernetes/pull/89778 ) Ingress 已经 GA，当前使用的 API 版本为 networking.k8s.io/v1;