「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。git
这是一个评分为 4.9 的漏洞,算是一个中等漏洞。 受此漏洞影响的版本为 v1.13.6 和 v1.14.2 ,因此本周也加紧发布了 v1.13.7 和 v1.14.3 版本,以免受此漏洞影响。 若是有使用 v1.13.6 和 v1.14.2 版本的小伙伴,请尽快进行 升级 以避免受到影响。github
上面说了最直接的解决办法,接下来对此漏洞大体作下介绍:redis
这个漏洞影响了 v1.13.6 和 v1.14.2 版本的 kubelet
,具体表现为, 1) 若是 Pod 中的容器,开始时是以某个非 root 用户启动的,可是当它重启后,则会以 root (uid 0) 的身份启动。2) 或者是 Node 节点上已经存在了启动容器所需的镜像。docker
第 2 个状况比较常见,再也不具体介绍。咱们来看下第 1 种状况。举个栗子:安全
一般状况下,若是咱们使用 Docker 官方的 Redis 镜像进行部署的时候,默认状况下将会以 redis
用户启动;而若是受此漏洞影响,当容器重启后,则当前的用户可能会变成 root (uid 0) 。使用 root 用户启动服务可能带来的危害,这里也再也不多进行展开了。测试
也存在例外,好比已经显式的经过 runAsUser
指定了运行用户,则不会受到此漏洞影响。ui
因此除了开头说的升级到 v1.13.7 或者 v1.14.3 版本外,也能够经过显式的指定 runAsUser
以缓解此漏洞的影响。code
更多信息可访问 v1.13.7 ReleaseNote v1.14.3 ReleaseNote 和 CVE-2019-11245 issuescdn
在上周的 K8S 周报 中,我提到了 Docker CVE-2018-15664 安全漏洞 , 当时国内不少自媒体发布了各类看起来很可怕的标题(这里就不举例了),实际上那个漏洞的影响正如我说的那样并无特别大。部署
如今该漏洞已经修复,并将移植到 Docker 18.09 和 19.03 版本中,本周发布的 Docker 19.03-rc2 就已经包含了此项修复。
感兴趣的朋友可阅读关于 CVE-2018-15664 的相关讨论
这仍然是一个正式版本发布前的常规测试版本,正如上面提到的,这个版本中包含了对 CVE-2018-15664 的修复。同时在此版本中,还包含了构建系统中,可能致使错误的一些 bug 。
对此版本有兴趣的朋友可阅读 19.03-rc2 ReleaseNote; 对 Docker 构建系统有兴趣的朋友能够阅读我写的 Docker 构建三部曲
这个版本的变更其实还算比较大,但这里暂时先不介绍了,还在持续迭代中,具体的介绍我等正式版发布后再介绍好了。
这里只说一个可能不少用户都会在乎的改动,Istio 中自签的 CA 根证书默认有效期是 1 年,可是在 1.2 中,有效期已经修改为了默认 10 年。大概这个改动能免除一些用户的担心。
对此版本感兴趣的朋友能够在 Istio 1.2.0-rc.0 的 Release 页面 进行尝鲜体验
能够经过下面二维码订阅个人文章公众号【MoeLove】