1. RunC曝出容器逃逸误差
近期RunC曝出容器逃逸误差�,,�,�,�,,允许恶意人士对主机系统举行root会见�,,�,�,�,,影响规模甚广。�。�。�。�。�。
RunC是一套位于Docker、CRI-O、containerd以及Kubernetes等基础设施与引擎之下的底层容器运行时。�。�。�。�。�。普遍用于天生及运行容器的CLI工具�,,�,�,�,,当中曝出严重清静误差�,,�,�,�,,其可能被用于破损高权限runC容器内的runC主机二进制文件�,,�,�,�,,这意味着攻击者将能够驻足底层主机系统获取root会见权限。�。�。�。�。�。
此清静误差编号:CVE-2019-5736�,,�,�,�,,由研究职员Adam Iwaniuk与Borys Poplawski向runC项目的维护者们上报。�。�。�。�。�。该清静误差允许恶意容器(在最低用户交互品级下)笼罩主机runC二进制文件�,,�,�,�,,这意味着攻击者将借此获得在主机上以root层级执行代码的权限。�。�。�。�。�。详细来讲�,,�,�,�,,攻击者能够使用一套其可以控制的镜像建设新的容器�,,�,�,�,,或者是向其能够会见的现有容器之内添加docker exec文件。�。�。�。�。�。在这类情形下的恣意容器当中�,,�,�,�,,该攻击者都将能够通过目今用户交互品级以root权限运行恣意下令(无论下令自己是否由攻击者所控制)。�。�。�。�。�。
现在面向runC以及LXC的修复补丁都已经正式宣布。�。�。�。�。�。
红帽公司忠言称�,,�,�,�,,用户需要更新“docker”与“runc”软件包。�。�。�。�。�。另外�,,�,�,�,,Debian与Ubuntu也在着手宣布修复补丁。�。�。�。�。�。
Docker v18.06.2和v18.09.2 版本已经顺遂修复了这一误差。�。�。�。�。�。
2. Docker 宣布企业版支持 Windows Server 2019
Docker 宣布在其企业版平台(Docker Enterprise)中支持 Windows Server 2019 恒久支持频道(Long Term Servicing Channel�,,�,�,�,,LTSC)和 Server 1809 半年频道(Semi-Annual Channel�,,�,�,�,,SAC)。�。�。�。�。�。Windows Server 2019 从之前的 SAC 频道宣布到 LTSC 频道后�,,�,�,�,,带来了一系列提升。�。�。�。�。�。包括入口路由、虚拟 IP 效劳发明和命名管道挂载。�。�。�。�。�。
3. Linkerd 2.2 宣布�,,�,�,�,,引入自动请求重试�,,�,�,�,,支持自动注入
2月12日�,,�,�,�,,Linkerd 2.2 版本正式宣布。�。�。�。�。�。这个版本主要引入了自动请求重试和超时�,,�,�,�,,以及完全支持(非实验)的自动注入功效。�。�。�。�。�。它添加了一些新的 CLI 下令(包括 logs 和 endpoints)�,,�,�,�,,为 Linkerd 的控制平面提供诊断可见性。�。�。�。�。�。最后�,,�,�,�,,它带来了两个令人兴奋的实验性功效:加密清静的客户端标识头和 CNI 插件�,,�,�,�,,该插件可以阻止在安排时需要的NET_ADMIN 内核功效。�。�。�。�。�。
其中�,,�,�,�,,自动重试失败的请求�,,�,�,�,,在应用程序泛起部分故障时提高整体乐成率。�。�。�。�。��;�;�;�;�;�;�; 2.1 版本中引入的效劳设置文件模子�,,�,�,�,,Linkerd 允许你为每个路由的基础设置此行为。�。�。�。�。�。虽然�,,�,�,�,,控制何时可以举行重试是清静使用重试的要害组成部分。�。�。�。�。�。Linkerd 2.2 允许你标记哪些路由是幂等(isRetryable)�,,�,�,�,,限制重试单个请求所破费的最长时间(timeout)�,,�,�,�,,以及设置可以重试的总体请求的百分比(retryBudget)。�。�。�。�。�。这些参数可以确珍重试爆发的清静性�,,�,�,�,,并且不会在已经爆发故障的系统中加重问题。�。�。�。�。�。
自动注入是一个完全支持(非实验)的功效。�。�。�。�。�。自动注入功效允许 Kubernetes 集群在安排时自动添加(“注入”)Linkerd 的数据平面署理到应用程序 pods。�。�。�。�。�。将署理注入从客户端移植到集群上有助于确保所有 pods 统一地运行署理�,,�,�,�,,无论它们怎样安排。�。�。�。�。�。
京公网安备11010802024551号