Kubernetes近期重要bug fix分析

Kubernetes上游社区近半个月没有CVE出现，当前还处于Code freeze阶段，以下分析了社区近期重要的BugFix情况。

# 82384：Reorder symlinks to prevent path escapes

该PR修复了kubectl cp命令解压symlinks文件的bug，在在解压缩所有其他文件之后再解压symlinks文件，可以保障无法通过该symlinks链接写入其对应的文件。另外由于kubectl cp命令已经被爆出过很多安全问题，社区正在考虑删除该命令。

详见：

https://groups.google.com/forum/#!topic/kubernetes-sig-release/3oGPk-2ElQA/discussion

# 81732：Fix toleration comparison & merging logic

该问题的背景是Pod可能会有多个toleration，当存在如下的toleration时，旧的逻辑会认为他们两个是互相冲突的，会用其中一个覆盖另外一个。新的修改后的逻辑会做一定的逻辑判断，例如假设存在第三个toleration ：{“key”: “foo”, “operator”: “Exists”}，则会直接覆盖掉以下两个toleration，具体逻辑请参考该PR。

# 82090：Use http/1.1 for apiserver->webhook clients

该问题的背景是# 75791 这个issue，描述的现象是当用户的admission webhook部署为多实例时，查看监控发现Kube-ApiServer只会调用其中一个实例。该PR中将Kube-ApiServer与Webhook的连接改为http/1.1协议，解决了负载均衡的问题。

近期bug fix数据分析

近期重要Bug数量共计16个，分类数量和占比统计如下：

严重程度数量统计如下（横坐标5为最高，0为最低）：

如下为近期Bug Fix的汇总信息：

创作场景

【独家】K8S 漏洞报告｜近期重要 bug fix 分析