Kubernetes 近期重要 bug fix 分析
Kubernetes 上游社区近半个月没有 CVE 出现,当前还处于 Code freeze 阶段,以下分析了社区近期重要的 BugFix 情况。
# 82384:Reorder symlinks to prevent path escapes
该 PR 修复了 kubectl cp 命令解压 symlinks 文件的 bug,在在解压缩所有其他文件之后再解压 symlinks 文件,可以保障无法通过该 symlinks 链接写入其对应的文件。另外由于 kubectl cp 命令已经被爆出过很多安全问题,社区正在考虑删除该命令。
详见:
https://groups.google.com/forum/#!topic/kubernetes-sig-release/3oGPk-2ElQA/discussion
# 81732:Fix toleration comparison & merging logic
该问题的背景是 Pod 可能会有多个 toleration,当存在如下的 toleration 时,旧的逻辑会认为他们两个是互相冲突的,会用其中一个覆盖另外一个。新的修改后的逻辑会做一定的逻辑判断,例如假设存在第三个 toleration :{“key”: “foo”, “operator”: “Exists”},则会直接覆盖掉以下两个 toleration,具体逻辑请参考该 PR。
# 82090:Use http/1.1 for apiserver->webhook clients
该问题的背景是# 75791 这个 issue,描述的现象是当用户的 admission webhook 部署为多实例时,查看监控发现 Kube-ApiServer 只会调用其中一个实例。该 PR 中将 Kube-ApiServer 与 Webhook 的连接改为 http/1.1 协议,解决了负载均衡的问题。
近期 bug fix 数据分析
近期重要 Bug 数量共计 16 个,分类数量和占比统计如下:
严重程度数量统计如下(横坐标 5 为最高,0 为最低):
如下为近期 Bug Fix 的汇总信息:
评论