Kubernetes近期重要bug fix分析
Kubernetes上游社区近半个月没有CVE出现,当前还处于Code freeze阶段,以下分析了社区近期重要的BugFix情况。
# 82384:Reorder symlinks to prevent path escapes
该PR修复了kubectl cp命令解压symlinks文件的bug,在在解压缩所有其他文件之后再解压symlinks文件,可以保障无法通过该symlinks链接写入其对应的文件。另外由于kubectl cp命令已经被爆出过很多安全问题,社区正在考虑删除该命令。
详见:
https://groups.google.com/forum/#!topic/kubernetes-sig-release/3oGPk-2ElQA/discussion
# 81732:Fix toleration comparison & merging logic
该问题的背景是Pod可能会有多个toleration,当存在如下的toleration时,旧的逻辑会认为他们两个是互相冲突的,会用其中一个覆盖另外一个。新的修改后的逻辑会做一定的逻辑判断,例如假设存在第三个toleration :{"key": "foo", "operator": "Exists"},则会直接覆盖掉以下两个toleration,具体逻辑请参考该PR。
# 82090:Use http/1.1 for apiserver->webhook clients
该问题的背景是# 75791 这个issue,描述的现象是当用户的admission webhook部署为多实例时,查看监控发现Kube-ApiServer只会调用其中一个实例。该PR中将Kube-ApiServer与Webhook的连接改为http/1.1协议,解决了负载均衡的问题。
1
近期bug fix数据分析
近期重要Bug数量共计16个,分类数量和占比统计如下:
严重程度数量统计如下(横坐标5为最高,0为最低):
如下为近期Bug Fix的汇总信息:
