Docker 无疑是当下最火的应用程序容器引擎,它彻底释放了虚拟化的威力,让应用的分发、部署和管理都变得非常地高效和容易。继 10 月份发布 1.3.0 之后时隔一个多月,其开发团队再次发布了 Docker 1.3.2。新版本最吸引人的地方就是它修复了 CVE-2014-6407 和 CVE-2014-6408 这两个重要的安全问题,另外新版本还解决了一些Bug。
在之前的版本中,攻击者能够通过Docker 容器的漏洞提高权限,在受影响的系统上远程执行代码,Docker 1.3.2 解决了这一问题,新版本在提取镜像的时候会对其进行额外的检查,同时所有的提取工作都会在一个对本地文件系统拥有有限访问权限的“chroot”沙箱环境中进行。但是需要注意的是:该问题并没有针对老版本Docker 的补丁,如果想要解决这一问题,那么必须进行升级。另外,新版本也修复了攻击者可以在容器升级时将恶意安全选项应用到镜像的 Bug ,在 1.3.2 中应用到镜像的安全选项会被忽略。
守护进程方面,新版本改善并增强了 docker run 命令的–insecure-registry 标记。主要的修复内容如下,如果想要获取更多的信息,可以点击这里。
- 用户现在可以通过设定一个子网为 Docker 指定不安全的 Registry 范围
- 在默认情况下,新版本将“localhost”定义为不安全的 Registry
- 用户可以使用无类别域间路由(Classless Inter-Domain Routing,CIDR)格式引用 Registry
- 镜像被启用的时候会跳过试验性的 Registry v2 API
感谢郭蕾对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。
暂无签名
中国开发者画像洞察研究报告 2024
分析开发者的行为模式、工作价值、职业发展等内容,帮助整个行业生态更深入地理解开发者,为他们提供更精准...
打破孤岛 — 质量中台工程化变迁
视频云媒体处理云原生最佳实践:GPU 视觉增强机型
云原生跨域大数据架构落地实践
评论