CloudNative Weekly| Istio发现两个严重漏洞,发布三重更新

作者:hzxuzhonghu | 华为云原生团队

云原生一周精选

1 — — Istio发现两个严重漏洞,发布三重更新

2 — — 华为云原生Call For Contributor活动正式开启

3 — —  CNCF毕业项目Fluentd发布v1.8.0

4 — — 2020 年欧洲 KubeCon 多元化奖学金现已接受申请

01

Istio发现两个严重漏洞

发布三重更新

Istio已紧急更新其所有1.2~1.4三个版本,以修复Envoy中一系列新发现的严重漏洞,这些漏洞可能使客户面临集群暴露的风险。

Istio团队表示:

  • 第一个漏洞会影响Envoy的HTTP/1编解码器,以及如何处理下游的包含大的头部的HTTP/2请求。这可能会引起DOS攻击,特权升级或者信息泄露。

  • 第二个漏洞意味着HTTP/1编解码器无法在header值后修剪空格。这可能使攻击者可以绕开Istio的策略进行信息泄露或特权升级。

目前istio 1.2, 1.3, 1.4版本均受影响 ,建议1.2.x用户应升级到刚刚发布的1.2.19或更高版本。Istio 1.3.x用户升级至1.3.6或更高版本,而1.4.x用户升级到1.4.2或更高版本。

02

华为云原生

Call For Contributor活动正式开启

参与任何形式 (KubeEdge,Volcano) 的贡献,即有机会与社区大佬线上交流,获取手把手指导的机会, 更有 20张价值¥2048的HDC 2020 ( 华为开发者大会)门票 等你来拿,优先获取参加HDC开源开放展区动手实验室、黑客松等现场活动的机会,奖品丰厚。

活动规则详见:

https://mp.weixin.qq.com/s/0jdJfHPxTE5anpcWZuUhBA

03

CNCF毕业项目Fluentd发布v1.8.0

Fluentd是一个开源的数据收集器,专为处理数据流设计,有点像syslogd,但是使用JSON作为数据格式。它采用了插件式的架构,具有高可扩展性高可用性,同时还实现了高可靠的信息转发。

Fluentd v1.8.0包含了新的服务发现插件和许多增强功能,详细内容请看:

https://github.com/fluent/fluentd/blob/master/CHANGELOG.md#v18

04

2020年欧洲KubeCon

多元化奖学金现已接受申请

CNCF(Cloud Native Computing Foundation,云原生计算基金会)的多元化奖学金项目为科技和/或开源社区中由于经济原因而可能没有机会参加CNCF活动的,处于弱势的少数派或边缘化群体(包括但不限于LGBTQ:识别为女同性恋者、男同性恋者、双性恋者、跨性别者、对其性别认同感到疑惑者,女性,有色人种和/或残障人士)提供支持。

奖学金申请截止日期:2020年1月12日,星期日

申请结果通知日期:2020年2月3日,星期一

END

课程预告

CloudNative Lives系列直播

KubeEdge技术详解与实战

第六课:KubeEdge快速上手与社区贡献实践

本周四晚8:00直播

识别下图二维码即可报名课程并获取1-5课资料

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章