Docker 20.10.8 现已发布，具体更新内容如下：

弃用

• 弃用对加密 TLS 私钥的支持。RFC 1423 中指定的传统 PEM 加密在设计上是不安全的。由于它不对密文进行身份验证，因此很容易受到可以让攻击者恢复 plaintext 的 padding oracle 攻击。对此功能的支持现已标记为已弃用，并将在即将发布的版本中删除。docker/cli#3219
• 弃用 Kubernetes 堆栈支持。在 Kubernetes 上的 Compose 被弃用后，docker CLI 中的stack和context命令对 Kubernetes 的支持现在被标记为弃用，并将在即将发布的版本中移除。docker/cli#3174

Client

• 修复 Windows 上的“Invalid standard handle identifie”错误。 docker/cli#3132

Rootless

• dockerd-rootless.sh：避免在 SELinux 主机上出现“无法打开 lock file /run/xtables.lock: Permission denied”错误。moby/moby#42462
• 在使用 SELinux 运行时禁用 overlay2 以防止出现权限拒绝的错误。moby/moby#42462
• 修复 openSUSE Tumbleweed 上的“509: certificate signed by unknown authority”错误。moby/moby#42462

Runtime

• 当使用--platform选项拉出一个不符合主机原生架构的单架构镜像时，Print a warning。moby/moby#42633
• 修复使用 cgroups v2 运行时错误的“Your kernel does not support swap memory limit”警告。moby/moby#42479
• Windows：修复了如果 HcsShutdownComputeSystem 返回ERROR_PROC_NOT_FOUND错误，容器未停止的情况。#42613 ]( #42613 )

Swarm

• 修复了由于节点未能清理其旧的负载均衡器 IP 而可能存在重叠 IP 地址的可能性。moby/moby#42538
• 修复日志代理中的死锁（“dispatcher is stopped”）。moby/moby#42537

Packaging

已知问题

这个版本的静态包中的 ctr 二进制文件不是静态链接的，所以不能在使用 alpine 作为基础镜像的 Docker 镜像中运行。用户可以安装 libc6-compat 包，或者下载先前版本的 ctr 二进制文件作为解决方法。更多细节看参考与此问题相关的 containerd ticket：containerd/containerd#5824。

• 删除 Ubuntu 16.04 "Xenial" 和 Fedora 32 的 packaging，因为它们已达到 EOL docker/docker-ce-packaging#560
• 更新 Golang 运行时到 1.16.6
• 将 rpm 和 deb 软件包的捆绑 buildx 版本更新为 v0.6.1 docker/docker-ce-packaging#562
• 将静态二进制文件和 containerd.io rpm 和 deb 包更新到 containerd v1.4.9 和 runc v1.0.1：docker/containerd-packaging#241, docker/containerd-packaging#245, docker/containerd-packaging#247

更新说明：https://github.com/moby/moby/releases/tag/v20.10.8