Docker 20.10.20 发布-低调大师

Docker 20.10.20 发布

2022-10-19 583

Docker 20.10.20 现已发布。此版本的 Docker Engine 包含针对 Git 漏洞 (CVE-2022-39253) 的部分缓解措施，并更新了对image:tag@digestimage references 的处理。

Git 漏洞允许恶意制作的 Git 存储库在用作构建 context 时将任意文件系统路径复制到生成的 containers/images 中；这可能发生在守护进程和 API 客户端中，具体取决于使用的版本和工具。

此版本和守护程序 API 的其他 consumers 中可用的缓解措施是部分的，仅保护构建 Git URL context（例如git+protocol://）的用户。由于该漏洞仍然可以通过手动运行与子模块交互和签出的 Git 命令来利用，因此用户应立即升级到修补版本的 Git 以防止此漏洞。更多详细信息可从 Git 安全漏洞宣布获得。

Client

当使用带有 Git URL 作为 build context 的 classic Builder 时，为 CVE-2022-39253 添加了一个缓解措施。

Daemon

更新了对image:tag@digestreferences 的处理。当使用image:tag@digest( "pull by digest") 拉取 image 时，image resolution 是通过内容可寻址摘要进行的，image 和 tag 不被使用。虽然这是意料之中的，但是可能会导致 confusing behavior，并且可能会被社会工程利用来运行已存在于 local image store 中的 image。Docker 现在会检查 digest 是否与用于拉取 image 的存储库名称匹配，否则会产生一个 error。

Builder

更新了对image:tag@digestreferences 的处理。有关详细信息，看参阅上面的“Daemon”部分。
为 classic Builder 添加了缓解措施，并将 BuildKit 更新为 v0.8.3-31-gc0149372，for CVE-2022-39253。

更新说明：https://github.com/moby/moby/releases/tag/v20.10.20

微信关注我们

原文链接：https://www.oschina.net/news/214214/docker-20-10-20-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Git 2.38.1 发布，解决安全问题

Git 2.38.1 现已发布，同时发布的还有旧版本的更新，包括 v2.30.6、v2.31.5、v2.32.4、v2.33.5、v2.34.5、v2.35.5、v2.36.3 和 v2.37.4。这些维护版本主要是为了解决新发现的两个安全问题CVE-2022-39253 和 CVE-2022-39260。第一个与--local 克隆优化有关，导致从恶意存储库克隆时，$GIT_DIR 中可能出现任意文件。另一个漏洞是关于传递给git shell子命令的命令字符串过长，最终可能导致任意堆写入和远程代码执行。具体为： CVE-2022-39253：当依赖 --local 克隆优化时，Git 会在源仓库中解除对符号链接的引用，然后在目标仓库中创建解除引用链接的 hardlinks（或副本）。这可能会导致 surprising behavior，当从恶意软件库克隆时，任意文件都可能会出现在存储库的“$GIT_DIR”中。Git 将不再通过 --local 克隆机制解除对符号链接的引用，而是拒绝克隆在 $GIT_DIR/objects 目录中下存在符号链接的仓库。此外，protocol.fi...

2022-10-19

493

Taro 3.5.7 现已发布。Taro 是一个开放式跨端跨框架解决方案，支持使用 React/Vue/Nerv 等框架来开发微信 / 京东 / 百度 / 支付宝 / 字节跳动 / QQ 小程序 / H5 等应用。此版本具体更新内容如下：特性 H5 新增兼容 getLaunchOptionsSync、getEnterOptionsSync API 新增监听各 API、组件不支持状态抛出事件修复小程序 Promise 化字节小程序的 getUserProfile API，#12612 支持支付宝小程序的 Camera 组件，#12442 修复 App 没有触发首次 componentDidShow 系列生命周期的问题，#12634 修复自动为数字类型的 CSS 变量与部分属性(如: animation-iteration-count)自动添加 px 后缀的问题，#12617 修复 PReact 压缩后属性设置不生效的问题，#12589 微信小程序反向转换功能兼容以 kebab-case 命名的 triggerEvent 事件名修复预渲染报错的问题，#12622 支持 PayBu...

2022-10-19

551

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。