云原生生态周报 Vol. 7 Docker 再爆 CVE

业界要闻

1. Docker 基础镜像 Alpine 爆出提权漏洞（CVE-2019-5021）：该CVE影响自 Alpine Linux 3.3 版本开始的所有 Docker 镜像。该漏洞的机制在于 Alpine 的 root 用户包含一个空密码，这可能会导致攻击者获得 root 权限，进而造成攻击。报告中称：受影响范围是 Alpine Linux Docker 镜像 3.3、3.4、3.5、3.6、3.7、3.8、3.9、edge 等全部版本。目前，整个容器技术生态中很多项目的基础镜像层都在采用Alpine。在漏洞披露后，Alpine 最新版已经修复了该问题，用户可以使用3.9.4版本来规避风险。这里也可以参考一些开源项目更换其他基础镜像，例如 kubernetes-csi 项目的这个PR。
2. Docker 项目本身爆出严重漏洞，攻击者可