Docker Engine 19.03发行说明

15年3月19日

2021-02-01

安全

• CVE-2021-21285防止无效映像崩溃docker守护程序
• CVE-2021-21284锁定文件权限以防止重新映射的根访问docker状态
• 确保在使用BuildKit进行构建时应用了AppArmor和SELinux配置文件

客户

• 在导入上下文之前检查上下文，以减少提取的文件逃避上下文存储的风险

14.03.14

2020-12-01

安全

• CVE-2020-15257：将容器的捆绑的静态二进制文件更新为v1.3.9 moby / moby＃41731。程序包管理器应更新containerd.io程序包。

建造者

• 现在可以正确解析Beta版本的apparmor，以防止构建失败Moby / Moby＃41542

联网

• 当swarmkit服务始终无法启动Moby / Moby时修复恐慌＃41635

运行

• 返回正确的错误，而不是错误的-EINVAL moby / moby＃41293

无根

• 锁定状态目录，用于防止由systemd-tmpfiles moby / moby自动清除＃41635
• dockerd-rootless.sh：支持新的容器化Shim套接字路径约定moby / moby＃41557

记录中

• gcplogs：修复内存/连接泄漏Moby / Moby＃41522
• awslogs：支持AWS imdsv2 moby / moby＃41494

19.03.13

2020-09-16

建造者

• buildkit：修复高速缓存逻辑Moby / moby＃41279中的nil取消引用
• buildkit：在COPY / ADD moby / moby＃41269期间将Unix套接字视为常规文件
• buildkit：忽略计算中的系统和安全性，以确保无论SELinux环境如何Moby / moby＃41222都保持一致的COPY缓存
• buildkit：使--cache-from行为更可靠Moby / moby＃41222
• buildkit：修复导出高速缓存Moby / moby时无限循环刻录CPU的问题＃41185

客户

• 凹凸Golang 1.13.15 docker / cli＃2674
• 修复配置文件权限问题（〜/ .docker / config.json）docker / cli＃2631
• build：修复零高度docker / cli＃2719终端上的恐慌
• Windows：修复控制台docker / cli＃2623中换行符的潜在问题

联网

• 在Moby / Moby失败时清理网络沙箱＃41081
• 通过将与截止日期相关的错误转发给用户Moby / Moby来修复浅层错误消息
• 修复Netns文件描述符Moby / Moby＃41287的泄漏

无根

• 修复端口转发器资源泄漏Moby / Moby＃41277

运行

• 凹凸Golang 1.13.15 Moby / Moby ＃41334
• 更新为带容器的1.3.7 Moby / Moby＃40408

视窗

• 修复使用ServerCore映像Moby / Moby＃41192时Windows容器启动缓慢的问题

12.03.12

2020-06-18

客户

• 修复了使用多个配置文件（例如，使用Docker Desktop时使用Windows vs WSL2）时无法从注册表注销的错误docker / cli＃2592
• 修复回归问题，防止上下文元数据被读取docker / cli＃2586
• 凹凸Golang 1.13.12 docker / cli＃2575

联网

• 修复回归问题，防止守护程序在systemd-nspawn环境中启动moby / moby＃41124 moby / libnetwork＃2567
• 修复了在swarm moby / moby＃41124 moby / libnetwork＃2565中创建覆盖网络的重试逻辑

运行

• 凹凸Golang 1.13.12 Moby / Moby＃41082

11.03.11

2020-06-01

网络

禁用IPv6路由器广告以防止地址欺骗。CVE-2020-13401

描述

在Docker默认配置中，容器网络接口是连接到主机（虚拟接口）的虚拟以太网链接。在此配置中，能够以容器的root用户身份运行进程的攻击者可以使用此CAP_NET_RAW功能（默认配置中存在）向主机发送和接收任意数据包。

如果未在主机上完全禁用IPv6（通过ipv6.disable=1内核cmdline），则将在某些接口上未配置IPv6或对其进行配置，但是很有可能已禁用了ipv6转发，即/proc/sys/net/ipv6/conf//forwarding == 0。也是默认情况下/proc/sys/net/ipv6/conf//accept_ra == 1。这两个系统的组合意味着主机接受路由器通告并使用它们配置IPv6堆栈。

通过从容器发送“恶意”路由器广告，攻击者可以重新配置主机，以将主机的部分或全部IPv6通信重定向到攻击者控制的容器。

即使以前没有IPv6流量，如果DNS返回A（IPv4）和AAAA（IPv6）记录，许多HTTP库将尝试先通过IPv6连接，然后回退到IPv4，这为攻击者提供了响应的机会。如果主机偶然遇到像去年的RCE这样的漏洞（CVE-2019-3462），则攻击者现在可以升级到主机。

正如CAP_NET_ADMINDocker容器默认情况下不存在的那样，攻击者无法将其想要配置为MitM的IP，他们不能使用iptables进行NAT或重定向流量，也不能使用IP_TRANSPARENT。但是，攻击者仍然可以CAP_NET_RAW在用户空间中使用和实现tcp / ip堆栈。

有关相关问题，请参见kubernetes / kubernetes＃91507。

19.03.10

2020-05-29

客户

• 修复与旧版引擎的版本协商。码头工人/ cli＃2538
• 避免通过主机名设置SSH标志。码头工人/ cli＃2560
• 当DOCKER_CLI_EXPERIMENTAL无效时，解决恐慌问题。码头工人/ cli＃2558
• 通过升级到1.13.11，避免在s390x上引起潜在的恐慌。码头工人/ cli＃2532

联网

• 修复DNS后备回归。白鲸/白鲸＃41009

运行

• 通过升级到1.13.11，避免在s390x上引起潜在的恐慌。莫比/莫比＃40978

包装

• 修复ARM建立在ARM64上。莫比/莫比＃41027

19.03.9

2020-05-14

建造者

• buildkit：修复并行构建多个映像时并发映射写入恐慌的问题。莫比/莫比＃40780
• buildkit：修复了防止在usern阶段之间对非root拥有的文件进行chown的问题。莫比/莫比＃40955
• 避免在Windows上创建无关的临时文件。莫比/莫比＃40877

客户

• 解决单字符卷的紧急情况。码头工人/ cli＃2471
• 惰性守护程序功能检测可避免简单命令长时间超时。码头工人/ cli＃2442
• Windows上的Docker上下文检查现在更快。码头工人/ cli＃2516
• 凹凸Golang 1.13.10。码头工人/ cli＃2431
• 将gopkg.in/yaml.v2碰撞到v2.2.8。码头工人/ cli＃2470

记录中

• 避免由于关闭已关闭的日志文件而导致容器日志无法旋转的情况。莫比/莫比＃40921

联网

• 重新启动时解决潜在的紧急情况。莫比/莫比＃40809
• 将正确的网络值分配给默认网桥“子网”字段。莫比/莫比＃40565

运行

• 修复在/ etc / subuid和/ etc / subgid中使用UID创建名称空间时docker崩溃的问题。莫比/莫比＃40562
• 改进ARM平台匹配。莫比/莫比＃40758
• overlay2：显示支持文件系统。莫比/莫比＃40652
• 将CRIU更新到v3.13“ Silicon Willet”。莫比/莫比＃40850
• 成功回退后，仅显示注册表v2 schema1弃用警告，而不是出现任何注册表错误。莫比/莫比＃40681
• 在Windows上将FILE_SHARE_DELETE用于日志文件。莫比/莫比＃40563
• 凹凸Golang 1.13.10。莫比/莫比＃40803

无根

• 现在，rootlesskit-docker-proxy在公开特权端口时返回详细的错误消息。莫比/莫比＃40863
• 在/ etc / subuid和/ etc / subgid中支持数字ID。莫比/莫比＃40951

安全

• apparmor：为用户添加缺少的规则。莫比/莫比＃40564
• SElinux：修复了重新标记时未检测到的ENOTSUP错误。莫比/莫比＃40946

一群

• 增加记录器的重新装填率，以避免挂在服务日志上。莫比/莫比＃40628
• 修复了重启后单个swarm管理器停留在Down状态的问题。莫比/莫比＃40831
• task.db不再无限期增长。莫比/莫比＃40831

19.03.8

2020-03-10

运行

• 改进某些nscd配置的CVE-2019-14271缓解措施。

19.03.7

2020-03-03

建造者

• builder-next：修复在极端情况下的死锁问题。莫比/莫比＃40557

运行

• overlay：删除modprobe执行程序。莫比/莫比＃40462
• selinux：设置文件标签时显示更好的错误消息。白鲸/白鲸＃40547
• 加快初始统计信息收集。莫比/莫比＃40549
• 无根：使用XDG_CONFIG_HOME中的certs.d。莫比/莫比＃40461
• 凹凸Golang 1.12.17。莫比/莫比＃40533
• 将google.golang.org/grpc连接到v1.23.1。莫比/莫比＃40566
• 将容器化的二进制文件更新为v1.2.13。莫比/莫比＃40540
• 防止将停止的容器显示为在边缘情况下运行。莫比/莫比＃40555
• 防止潜在的锁定。莫比/莫比＃40604

客户

• 凹凸Golang 1.12.17。码头工人/ cli＃2342
• 将google.golang.org/grpc连接到v1.23.1。码头工人/ cli＃1884 码头工人/ cli＃2373

19.03.6

2020-02-12

建造者

• builder-next：允许使用现代符号哈希进行ssh转发。码头工人/引擎＃453
• builder-next：触发后清除onbuild规则。码头工人/引擎＃453
• builder-next：修复了启用用户名空间时目录权限的问题。莫比/莫比＃40440
• 碰撞hcsshim来修复Windows 1903上的docker构建失败。docker / engine＃429

联网

• 缩短exec-root中的控制器ID，使其不命中UNIX_PATH_MAX。泊坞窗/引擎＃424
• 修复drivers / overlay / encryption.go中的紧急情况。泊坞窗/引擎＃424
• 修复hwaddr设置我们和udev之间的竞争。泊坞窗/引擎＃439

运行

• 凹凸Golang 1.12.16。莫比/莫比＃40433
• 将容器化的二进制文件更新为v1.2.12。莫比/莫比＃40433
• 更新到runc v1.0.0-rc10。莫比/莫比＃40433
• 修复Lgetxattr中可能出现的运行时紧急情况。码头工人/引擎＃454
• 无根：修复代理UDP数据包。码头工人/引擎＃434

19.03.5

2019-11-14

建造者

• builder-next：entitlements在构建器配置中添加。泊坞窗/引擎＃412
• 修复builder-next：在使用build secret或通过userns-remap进行ssh转发时出现权限错误。码头工人/引擎＃420
• 修复builder-next：在已复制的目录中复制符号链接。码头工人/引擎＃420

包装

• 支持RHEL 8软件包

运行

• 将Golang升至1.12.12。码头工人/引擎＃418
• 更新到RootlessKit到v0.7.0，以使用装载名称空间和seccomp加固slirp4netns。码头工人/引擎＃397
• 修复了从事件处理器传播GetContainer错误的问题。码头工人/引擎＃407
• 修复OCI图片推送。码头工人/引擎＃405

19.03.4

2019-10-17

联网

• 回滚libnetwork更改以修复DOCKER-USERiptables链问题。码头工人/引擎＃404

已知的问题

现存的

• 在大型集群的某些情况下，作为Swarm部分的一部分，Docker信息可能包含error code = ResourceExhausted desc = grpc: received message larger than max (5351376 vs. 4194304)。这并不表示用户有任何故障或配置错误，并且不需要响应。
• 将所有服务重新部署为新服务时，可能会发生Orchestrator端口冲突。由于在短时间内有许多Swarm管理器请求，因此某些服务无法接收流量，并且404 在部署后会导致错误。
  • 解决方法：通过重新启动所有任务docker service update --force。
• 带有目录遍历的CVE-2018-15664 symlink-exchange攻击。解决方法，直到在即将进行的修补程序发行版中提供适当的修复程序：docker pause容器之前执行文件操作。莫比/莫比＃39252
• docker cpCVE缓解导致的回归。当的来源docker cp设为时，会产生错误/。

19.03.3

2019-10-08

安全

• 装runc在包装好的容器中。CVE-2017-18367

建造者

• 修复builder-next：解决第三方注册表的摘要。码头工人/引擎＃339

• 修复builder-next：当守护程序通过套接字激活启动时，将建立用户名称空间。码头工人/引擎＃373

• 修复builder-next; 会话：释放每个连接转发的ssh套接字连接。码头工人/引擎＃373

• 修复build-next：llbsolver：多个缓存导入器上的错误。码头工人/引擎＃373

客户

• 添加了对Docker模板0.1.6的支持。

• 缓解别名过多的YAML文件。码头工人/ cli＃2119

运行

• 将Golang升至1.12.10。码头工人/引擎＃387

• 装箱至1.2.10的凹凸。码头工人/引擎＃385

• 分发：拉出v2 schema1清单时修改警告逻辑。码头工人/引擎＃368

• POST /images/create提供错误的平台选项时，修复返回500状态代码的问题。码头工人/引擎＃365

• POST /build提供错误的平台选项时，修复返回500状态代码的问题。码头工人/引擎＃365

• 修复由于结构成员未对齐而导致的32位ARMv7恐慌。码头工人/引擎＃363

• 修复了链接到不存在的容器时返回“无效参数”的问题。码头工人/引擎＃352

• 修复overlay2：使用内核> = 5.2时，安装时出现繁忙错误。码头工人/引擎＃332

• 修复docker rmi卡在某些配置错误的系统中，例如死掉的NFS共享。码头工人/引擎＃335

• 修复对已执行进程的阻塞I / O的处理。码头工人/引擎＃296

• 修复jsonfile记录器：跟踪max-size设置为和时卡住的日志max-file=1。码头工人/引擎＃378

已知的问题

新的

• DOCKER-USERiptables链丢失：docker / for-linux＃810。用户无法在此iptables链上执行其他容器网络流量过滤。如果您不自定义iptable链，则不会受到此问题的影响DOCKER-USER。
  • 解决办法：在docker守护程序启动后插入iptables链。例如：

    iptables -N DOCKER-USER
    iptables -I FORWARD -j DOCKER-USER
    iptables -A DOCKER-USER -j RETURN
    

现存的

• 在某些集群较大的情况下，作为Swarm部分的一部分，docker信息可能包含error code = ResourceExhausted desc = grpc: received message larger than max (5351376 vs. 4194304)。这并不表示用户有任何故障或配置错误，并且不需要响应。
• 将所有服务重新部署为新服务时，可能会发生Orchestrator端口冲突。由于短时间内有许多群集管理器请求，因此某些服务无法接收流量，并且404 在部署后会导致错误。
  • 解决方法：通过重新启动所有任务docker service update --force。
• 带有目录遍历的CVE-2018-15664 symlink-exchange攻击。解决方法，直到在即将进行的修补程序发行版中提供适当的修复程序：docker pause容器之前执行文件操作。莫比/莫比＃39252
• docker cpCVE缓解导致的回归。当的来源docker cp设为时，会产生错误/。

19.03.2

2019-09-03

建造者

• 修复COPY --fromWindows上不存在的目录。莫比/莫比＃39695

• 修复builder-next：元数据命令在历史记录中未创建时间。莫比/莫比＃39456

• 修复builder-next：关闭图层导出错误的进度。莫比/莫比＃39782

• 将buildkit更新到588c73e1e4。莫比/莫比＃39781

客户

• 修复非Windows docker / cli＃1990上的Windows绝对路径检测

• 修复了针对的zsh完成脚本docker login --username。

• 修复上下文：在上产生一致的输出context create。码头工人/ cli＃1985

• 修复了对HTTP代理环境变量的支持。码头工人/ cli＃2059

记录中

• 修复了读取日志日志的问题。莫比 /莫比＃37819莫比/莫比＃38859

联网

• 通过禁用网络，防止连接到容器的网络出现混乱。莫比/莫比＃39589

运行

• 将Golang升至1.12.8。

• 当对容器使用XFS磁盘配额时，修复潜在的引擎恐慌。莫比/莫比＃39644

一群

• 修复了无法删除具有多个任务的节点的问题。码头工人/ swarmkit＃2867

已知的问题

• 在某些集群较大的情况下，作为Swarm部分的一部分，docker信息可能包含error code = ResourceExhausted desc = grpc: received message larger than max (5351376 vs. 4194304)。这并不表示用户有任何故障或配置错误，并且不需要响应。
• 将所有服务重新部署为新服务时，可能会发生Orchestrator端口冲突。由于短时间内有许多群集管理器请求，因此某些服务无法接收流量，并且404 在部署后会导致错误。
  • 解决方法：通过重新启动所有任务docker service update --force。
• 由于缺少FORWARD链中的Iptables规则，流量无法流出HOST。缺少的规则是：

     /sbin/iptables --wait -C FORWARD -o docker_gwbridge -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
     /sbin/iptables --wait -C FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  

  • 解决方法：使用脚本和cron定义重新添加这些规则。该脚本必须包含“ -C”命令以检查规则的存在，以及“ -A”命令以添加规则。定期在cron上运行脚本，例如，每个 分钟。
  • 受影响的版本：18.09.1、19.03.0
• 带有目录遍历的CVE-2018-15664 symlink-exchange攻击。解决方法，直到在即将进行的修补程序发行版中提供适当的修复程序：docker pause容器之前执行文件操作。莫比/莫比＃39252
• docker cpCVE缓解导致的回归。当的来源docker cp设为时，会产生错误/。

19.03.1

2019-07-25

安全

• 修复了在Glibc下将基于nsswitch的配置加载到chroot中的问题。CVE-2019-14271

已知的问题

• 在某些情况下，在大型集群中，泊坞窗信息可能会作为Swarm部分的一部分包含error code = ResourceExhausted desc = grpc: received message larger than max (5351376 vs. 4194304)。这并不表示用户有任何故障或配置错误，并且不需要响应。
• 将所有服务重新部署为新服务时，可能会发生Orchestrator端口冲突。由于短时间内有许多群集管理器请求，因此某些服务无法接收流量，并且404 在部署后会导致错误。
  • 解决方法：通过重新启动所有任务docker service update --force。
• 由于缺少FORWARD链中的Iptables规则，流量无法流出HOST。缺少的规则是：

    /sbin/iptables --wait -C FORWARD -o docker_gwbridge -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables --wait -C FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  

  • 解决方法：使用脚本和cron定义重新添加这些规则。该脚本必须包含“ -C”命令以检查规则的存在，以及“ -A”命令以添加规则。定期在cron上运行脚本，例如，每个 分钟。
  • 受影响的版本：18.09.1、19.03.0
• 带有目录遍历的CVE-2018-15664 symlink-exchange攻击。解决方法，直到在即将进行的修补程序发行版中提供适当的修复程序：docker pause容器之前执行文件操作。莫比/莫比＃39252
• docker cpCVE缓解导致的回归。当的来源docker cp设为时，会产生错误/。

19.03.0

2019-07-22

建造者

• 固定COPY --from以保留所有权。莫比/莫比＃38599

• 生成器下一个：

  • 添加了内联缓存支持--cache-from。码头工人/引擎＃215
  • 允许输出配置。莫比/莫比＃38898
  • 修复了gcr解决方法令牌缓存。泊坞窗/引擎＃212
  • stopprogress调用下载错误。码头工人/引擎＃215
  • Buildkit现在使用systemd的resolv.conf。docker / engine＃260。
  • 现在可以设置buildkit输出。码头工人/ cli＃1766
  • 查找特定于Dockerfile的dockerignore文件（例如Dockerfile.dockerignore）以查找忽略的路径。码头工人/引擎＃215
  • 自动检测x86，arm和arm64二进制文件是否可以执行进程。 码头工人/引擎＃215
  • 将buildkit更新为1f89ec1。码头工人/引擎＃260
  • docker/dockerfile:1.1默认情况下使用Dockerfile前端版本。 码头工人/引擎＃215
  • 不再依赖外部图像进行COPY / ADD操作。 码头工人/引擎＃215

客户

• 已将--pids-limit标志添加到docker update。码头工人/ cli＃1765
• 添加了对服务的systctl支持。码头工人/ cli＃1754
• 添加了template_driver对撰写文件的支持。码头工人/ cli＃1746
• 添加了--device对Windows的支持。码头工人/ cli＃1606
• 添加了对数据路径端口配置的支持。码头工人/ cli＃1509
• 添加了快速上下文切换：命令。码头工人/ cli＃1501
• 增加了对--mount type=bind,bind-nonrecursive,... docker / cli＃1430的支持
• 增加了每个节点的最大副本数。码头工人/ cli＃1612
• 添加了安静地拉图像的选项。码头工人/ cli＃882
• 添加了一个单独的--domainname标志。码头工人/ cli＃1130
• 在中增加了对秘密驱动程序的支持docker stack deploy。码头工人/ cli＃1783
• 增加了将swarmConfigs用作CredentialSpecs服务的功能。 码头工人/ cli＃1781
• 增加了--security-opt systempaths=unconfined支持。码头工人/ cli＃1808
• 添加了用于编写和运行CLI插件的基本框架。码头工人/ cli＃1564 码头工人/ cli＃1898
• 将Docker App升级到v0.8.0。docker / docker-ce-packaging＃341
• 添加了对Docker buildx的支持。码头工人/ docker-ce-packaging＃336
• 添加了对Docker Assemble v0.36.0的支持。
• 添加了对Docker Cluster v1.0.0-rc2的支持。
• 添加了对Docker模板v0.1.4的支持。
• 添加了对Docker Registry v0.1.0-rc1的支持。
• 将google.golang.org/grpc连接到v1.20.1。码头工人/ cli＃1884
• CLI更改为将驱动程序特定选项传递给docker run。码头工人/ cli＃1767
• 重击Golang 1.12.5。码头工人/ cli＃1875
• docker system info现在，输出将隔离与客户机和守护程序有关的信息。 码头工人/ cli＃1638
• （实验性）以Kubernetes为目标时，增加了x-pull-secret: some-pull-secret对compose-files服务配置的支持。码头工人/ cli＃1617
• （实验性）以Kubernetes为目标时，增加了x-pull-policy: <Never|Always|IfNotPresent> 对compose-files服务配置的支持。码头工人/ cli＃1617
• cp，保存，导出：现在可以防止覆盖不规则文件。码头工人/ cli＃1515
• 现在允许堆栈文件上的npipe卷类型。码头工人/ cli＃1195
• 修复了tty初始大小错误。码头工人/ cli＃1529
• 解决了标签从环境变量复制值的问题。 码头工人/ cli＃1671

原料药

• 将API版本更新为v1.40。莫比/莫比＃38089
• 向/info端点添加了警告，并将检测移至守护程序。 莫比/莫比＃37502
• 添加了对/_ping端点的HEAD支持。莫比/莫比＃38570
• 添加了Cache-Control标头以禁用缓存/_ping端点。 莫比/莫比＃38569
• 添加containerd，runc和docker-init版本/version。 莫比/莫比＃37974
• 添加了未记录的/grpc端点并注册了BuildKit的控制器。 莫比/莫比＃38990

实验性

• 使用TTY启用了容器的检查点/还原。莫比/莫比＃38405
• LCOW：添加了对内存和CPU限制的支持。莫比/莫比＃37296
• Windows：添加了ContainerD运行时。莫比/莫比＃38541
• Windows：LCOW现在需要Windows RS5 +。莫比/莫比＃39108

安全

• 安装：添加BindOptions.NonRecursive（API v1.40）。莫比/莫比＃38003
• seccomp：列入白名单io_pgetevents()。莫比/莫比＃38895
• seccomp：ptrace(2)现在允许4.8+内核。莫比/莫比＃38137

运行

• dockerd现在允许以非root用户身份运行（无根模式）。 莫比/莫比＃380050
• 无根：为lxc-user-nicSUID二进制文件提供了可选支持。 码头工人/引擎＃208
• 向HostConfig添加了DeviceRequests以支持NVIDIA GPU。莫比/莫比＃38828
• 添加了--device对Windows的支持。莫比/莫比＃37638
• 添加了memory.kernelTCP对linux的支持。莫比/莫比＃37043
• Windows凭据规范现在可以直接传递到引擎。 白鲸/白鲸＃38777
• 在docker update中添加了pids-limit支持。白鲸/白鲸＃32519
• 添加了对功能列表的支持。白鲸/白鲸＃38380
• 守护程序：现在默认使用“专用” ipc模式。莫比/莫比＃35621
• 守护程序：切换到信号量门控的WaitGroup来执行启动任务。莫比/莫比＃38301
• 现在使用docker.sock所有权idtools.LookupGroup而不是解析/etc/group文件来修复：api.go doesn't respect nsswitch.conf。莫比/莫比＃38126
• cli：使用多参考滤镜时固定图像滤镜。莫比/莫比＃38171
• 将Golang提升至1.12.5。码头工人/引擎＃209
• 被撞containerd至1.2.6。白鲸/白鲸＃39016
• 已连接runc到1.0.0-rc8，opencontainers / selinux v1.2.2。码头工人/引擎＃210
• 被撞google.golang.org/grpc到v1.20.1。码头工人/引擎＃215
• 在aufs和图层存储中优化的性能可用于大规模并行容器的创建/删除。 莫比/莫比＃39135 莫比/莫比＃39209
• 根现在传递给chroot以获取chroot Tar / Untar（CVE-2018-15664）Moby / Moby＃39292
• docker --init用/ dev绑定安装修复。莫比/莫比＃37665
• 大于255并使用该--device-read-bps选项时，现在将获取正确的设备号。 白鲸/白鲸＃39212
• 修复了Path does not exist路径绝对存在时的错误。莫比/莫比＃39251

联网

• 将IPVLAN驱动程序移出了实验阶段。 莫比/莫比＃38983
• 添加了对“悬空”过滤器的支持。moby / moby＃31551 docker / libnetwork＃2230
• 现在，当使用来更新服务时，负载均衡器沙箱将被删除--network-rm。 泊坞窗/引擎＃213
• Windows：现在将指定的零IP强制设置PortBindings为IPv4zero（0.0.0.0）。 泊坞窗/ libnetwork＃2376

一群

• 添加了对每个节点最大副本数的支持。莫比/莫比＃37940
• 从Swarmkit配置中添加了对GMSA CredentialSpecs的支持。白鲸/白鲸＃38632
• 添加了对服务中sysctl选项的支持。白鲸/白鲸＃37701
• 添加了对节点标签过滤的支持。莫比/莫比＃37650
• Windows：在docker service create + stack yml中添加了对命名管道安装的支持。 莫比/莫比＃37400
• 现在支持VXLAN UDP端口配置。莫比/莫比＃38102
• 现在在Enforcer中使用服务放置约束。码头工人/ swarmkit＃2857
• 增加了节点和机密的最大recv gRPC消息大小。 码头工人/引擎＃256

记录中

• 在Windows上启用了gcplogs驱动程序。白鲸/白鲸＃37717
• 为RFC5424 syslog格式添加了零填充。莫比/莫比＃38335
• 添加了IMAGE_NAME属性以journald记录事件。莫比/莫比＃38032

弃用

• 弃用映像清单v2 schema1，而推荐使用v2 schema2。将来的Docker版本将完全不再支持v2 schema1。莫比/莫比＃39365
• 删除了v1.10迁移器。莫比/莫比＃38265
• 现在，在自动选择中跳过不推荐使用的存储驱动程序。莫比/莫比＃38019
• 不建议使用的aufs存储驱动程序，并添加了警告。莫比/莫比＃38090
• 删除了对17.09的支持。

有关不推荐使用的标志和API的更多信息，请参阅https://docs.docker.com/engine/deprecated/了解目标删除日期。

已知的问题

• 在某些集群较大的情况下，作为Swarm部分的一部分，docker信息可能包含error code = ResourceExhausted desc = grpc: received message larger than max (5351376 vs. 4194304)。这并不表示用户有任何故障或配置错误，并且不需要响应。
• 将所有服务重新部署为新服务时，可能会发生Orchestrator端口冲突。由于短时间内有许多群集管理器请求，因此某些服务无法接收流量，并且404 在部署后会导致错误。
  • 解决方法：通过重新启动所有任务docker service update --force。
• 由于缺少FORWARD链中的Iptables规则，流量无法流出HOST。缺少的规则是：

    /sbin/iptables --wait -C FORWARD -o docker_gwbridge -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables --wait -C FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  

  • 解决方法：使用脚本和cron定义重新添加这些规则。该脚本必须包含“ -C”命令以检查规则的存在，以及“ -A”命令以添加规则。定期在cron上运行脚本，例如，每个 分钟。
  • 受影响的版本：18.09.1、19.03.0
• 带有目录遍历的CVE-2018-15664 symlink-exchange攻击。解决方法，直到在即将进行的修补程序发行版中提供适当的修复程序：docker pause容器之前执行文件操作。莫比/莫比＃39252
• docker cpCVE缓解导致的回归。当的来源docker cp设为时，会产生错误/。