⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Notes de version Docker Engine 20.10

Table des matières

Ce document décrit les derniers changements, ajouts, problèmes connus et corrections pour Docker Engine version 20.10.

20.10.24

2023-04-04

Mises à jour

  • Mise à jour du runtime Go vers 1.19.7.
  • Mise à jour de Docker Buildx vers v0.10.4.
  • Mise à jour de containerd vers v1.6.20.
  • Mise à jour de runc vers v1.1.5.

Corrections de bugs et améliorations

  • Correction d'un certain nombre de problèmes qui peuvent causer des réseaux overlay chiffrés Swarm à échouer à maintenir leurs garanties, traitant CVE-2023-28841, CVE-2023-28840, et CVE-2023-28842.
    • Un manque de support noyau pour les réseaux overlay chiffrés signale maintenant comme une erreur.
    • Les réseaux overlay chiffrés sont mis en place avec empressement, plutôt que d'attendre plusieurs nœuds à attacher.
    • Les réseaux overlay chiffrés sont maintenant utilisables sur Red Hat Enterprise Linux 9 grâce à l'utilisation du module noyau xt_bpf.
    • Les utilisateurs de réseaux overlay Swarm doivent examiner GHSA-vwm3-crmr-xfxw pour s'assurer qu'une exposition non intentionnelle ne s'est pas produite.
  • Mise à niveau de github.com/containerd/fifo vers v1.1.0 pour corriger une panique potentielle moby/moby#45216.
  • Correction de la complétion Bash manquante pour les cli-plugins installés docker/cli#4091.

20.10.23

2023-01-19

Cette version de Docker Engine contient des versions mises à jour de Docker Compose, Docker Buildx, containerd, et quelques corrections de bugs et améliorations mineures.

Mises à jour

  • Mise à jour de Docker Compose vers v2.15.1.
  • Mise à jour de Docker Buildx vers v0.10.0.
  • Mise à jour de containerd (package containerd.io) vers v1.6.15.
  • Mise à jour du format de versioning des packages pour docker-compose-cli pour permettre les mises à jour de version de distribution docker/docker-ce-packaging#822.
  • Mise à jour du runtime Go vers 1.18.10.

Corrections de bugs et améliorations

  • Correction d'un problème où docker build échouerait lors de l'utilisation de --add-host=host.docker.internal:host-gateway avec BuildKit activé moby/moby#44650.

  • Annulation de seccomp : bloquer les appels socket vers AF_VSOCK dans le profil par défaut moby/moby#44712.

    Ce changement, bien que favorable d'un point de vue sécurité, a causé un changement de comportement pour certains cas d'utilisation. En tant que tel, nous l'annulons pour assurer la stabilité et la compatibilité pour les utilisateurs affectés.

    Cependant, les utilisateurs de AF_VSOCK dans les conteneurs doivent reconnaître que cette famille d'adresses (spéciale) n'est actuellement pas namespacée dans aucune version du noyau Linux, et peut résulter en un comportement inattendu, comme des conteneurs communiquant directement avec les hyperviseurs hôtes.

    Les versions futures filtreront AF_VSOCK. Les utilisateurs qui ont besoin de permettre aux conteneurs de communiquer via le AF_VSOCK non-namespacé devront désactiver le confinement seccomp ou définir un profil seccomp personnalisé.

20.10.22

2022-12-16

Cette version de Docker Engine contient des versions mises à jour de Docker Compose, Docker Scan, containerd, et quelques corrections de bugs et améliorations mineures.

Mises à jour

Corrections de bugs et améliorations

  • Amélioration du message d'erreur lors de la tentative de tirage d'un format d'image non supporté ou artefact OCI moby/moby#44413, moby/moby#44569.
  • Correction d'un problème où la plage de ports éphémères de l'hôte était ignorée lors de la sélection de ports aléatoires pour les conteneurs moby/moby#44476.
  • Correction des erreurs ssh: parse error in message type 27 pendant docker build sur les hôtes utilisant OpenSSH 8.9 ou supérieur moby/moby#3862.
  • seccomp : bloquer les appels socket vers AF_VSOCK dans le profil par défaut moby/moby#44564.

20.10.21

2022-10-25

Cette version de Docker Engine contient des versions mises à jour de Docker Compose, Docker Scan, containerd, des packages ajoutés pour Ubuntu 22.10, et quelques corrections de bugs et améliorations mineures.

Nouveau

  • Fourniture de packages pour Ubuntu 22.10 (Kinetic Kudu).
  • Ajout du support pour allow-nondistributable-artifacts vers Docker Hub moby/moby#44313.

Mises à jour

  • Mise à jour de Docker Compose vers v2.12.2.
  • Mise à jour de Docker Scan vers v0.21.0.
  • Mise à jour de containerd (package containerd.io) vers v1.6.9.
  • Mise à jour de la version BuildKit intégrée pour corriger les erreurs output clipped, log limit 1MiB reached moby/moby#44339.

Corrections de bugs et améliorations

  • Suppression de la barrière expérimentale pour --platform dans la complétion bash docker/cli#3824.
  • Correction d'une panique Invalid standard handle identifier lors de l'enregistrement de Docker Engine comme service depuis une CLI legacy sur Windows moby/moby#44326.
  • Correction de l'exécution de commandes Git dans Cygwin sur Windows moby/moby#44332.

20.10.20

2022-10-18

Cette version de Docker Engine contient des atténuations partielles pour une vulnérabilité Git (CVE-2022-39253), et a une gestion mise à jour des références d'image image:tag@digest.

La vulnérabilité Git permet à un dépôt Git malicieusement conçu, lorsqu'utilisé comme contexte de build, de copier des chemins de système de fichiers arbitraires dans les conteneurs/images résultants ; ceci peut se produire à la fois dans le démon, et dans les clients API, selon les versions et outils utilisés.

Les atténuations disponibles dans cette version et dans d'autres consommateurs de l'API du démon sont partielles et ne protègent que les utilisateurs qui construisent un contexte d'URL Git (par ex. git+protocol://). Comme la vulnérabilité pourrait encore être exploitée par des commandes Git exécutées manuellement qui interagissent avec et extraient des sous-modules, les utilisateurs doivent immédiatement mettre à niveau vers une version corrigée de Git pour se protéger contre cette vulnérabilité. Plus de détails sont disponibles sur le blog GitHub ("Vulnérabilités de sécurité Git annoncées").

Mises à jour

  • Mise à jour de Docker Compose vers v2.12.0.
  • Gestion mise à jour des références image:tag@digest. Lors du tirage d'une image utilisant le image:tag@digest ("pull by digest"), la résolution d'image se fait à travers le digest adressable par contenu et l'image et le tag ne sont pas utilisés. Bien que ceci soit attendu, cela pourrait mener à un comportement confus, et pourrait potentiellement être exploité par ingénierie sociale pour exécuter une image qui est déjà présente dans le magasin d'images local. Docker vérifie maintenant si le digest correspond au nom de dépôt utilisé pour tirer l'image, et produira sinon une erreur.
  • Gestion mise à jour des références image:tag@digest. Consultez la section "Démon" ci-dessus pour les détails.

Corrections de bugs et améliorations

  • Ajout d'une atténuation pour CVE-2022-39253, lors de l'utilisation du Builder classique avec une URL Git comme contexte de build.
  • Ajout d'une atténuation au Builder classique et mise à jour de BuildKit vers v0.8.3-31-gc0149372, pour CVE-2022-39253.

20.10.19

2022-10-14

Cette version de Docker Engine vient avec quelques corrections de bugs, et une version mise à jour de Docker Compose.

Mises à jour

Corrections de bugs et améliorations

  • Correction d'un problème qui pourrait résulter en une panique pendant docker builder prune ou docker system prune moby/moby#44122.
  • Correction d'un bug où l'utilisation de docker volume prune supprimerait des volumes qui étaient encore en cours d'utilisation si le démon fonctionnait avec "live restore" et était redémarré moby/moby#44238.

20.10.18

2022-09-09

Cette version de Docker Engine vient avec une correction pour un problème de sécurité de faible gravité, quelques corrections de bugs mineures, et des versions mises à jour de Docker Compose, Docker Buildx, containerd, et runc.

Mises à jour

  • Mise à jour de Docker Buildx vers v0.9.1.
  • Mise à jour de Docker Compose vers v2.10.2.
  • Mise à jour de containerd (package containerd.io) vers v1.6.8.
  • Mise à jour de la version runc vers v1.1.4.
  • Mise à jour du runtime Go vers 1.18.6.

Corrections de bugs et améliorations

  • Add Bash completion for Docker Compose docker/cli#3752.
  • Fix an issue where file-capabilities were not preserved during build moby/moby#43876.
  • Fix an issue that could result in a panic caused by a concurrent map read and map write moby/moby#44067.
  • Fix a security vulnerability relating to supplementary group permissions, which could allow a container process to bypass primary group restrictions within the container CVE-2022-36109, GHSA-rc4r-wh2q-q6c4.
  • seccomp: add support for Landlock syscalls in default policy moby/moby#43991.
  • seccomp: update default policy to support new syscalls introduced in kernel 5.12 - 5.16 moby/moby#43991.
  • Fix an issue where cache lookup for image manifests would fail, resulting in a redundant round-trip to the image registry moby/moby#44109.
  • Fix an issue where exec processes and healthchecks were not terminated when they timed out moby/moby#44018.

20.10.17

2022-06-06

Cette version de Docker Engine vient avec des versions mises à jour de Docker Compose et du containerd, et runc composants, ainsi que quelques corrections de bugs mineurs.

Mises à jour

Corrections de bugs et améliorations

  • Remove asterisk from docker commands in zsh completion script docker/cli#3648.
  • Fix Windows port conflict with published ports in host mode for overlay moby/moby#43644.
  • Ensure performance tuning is always applied to libnetwork sandboxes moby/moby#43683.

20.10.16

2022-05-12

Cette version de Docker Engine corrige une régression dans les binaires Docker CLI pour macOS, corrige un problème avec docker stats lors de l'utilisation de containerd 1.5 et au-dessus, et met à jour le runtime Go pour inclure une correction pour CVE-2022-29526.

Mises à jour

  • Mise à jour de golang.org/x/sys dependency qui contient une correction pour CVE-2022-29526.
  • Mise à jour de la dépendance de build-time de golang.org/x/sys qui contient une correction pour CVE-2022-29526.
  • Mise à jour du runtime Go vers 1.17.10, qui contient une correction pour CVE-2022-29526.

Corrections de bugs et améliorations

  • Correction d'une régression dans les binaires pour macOS introduite dans 20.10.15, qui a causé une panique docker/cli#43426.
  • Correction d'un problème où docker stats était montré vide lors de l'exécution avec containerd 1.5.0 ou au-dessus moby/moby#43567.
  • Utilisation de "weak" dependencies pour le CLI plugin docker scan, pour empêcher une erreur "conflicting requests" lorsque les utilisateurs effectuaient une installation hors ligne à partir des packages RPM téléchargés docker/docker-ce-packaging#659.

20.10.15

2022-05-05

Cette version de Docker Engine vient avec des versions mises à jour des composants compose, buildx, containerd, et runc, ainsi que quelques corrections de bugs mineurs.

Mises à jour

  • Mise à jour de Docker Compose vers v2.5.0.
  • Mise à jour de Docker Buildx vers v0.8.2.
  • Mise à jour du runtime Go vers 1.17.9.
  • Mise à jour de containerd (package containerd.io) vers v1.6.4.
  • Mise à jour de la version runc vers v1.1.1.

Corrections de bugs et améliorations

  • Utilisation d'un RWMutex pour stateCounter pour empêcher les blocages potentiels moby/moby#43426.
  • Prévention d'un problème où le démon était incapable de trouver une plage IP-range disponible dans certaines conditions moby/moby#43360
  • Ajout de packages pour CentOS 9 stream et Fedora 36.

Problèmes connus

20.10.14

2022-03-23

Cette version de Docker Engine met à jour les capacités héritables par défaut des conteneurs pour répondre à CVE-2022-24769, une nouvelle version du runtime containerd.io est également incluse pour répondre au même problème.

Mises à jour

  • Mise à jour des capacités héritables par défaut.
  • Mise à jour des capacités héritables par défaut pour les conteneurs utilisés lors de la construction.
  • Mise à jour de containerd (package containerd.io) vers v1.5.11.
  • Mise à jour de docker buildx vers v0.8.1.

20.10.13

2022-03-10

Cette version de Docker Engine contient quelques corrections de bugs et des modifications de packaging, mises à jour des commandes docker scan et docker buildx, une nouvelle version du runtime Go, et de nouvelles versions du runtime containerd.io. Avec cette version, nous fournissons également des packages .deb et .rpm de Docker Compose V2, qui peuvent être installés en utilisant le package (facultatif) docker-compose-plugin.

Nouveau

  • Fourniture de packages .deb et .rpm pour Docker Compose V2. Docker Compose v2.3.3 peut maintenant être installé sur Linux en utilisant les packages docker-compose-plugin, qui fournissent la sous-commande docker compose sur l'interface CLI Docker. Le plugin Docker Compose peut également être installé et exécuté en standalone pour être utilisé comme remplacement de docker-compose (Docker Compose V1) docker/docker-ce-packaging#638. Le package compose-cli-plugin peut également être utilisé sur des versions antérieures de l'interface CLI Docker avec support pour les plugins CLI (Docker CLI 18.09 et au-dessus).
  • Fourniture de packages pour la prochaine version d'Ubuntu 22.04 "Jammy Jellyfish" LTS docker/docker-ce-packaging#645, docker/containerd-packaging#271.

Mises à jour

  • Mise à jour de la version intégrée de buildx vers v0.8.0.
  • Mise à jour de docker buildx vers v0.8.0.
  • Mise à jour de docker scan (docker-scan-plugin) vers v0.17.0.
  • Mise à jour de containerd (package containerd.io) vers v1.5.10.
  • Mise à jour de la version intégrée de runc vers v1.0.3.
  • Mise à jour du runtime Go vers Go 1.16.15.
  • Mise à jour du pilote de journalisation fluentd pour empêcher un crash potentiel du démon et empêcher les conteneurs de se bloquer lors de l'utilisation de fluentd-async-connect=true et du serveur distant est inaccessible moby/moby#43147.

Corrections de bugs et améliorations

  • Correction d'une condition de course lors de la mise à jour de l'état du conteneur moby/moby#43166.
  • Mise à jour de la dépendance d'etcd pour empêcher le démon de tenir des verrous de fichiers incorrectement moby/moby#43259
  • Correction de la détection des espaces utilisateurs lors de la configuration de la valeur par défaut de net.ipv4.ping_group_range sysctl moby/moby#43084.
  • Retentez de télécharger les manifestes d'image si une erreur de connexion se produit lors du tirage d'image moby/moby#43333.
  • Diverses corrections dans la référence en ligne de commande et la documentation API.
  • Prévention d'un OOM lors de l'utilisation du pilote de journalisation "local" avec des conteneurs qui produisent un grand nombre de messages de journal moby/moby#43165.

20.10.12

2021-12-13

Cette version de Docker Engine contient des changements dans le packaging uniquement, et met à jour les commandes docker scan et docker buildx. Les versions de docker scan avant v0.11.0 ne sont pas en mesure de détecter le Log4j 2 CVE-2021-44228. Nous livrons une version mise à jour de docker scan dans cette version pour vous aider à scanner vos images pour cette vulnérabilité.

Note

La commande docker scan sur Linux est actuellement uniquement prise en charge sur les plates-formes x86. Nous ne fournissons pas encore de package pour d'autres architectures matérielles sur Linux.

La fonctionnalité docker scan est fournie en tant que package séparé et, en fonction de votre mise à jour ou de votre méthode d'installation, docker scan peut ne pas être mise à jour automatiquement à la dernière version. Utilisez les instructions ci-dessous pour mettre à jour docker scan vers la dernière version. Vous pouvez également utiliser ces instructions pour installer, ou mettre à jour le package docker scan sans mettre à jour Docker Engine :

Sur les distributions basées sur .deb, telles que Ubuntu et Debian :

$ apt-get update && apt-get install docker-scan-plugin

Sur les distributions basées sur rpm, telles que CentOS ou Fedora :

$ yum install docker-scan-plugin

Après la mise à jour, vérifiez que vous avez la dernière version de docker scan installée :

$ docker scan --accept-license --version
Version:    v0.12.0
Git commit: 1074dd0
Provider:   Snyk (1.790.0 (standalone))

Lisez notre article de blog sur CVE-2021-44228 pour apprendre à utiliser la commande docker scan pour vérifier si les images sont vulnérables.

Packaging

  • Mise à jour de docker scan vers v0.12.0.
  • Mise à jour de docker buildx vers v0.7.1.
  • Mise à jour du runtime Go vers Go 1.16.12.

20.10.11

2021-11-17

Important

En raison des changements de net/http dans Go 1.16, les proxies HTTP configurés via la variable d'environnement $HTTP_PROXY ne sont plus utilisés pour les connexions TLS (https://). Assurez-vous de définir également une variable d'environnement $HTTPS_PROXY pour gérer les demandes à https:// URLs. Reportez-vous à Configurer le démon pour utiliser un proxy pour apprendre à configurer le démon Docker pour utiliser un serveur proxy.

Distribution

Windows

  • Correction d'une panique.log file having read-only attribute set moby/moby#42987.

Packaging

  • Mise à jour de containerd vers v1.4.12 pour atténuer CVE-2021-41190.
  • Mise à jour du runtime Go vers Go 1.16.10.

20.10.10

2021-10-25

Important

En raison des changements de net/http dans Go 1.16, les proxies HTTP configurés via la variable d'environnement $HTTP_PROXY ne sont plus utilisés pour les connexions TLS (https://). Assurez-vous de définir également une variable d'environnement $HTTPS_PROXY pour gérer les demandes à https:// URLs. Reportez-vous à la section Proxy HTTP/HTTPS pour apprendre à configurer le démon Docker pour utiliser un proxy.

Builder

  • Correction de la logique de correspondance de plateforme pour résoudre docker build ne trouvant pas d'images dans le cache d'image local sur les machines Arm lors de l'utilisation de BuildKit moby/moby#42954

Runtime

  • Ajout de support pour le syscall clone3 dans la stratégie seccomp par défaut pour soutenir l'exécution des conteneurs basés sur les dernières versions de Fedora et Ubuntu. moby/moby/#42836.
  • Windows : mise à jour de la bibliothèque hcsshim pour corriger un bug dans le traitement des fichiers creux dans les couches de conteneur, qui a été exposé par les changements récents dans Windows moby/moby#42944.
  • Correction de quelques situations où docker stop pourrait rester bloqué indéfiniment moby/moby#42956.

Swarm

  • Correction d'un problème où la mise à jour d'un service ne revenait pas en arrière en cas d'échec moby/moby#42875.

Packaging

  • Ajout de packages pour Ubuntu 21.10 "Impish Indri" et Fedora 35.
  • Mise à jour de docker scan vers v0.9.0
  • Mise à jour du runtime Go vers Go 1.16.9.

20.10.9

2021-10-04

Cette version est une mise à jour de sécurité avec des corrections de sécurité dans le CLI, le runtime, ainsi que des versions mises à jour du package containerd.io.

Important

En raison des changements de net/http dans Go 1.16, les proxies HTTP configurés via la variable d'environnement $HTTP_PROXY ne sont plus utilisés pour les connexions TLS (https://). Assurez-vous de définir également une variable d'environnement $HTTPS_PROXY pour gérer les demandes à https:// URLs. Reportez-vous à la section Proxy HTTP/HTTPS pour apprendre à configurer le démon Docker pour utiliser un proxy.

Client

  • CVE-2021-41092 Ensure default auth config has address field set, to prevent credentials being sent to the default registry.

Runtime

  • CVE-2021-41089 Create parent directories inside a chroot during docker cp to prevent a specially crafted container from changing permissions of existing files in the host's filesystem.
  • CVE-2021-41091 Lock down file permissions to prevent unprivileged users from discovering and executing programs in /var/lib/docker.

Packaging

Known issue

The ctr binary shipping with the static packages of this release is not statically linked, and will not run in Docker images using alpine as a base image. Users can install the libc6-compat package, or download a previous version of the ctr binary as a workaround. Refer to the containerd ticket related to this issue for more details: containerd/containerd#5824.

  • Mise à jour du runtime Go vers Go 1.16.8, qui contient des corrections pour CVE-2021-36221 et CVE-2021-39293
  • Mise à jour des binaires statiques et des packages rpm et deb de containerd.io v1.4.11 et runc v1.0.2 pour répondre à CVE-2021-41103.
  • Mise à jour de la version intégrée de buildx vers v0.6.3 pour les packages rpm et deb.

20.10.8

2021-08-03

Important

En raison des changements de net/http dans Go 1.16, les proxies HTTP configurés via la variable d'environnement $HTTP_PROXY ne sont plus utilisés pour les connexions TLS (https://). Assurez-vous de définir également une variable d'environnement $HTTPS_PROXY pour gérer les demandes à https:// URLs. Reportez-vous à la section Proxy HTTP/HTTPS pour apprendre à configurer le démon Docker pour utiliser un proxy.

Dépréciation

  • Dépréciation du support pour les clés TLS privées chiffrées. La cryptographie PEM spécifiée dans RFC 1423 est sécurisée par conception. Parce qu'elle ne valide pas le texte chiffré, elle est vulnérable aux attaques de l'oracle de remplissage. Le support pour les clés TLS privées chiffrées est maintenant marqué comme déprécié, et sera supprimé dans une prochaine version. docker/cli#3219
  • Dépréciation du support pour le stack Kubernetes. Suite à la dépréciation de Compose sur Kubernetes, le support pour Kubernetes dans les commandes stack et context dans l'interface CLI Docker est maintenant marqué comme déprécié, et sera supprimé dans une prochaine version docker/cli#3174.

Client

  • Correction des erreurs Invalid standard handle identifier sur Windows docker/cli#3132.

Rootless

  • Éviter l'erreur can't open lock file /run/xtables.lock: Permission denied sur les hôtes SELinux moby/moby#42462.
  • Désactivation de overlay2 lors de l'exécution avec SELinux pour empêcher les erreurs d'autorisation moby/moby#42462.
  • Correction de l'erreur x509: certificate signed by unknown authority sur openSUSE Tumbleweed moby/moby#42462.

Runtime

  • Impression d'un avertissement lors de l'utilisation de l'option --platform pour tirer une image mono-architecture qui ne correspond pas à l'architecture spécifiée moby/moby#42633.
  • Correction de l'avertissement Your kernel does not support swap memory limit incorrect lors de l'exécution avec cgroups v2 moby/moby#42479.
  • Windows : Correction d'une situation où les conteneurs ne s'arrêtaient pas si HcsShutdownComputeSystem retournait une erreur ERROR_PROC_NOT_FOUND moby/moby#42613

Swarm

  • Correction d'un problème où les adresses IP de nœuds superposés pourraient exister comme résultat d'un nœud échouant à nettoyer ses anciennes adresses IP de loadbalancer moby/moby#42538
  • Correction d'un blocage dans le courtier de journal ("dispatcher is stopped") moby/moby#42537

Packaging

Known issue

The ctr binary shipping with the static packages of this release is not statically linked, and will not run in Docker images using alpine as a base image. Users can install the libc6-compat package, or download a previous version of the ctr binary as a workaround. Refer to the containerd ticket related to this issue for more details: containerd/containerd#5824.

20.10.7

2021-06-02

Client

  • Suppression des avertissements pour les cgroups docker/cli#3099.
  • Prévention d'envoi de signaux SIGURG aux conteneurs sur Linux et macOS. Le runtime Go (à partir de Go 1.14) utilise SIGURG en interne comme interruption pour soutenir les appels système préemptifs. Dans les situations où l'interface CLI Docker était attachée à un conteneur, ces interruptions étaient transmises au conteneur. Cette correction change l'interface CLI Docker pour ignorer les signaux SIGURG docker/cli#3107, moby/moby#42421.

Builder

  • Mise à jour de BuildKit vers version v0.8.3-3-g244e8cde moby/moby#42448:
    • Transformation des points de montage relatifs pour les montages d'exécution dans l'exécuteur pour contourner un changement cassant dans runc v1.0.0-rc94 et au-dessus. moby/buildkit#2137.
    • Ajout d'une nouvelle tentative sur les erreurs 5xx lors de l'envoi d'image. moby/buildkit#2043.
    • Correction de la non-invalidation du cache de construction lors de la renommation d'un fichier qui est copié en utilisant une commande COPY avec un joker. Notez que ce changement invalide les caches de construction existants pour les commandes de copie qui utilisent un joker. moby/buildkit#2018.
    • Correction de la non-invalidation du cache de construction lors de l'utilisation des montages moby/buildkit#2076.
  • Correction des échecs de construction lorsque FROM image n'est pas en cache lors de l'utilisation du schéma de legacy 1 images moby/moby#42382.

Logging

  • Mise à jour du SDK hcsshim pour rendre les journaux du démon sur Windows moins verbeux moby/moby#42292.

Rootless

  • Correction des capacités non honorées lors de la construction d'une image sur un démon avec des espaces utilisateurs activés moby/moby#42352.

Networking

  • Mise à jour de libnetwork pour résoudre la publication des ports sur les environnements avec le paramètre de démarrage du noyau ipv6.disable=1, et pour résoudre un blocage causant des échecs de résolution de nom DNS interne moby/moby#42413.

Contrib

  • Mise à jour de rootlesskit vers v0.14.2 pour corriger un délai d'attente lors du démarrage du proxy utilisateur avec le pilote de port slirp4netns moby/moby#42294.
  • Correction des erreurs "Device or resource busy" lors de l'exécution de docker-in-docker sur un démon rootless moby/moby#42342.

Packaging

20.10.6

2021-04-12

Client

  • Support pour Apple Silicon (darwin/arm64) pour l'interface CLI Docker docker/cli#3042
  • config: print deprecation warning when falling back to pre-v1.7.0 config file ~/.dockercfg. Support for this file will be removed in a future release docker/cli#3000

Builder

  • Correction du Builder classique qui ignore silencieusement les options de Dockerfile non prises en charge et invite à activer BuildKit à la place moby/moby#42197

Logging

Networking

  • Correction d'une régression dans docker 20.10, causant les adresses IPv6 à ne plus être liées par défaut lors de la mise en correspondance des ports moby/moby#42205
  • Correction des mappages implicites des ports IPv6 non inclus dans la réponse API. Avant docker 20.10, les ports publiés étaient accessibles via IPv4 et IPv6 par défaut, mais l'API n'incluait que des informations sur l'IPv4 (0.0.0.0) moby/moby#42205
  • Correction d'une régression dans docker 20.10, causant le docker-proxy à ne pas être terminé dans tous les cas moby/moby#42205
  • Correction des règles de routage iptables non nettoyées lors de la suppression d'un conteneur moby/moby#42205

Packaging

Plugins

  • Correction de la création de plugin docker qui rendait les plugins incompatibles avec les versions antérieures de Docker moby/moby#42256

Rootless

20.10.5

2021-03-02

Client

  • Annulation de docker/cli#2960 pour résoudre le blocage dans docker start --attach et supprimer les messages superflus Unsupported signal: <nil>. Discarding docker/cli#2987.

20.10.4

2021-02-26

Builder

  • Correction de la correspondance incorrecte du cache pour les importations de cache inline avec des couches vides moby/moby#42061
  • Mise à jour de BuildKit vers v0.8.2 moby/moby#42061
    • resolver: avoid error caching on token fetch
    • fileop: fix checksum to contain indexes of inputs preventing certain cache misses
    • Fix reference count issues on typed errors with mount references (fixing invalid mutable ref errors)
    • git: set token only for main remote access allowing cloning submodules with different credentials
  • Ensure blobs get deleted in /var/lib/docker/buildkit/content/blobs/sha256 after pull. To clean up old state run builder prune moby/moby#42065
  • Correction de la régression de synchronisation parallèle de tirage moby/moby#42049
  • Ensure libnetwork state files do not leak moby/moby#41972

Client

  • Correction d'une panique sur docker login si aucun fichier de configuration n'est présent docker/cli#2959
  • Correction de WARNING: Error loading config file: .dockercfg: $HOME is not defined docker/cli#2958

Runtime

  • docker info: silence unhandleable warnings moby/moby#41958
  • Avoid creating parent directories for XGlobalHeader moby/moby#42017
  • Use 0755 permissions when creating missing directories moby/moby#42017
  • Fallback to manifest list when no platform matches in image config moby/moby#42045 moby/moby#41873
  • Correction d'une panique de démon lors de la configuration d'un runtime par défaut personnalisé moby/moby#41974
  • Correction d'une panique lorsque la configuration du démon est vide moby/moby#41976
  • Correction d'une panique de démon lors de la démarrage d'un conteneur avec une règle de cgroup non valide moby/moby#42001
  • Correction de l'option userns-remap lorsque le nom d'utilisateur & UID correspondent moby/moby#42013
  • static: update runc binary to v1.0.0-rc93 moby/moby#42014

Logger

  • Respect labels-regex config even if labels is not set moby/moby#42046
  • Handle long log messages correctly preventing awslogs in non-blocking mode to split events bigger than 16kB mobymoby#41975

Rootless

  • Prévention du blocage du service en définissant systemd KillMode sur mixte moby/moby#41956
  • dockerd-rootless.sh: add typo guard moby/moby#42070
  • Mise à jour de rootlesskit pour résoudre le traitement des adresses IPv6 moby/moby#42025
  • autorisation de mknodding FIFO à l'intérieur des espaces utilisateurs moby/moby#41957

Security

Swarm

  • Correction d'un problème avec le coeur de pulsation ne persistant pas après redémarrage moby/moby#42060
  • Correction de tâches bloquées potentiellement moby/moby#42060
  • Correction des drapeaux --update-order et --rollback-order lorsque seulement --update-order ou --rollback-order est fourni docker/cli#2963
  • Correction du code de sortie non nul de docker service rollback dans certaines situations docker/cli#2964
  • Correction de la direction incorrecte de la barre de progression sur docker service rollback docker/cli#2964

20.10.3

2021-02-01

Security

  • CVE-2021-21285 Prevent an invalid image from crashing docker daemon
  • CVE-2021-21284 Lock down file permissions to prevent remapped root from accessing docker state
  • Ensure AppArmor and SELinux profiles are applied when building with BuildKit

Client

  • Check contexts before importing them to reduce risk of extracted files escaping context store
  • Windows: prevent executing certain binaries from current directory docker/cli#2950

20.10.2

2021-01-04

Runtime

  • Correction d'une panique au démarrage du démon lors de la restauration des conteneurs avec des politiques de redémarrage mais qui échouent à démarrer moby/moby#41729
  • overlay2: correction d'une erreur de débordement par un lors de la construction ou de l'exécution des conteneurs lorsque data-root est de 24 octets moby/moby#41830
  • systemd: send sd_notify STOPPING=1 when shutting down moby/moby#41832

Networking

Swarm

  • Correction du filtrage pour replicated-job et global-job service modes moby/moby#41806

Packaging

20.10.1

2020-12-14

Builder

Packaging

20.10.0

2020-12-08

Dépréciation / Suppression

Pour une vue d'ensemble de toutes les fonctionnalités dépréciées, reportez-vous à la page Fonctionnalités dépréciées du moteur Docker .

  • Avertissements et notice de dépréciation lors de l'extraction de docker pull depuis des registres non conformes ne supportant pas le tirage par digest docker/cli#2872
  • Avertissements et notice de dépréciation plus stricts pour l'accès tcp non authentifié moby/moby#41285
  • Dépréciation de KernelMemory (docker run --kernel-memory) moby/moby#41254 docker/cli#2652
  • Dépréciation du pilote de stockage aufs docker/cli#1484
  • Dépréciation de la découverte d'hôte et des réseaux overlay avec des magasins k/v externes moby/moby#40614 moby/moby#40510
  • Dépréciation du syntaxe Dockerfile legacy 'ENV name value' use ENV name=value instead docker/cli#2743
  • Suppression de la dépréciation "filter" parameter for API v1.41 and up moby/moby#40491
  • Désactivation de la version 2 schema 1 du manifeste de distribution sur push moby/moby#41295
  • Suppression de la "docker engine" sous-commandes docker/cli#2207
  • Suppression de la "dab" expérimentale "deploy" docker/cli#2216
  • Suppression de la dépréciation docker search --automated et --stars flags docker/cli#2338
  • Plus d'autorisation dans les étiquettes d'engin docker/cli#2326

API

  • Mise à jour de la version API vers v1.41
  • Do not require "experimental" for metrics API moby/moby#40427
  • GET /events now returns prune events after pruning resources have completed moby/moby#41259
    • Prune events are returned for container, network, volume, image, and builder, and have a reclaimed attribute, indicating the amount of space reclaimed (in bytes)
  • Add one-shot stats option to not prime the stats moby/moby#40478
  • Adding OS version info to the system info's API (/info) moby/moby#38349
  • Add DefaultAddressPools to docker info moby/moby#40714
  • Add API support for PidsLimit on services moby/moby#39882

Builder

Client

  • Add swarm jobs support to CLI docker/cli#2262
  • Add -a/--all-tags to docker push docker/cli#2220
  • Add support for Kubernetes username/password auth docker/cli#2308
  • Add --pull=missing|always|never to run and create commands docker/cli#1498
  • Add --env-file flag to docker exec for parsing environment variables from a file docker/cli#2602
  • Add shorthand -n for --tail option docker/cli#2646
  • Add log-driver and options to service inspect "pretty" format docker/cli#1950
  • docker run: specify cgroup namespace mode with --cgroupns docker/cli#2024
  • docker manifest rm command to remove manifest list draft from local storage docker/cli#2449
  • Add "context" to "docker version" and "docker info" docker/cli#2500
  • Propagate platform flag to container create API docker/cli#2551
  • The docker ps --format flag now has a .State placeholder to print the container's state without additional details about uptime and health check docker/cli#2000
  • Add support for docker-compose schema v3.9 docker/cli#2073
  • Add support for docker push --quiet docker/cli#2197
  • Hide flags that are not supported by BuildKit, if BuildKit is enabled docker/cli#2123
  • Update flag description for docker rm -v to clarify the option only removes anonymous (unnamed) volumes docker/cli#2289
  • Improve tasks printing for docker services docker/cli#2341
  • docker info: list CLI plugins alphabetically docker/cli#2236
  • Fix order of processing of --label-add/--label-rm, --container-label-add/--container-label-rm, and --env-add/--env-rm flags on docker service update to allow replacing existing values docker/cli#2668
  • Fix docker rm --force returning a non-zero exit code if one or more containers did not exist docker/cli#2678
  • Improve memory stats display by using total_inactive_file instead of cache docker/cli#2415
  • Mitigate against YAML files that has excessive aliasing docker/cli#2117
  • Allow using advanced syntax when setting a config or secret with only the source field docker/cli#2243
  • Fix reading config files containing username and password auth even if auth is empty docker/cli#2122
  • docker cp: prevent NPE when failing to stat destination docker/cli#2221
  • config: preserve ownership and permissions on configfile docker/cli#2228

Logging

  • Support reading docker logs with all logging drivers (best effort) moby/moby#40543
  • Add splunk-index-acknowledgment log option to work with Splunk HECs with index acknowledgment enabled moby/moby#39987
  • Add partial metadata to journald logs moby/moby#41407
  • Reduce allocations for logfile reader moby/moby#40796
  • Fluentd: add fluentd-async, fluentd-request-ack, and deprecate fluentd-async-connect moby/moby#39086

Runtime

Networking

Packaging

Rootless

Security

  • Fix CVE-2019-14271 loading of nsswitch based config inside chroot under Glibc moby/moby#39612
  • seccomp: Whitelist clock_adjtime. CAP_SYS_TIME is still required for time adjustment moby/moby#40929
  • seccomp: Add openat2 and faccessat2 to default seccomp profile moby/moby#41353
  • seccomp: allow 'rseq' syscall in default seccomp profile moby/moby#41158
  • seccomp: allow syscall membarrier moby/moby#40731
  • seccomp: whitelist io-uring related system calls moby/moby#39415
  • Add default sysctls to allow ping sockets and privileged ports with no capabilities moby/moby#41030
  • Fix seccomp profile for clone syscall moby/moby#39308

Swarm