docker v28.3.3 正式发布：安全修复、组件更新与重要变更详解

引言

Docker 作为当今最流行的容器化平台之一，其每个版本的更新都备受开发者与运维人员的关注。近日，Docker 正式发布了 v28.3.3 版本，这是一个以安全修复和组件更新为主的维护版本。虽然版本号较小，但其中包含多项重要修复和优化，尤其是针对网络安全、构建工具和 CLI 功能的改进。本文将深入解析 Docker v28.3.3 的更新内容，帮助用户全面了解其变化与影响。

一、安全修复：CVE-2025-54388 漏洞修复

1.1 漏洞背景

在此次更新中，最值得关注的是修复了一个与 firewalld 相关的安全漏洞（CVE-2025-54388，GHSA-x4rx-4gw3-53p4）。该漏洞存在于之前的 Docker 版本中，具体表现为：

在 firewalld 重新加载（reload）后，原本仅允许通过本地回环地址（loopback）访问的容器端口，可能会意外暴露给本地网络中的其他设备，导致未经授权的访问。

1.2 影响范围

• • 使用 firewalld 作为防火墙管理工具的系统（常见于基于 Systemd 的 Linux 发行版）。
• • 使用 docker run -p 或 Docker Compose 发布端口，并期望仅限本地访问的场景。

1.3 修复说明

Docker 团队通过 moby/moby#50506 这个 Pull Request 修复了该问题。修复机制确保了在 firewalld 重新加载后，Docker 会自动重新应用正确的防火墙规则，保证端口访问策略的一致性。

1.4 建议操作

• • 所有使用 Docker 并依赖 firewalld 进行网络隔离的用户，建议尽快升级至 v28.3.3。
• • 如果暂时无法升级，可手动检查防火墙规则，确保已发布端口的访问范围符合预期。

二、核心组件更新

Docker v28.3.3 包含了多个核心工具的版本升级，这些更新带来了性能优化、Bug 修复和新功能支持。

2.1 Buildx 更新至 v0.26.1

Buildx 是 Docker 的下一代构建工具，支持多平台构建和高级缓存机制。此次更新至 v0.26.1 主要包含以下改进：

• • 性能优化：提升了大规模构建任务的效率。
• • Bug 修复：修复了若干与缓存机制和输出格式相关的问题。
• • 兼容性改进：更好地支持 Dockerfile 新语法和 BuildKit 特性。

建议需要频繁进行多架构构建（如 ARM64、AMD64）的用户关注此更新。

2.2 Docker Compose 更新至 v2.39.1

Compose 是 Docker 官方的容器编排工具，v2.39.1 版本主要修复了以下问题：

• • 服务依赖管理：修复了在复杂依赖场景下可能出现的启动顺序问题。
• • 环境变量解析：优化了对 .env 文件中变量的加载逻辑。
• • 网络配置：增强了与 Docker Network 的兼容性。

使用 Docker Compose 进行多容器管理的用户建议升级以获得更稳定的体验。

2.3 Docker Model CLI 插件更新至 v0.1.36

该插件是 Docker 的机器学习模型部署工具，v0.1.36 版本带来了两项重要改进：

• • 支持无 --push 的模型打包：简化了本地模型的打包流程。
• • WSL2 环境检测优化：修复了在 WSL2 中运行时上下文检测不正确的问题。

适用于在 Windows WSL2 环境中使用 Docker 进行 AI/ML 模型部署的开发者。

三、Go SDK 与内部重构

Docker CLI 和 Daemon 大量使用 Go 语言开发，本次版本中也包含了对 Go SDK 和代码结构的优化。

3.1 移除对 stringid 包的依赖

在 docker/cli#6180 中，Docker 移除了对 github.com/docker/docker/pkg/stringid 的依赖，转而使用内部实现的 TrunateID() 函数。这一变更：

• • 减少了外部依赖，提高了代码的稳定性。
• • 优化了 CLI 工具的编译速度和二进制大小。

3.2 代码清理与重构

多个 Pull Request 涉及代码重构和清理，例如：

• • 移除冗余的导入别名（docker/cli#6177）。
• • 优化容器文件复制逻辑（docker/cli#6176）。
• • 更新测试工具链至 gotestsum v1.12.3，支持 Go 1.25（docker/cli#6179）。

这些变更虽不影响最终用户，但提升了 Docker 代码的可维护性和长期稳定性。

四、其他重要变更

4.1 文档修复

• • 修复了 CDI 设备配置中的锚点链接问题（docker/cli#6173），提升了官方文档的可用性。

4.2 废弃 API 移除

• • 移除了对 API v1.4 版本中认证配置的兼容性支持（moby/moby#50480），建议用户使用更新的 API 版本。

4.3 构建系统更新

• • 临时将 BuildKit 版本切换至 v0.23 分支的最新提交（moby/moby#50478），以解决 Windows 平台上的构建问题。

五、升级指南

5.1 适用于 Linux 用户

.

# 使用官方脚本升级
curl -fsSL https://get.docker.com | sh

# 或使用包管理器（以 Ubuntu 为例）
sudo apt update
sudo apt install docker-ce=5:28.3.3-1~ubuntu.22.04~jammy docker-ce-cli=5:28.3.3-1~ubuntu.22.04~jammy

5.2 适用于 Docker Desktop 用户

• • Windows/macOS 用户可通过 Docker Desktop 设置中的“Check for Updates”功能自动升级。

5.3 验证安装

.

docker version --format '{{.Server.Version}}'
# 输出应为：28.3.3

六、总结

Docker v28.3.3 虽然是一个小版本更新，但其包含的安全修复和组件优化对生产环境具有重要意义。尤其是 CVE-2025-54388 的修复，提醒我们容器网络安全不容忽视。建议所有用户尽快安排升级，并结合自身使用场景评估其他变更带来的影响。

我们相信人工智能为普通人提供了一种“增强工具”，并致力于分享全方位的AI知识。在这里，您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。 欢迎关注“福大大架构师每日一题”，让AI助力您的未来发展。