1 - v1.28

1.1 - v1.28.15-lts.0

这是 KLTS 发布的第一个 v1.28.15 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

2 - v1.27

2.1 - v1.27.16-lts.0

这是 KLTS 发布的第一个 v1.27.16 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

3 - v1.26

3.1 - v1.26.15-lts.0

这是 KLTS 发布的第一个 v1.26.15 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

4 - v1.25

4.1 - v1.25.16-lts.0

这是 KLTS 发布的第一个 v1.25.16 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

5 - v1.24

5.1 - v1.24.17-lts.0

这是 KLTS 发布的第一个 v1.24.17 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

6 - v1.23

6.1 - v1.23.17-lts.0

这是 KLTS 发布的第一个 v1.23.17 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

6.2 - v1.23.4-lts.1

这是 KLTS 发布的第一个 v1.23.5 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

7 - v1.22

7.1 - v1.22.17-lts.0

这是 KLTS 发布的第一个 v1.22.17 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

7.2 - v1.22.8-lts.1

这是 KLTS 发布的第一个 v1.22.8 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

8 - v1.21

8.1 - v1.21.11-lts.1

这是 KLTS 发布的第一个 v1.21.11 修复版本。

补丁

  • 只是跑通了 CI 没做任何修复

9 - v1.20

9.1 - v1.20.15-lts.1

这是 KLTS 发布的第二个 v1.20.15 修复版本。

补丁

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

10 - v1.19

10.1 - v1.19.16-lts.3

这是 KLTS 发布的第三个 v1.19.16 修复版本。

补丁

11 - v1.18

11.1 - v1.18.20-lts.1

这是 KLTS 发布的第一个 v1.18.20 修复版本。

补丁

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

  • CVE-2021-25741

    这是一个权限访问相关的卷安全性问题。用户可以在创建的容器中通过 subpath 的卷挂载方式访问到该卷挂载目录之外的文件和目录,包括主机的文件系统。

11.2 - v1.18.20-lts.2

这是 KLTS 发布的第二个 v1.18.20 修复版本。

补丁

  • 修复问题: kubelet 重启后创建的新 pod 缺少环境变量 KUBERNETES_SERVICE_HOST

12 - v1.17

12.1 - v1.17.17-lts.1

这是 KLTS 发布的第一个 v1.17.17 修复版本。

补丁

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

13 - v1.16

13.1 - v1.16.15-lts.1

这是 KLTS 发布的第一个 v1.16.15 修复版本。

补丁

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

14 - v1.15

14.1 - v1.15.12-lts.1

这是 KLTS 发布的第一个 v1.15.12 修复版本。

补丁

  • CVE-2020-8558

    kube-proxy 组件在 iptablesipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

15 - v1.14

15.1 - v1.14.10-lts.1

这是 KLTS 发布的第一个 v1.14.10 修复版本。

补丁

  • CVE-2020-8552

    此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS(拒绝服务攻击)。

  • CVE-2020-8558

    kube-proxy 组件在 iptablesipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。

  • CVE-2020-8559

    这是 kube-apiserver 组件的安全漏洞,攻击者可以通过截取某些发送至节点 kubelet 的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

16 - v1.13

16.1 - v1.13.12-lts.1

这是 KLTS 发布的第一个 v1.13.12 修复版本。

补丁

  • CVE-2020-8552

    此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS(拒绝服务攻击)。

  • CVE-2020-8558

    kube-proxy 组件在 iptablesipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。

  • TODO CVE-2020-8559

    这是 kube-apiserver 组件的安全漏洞,攻击者可以通过截取某些发送至节点 kubelet 的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

17 - v1.12

17.1 - v1.12.10-lts.1

这是 KLTS 发布的第一个 v1.12.10 修复版本。

补丁

  • CVE-2019-11245

    这是一个提权漏洞,通常以容器 Dockerfile 中指定的 USER 运行的容器,在容器重启时或者如果镜像先前被拉到节点时,都将以 root(uid 0) 身份运行。

  • CVE-2019-11247

    API Server 允许通过错误的范围访问自定义的资源。

  • CVE-2019-11249

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • CVE-2019-11251

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • CVE-2020-8552

    此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS(拒绝服务攻击)。

  • CVE-2020-8558

    kube-proxy 组件在 iptablesipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。

  • TODO CVE-2020-8559

    这是 kube-apiserver 组件的安全漏洞,攻击者可以通过截取某些发送至节点 kubelet 的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

18 - v1.11

18.1 - v1.11.10-lts.1

这是 KLTS 发布的第一个 v1.11.10 修复版本。

补丁

  • CVE-2019-11245

    这是一个提权漏洞,通常以容器 Dockerfile 中指定的 USER 运行的容器,在容器重启时或者如果镜像先前被拉到节点时,都将以 root(uid 0) 身份运行。

  • CVE-2019-11246

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历 (Path Traversal) 的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • CVE-2019-11247

    API Server 允许通过错误的范围访问自定义的资源。

  • CVE-2019-11248

    可以通过健康检查的端口访问 /debug/pprof

  • CVE-2019-11249

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • CVE-2019-11251

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • CVE-2020-8552

    此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS(拒绝服务攻击)。

  • CVE-2020-8558

    kube-proxy 组件在 iptablesipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。

  • TODO CVE-2020-8559

    这是 kube-apiserver 组件的安全漏洞,攻击者可以通过截取某些发送至节点 kubelet 的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod

19 - v1.10

19.1 - v1.10.13-lts.1

这是 KLTS 发布的第一个 v1.10.13 修复版本。

补丁

  • CVE-2019-11245

    这是一个提权漏洞,通常以容器 Dockerfile 中指定的 USER 运行的容器,在容器重启时或者如果镜像先前被拉到节点时,都将以 root(uid 0) 身份运行。

  • CVE-2019-1002101

    此漏洞可能允许攻击者在 kubectl cp 命令执行解压过程中修改或监控符号链接头同名目录下的任意文件,从而造成破坏。

  • CVE-2019-11246

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历 (Path Traversal) 的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • TODO CVE-2019-11247

    API Server 允许通过错误的范围访问自定义的资源。

  • CVE-2019-11248

    可以通过健康检查的端口访问 /debug/pprof

  • CVE-2019-11249

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • CVE-2019-11251

    此漏洞可能允许攻击者利用 kubectl cp 命令,采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。

  • CVE-2020-8552

    此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS(拒绝服务攻击)。

  • TODO CVE-2020-8558

    kube-proxy 组件在 iptablesipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。

  • TODO CVE-2020-8559

    这是 kube-apiserver 组件的安全漏洞,攻击者可以通过截取某些发送至节点 kubelet 的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。

  • CVE-2021-3121

    存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低,可能存在该漏洞。

  • nokmem

    节点磁盘充足但是一直报磁盘不足无法创建 Pod