版本日志
- 1: v1.28
- 1.1: v1.28.15-lts.0
- 2: v1.27
- 2.1: v1.27.16-lts.0
- 3: v1.26
- 3.1: v1.26.15-lts.0
- 4: v1.25
- 4.1: v1.25.16-lts.0
- 5: v1.24
- 5.1: v1.24.17-lts.0
- 6: v1.23
- 6.1: v1.23.17-lts.0
- 6.2: v1.23.4-lts.1
- 7: v1.22
- 7.1: v1.22.17-lts.0
- 7.2: v1.22.8-lts.1
- 8: v1.21
- 8.1: v1.21.11-lts.1
- 9: v1.20
- 9.1: v1.20.15-lts.1
- 10: v1.19
- 10.1: v1.19.16-lts.3
- 11: v1.18
- 11.1: v1.18.20-lts.1
- 11.2: v1.18.20-lts.2
- 12: v1.17
- 12.1: v1.17.17-lts.1
- 13: v1.16
- 13.1: v1.16.15-lts.1
- 14: v1.15
- 14.1: v1.15.12-lts.1
- 15: v1.14
- 15.1: v1.14.10-lts.1
- 16: v1.13
- 16.1: v1.13.12-lts.1
- 17: v1.12
- 17.1: v1.12.10-lts.1
- 18: v1.11
- 18.1: v1.11.10-lts.1
- 19: v1.10
- 19.1: v1.10.13-lts.1
1 - v1.28
1.1 - v1.28.15-lts.0
这是 KLTS 发布的第一个 v1.28.15 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
2 - v1.27
2.1 - v1.27.16-lts.0
这是 KLTS 发布的第一个 v1.27.16 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
3 - v1.26
3.1 - v1.26.15-lts.0
这是 KLTS 发布的第一个 v1.26.15 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
4 - v1.25
4.1 - v1.25.16-lts.0
这是 KLTS 发布的第一个 v1.25.16 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
5 - v1.24
5.1 - v1.24.17-lts.0
这是 KLTS 发布的第一个 v1.24.17 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
6 - v1.23
6.1 - v1.23.17-lts.0
这是 KLTS 发布的第一个 v1.23.17 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
6.2 - v1.23.4-lts.1
这是 KLTS 发布的第一个 v1.23.5 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
7 - v1.22
7.1 - v1.22.17-lts.0
这是 KLTS 发布的第一个 v1.22.17 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
7.2 - v1.22.8-lts.1
这是 KLTS 发布的第一个 v1.22.8 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
8 - v1.21
8.1 - v1.21.11-lts.1
这是 KLTS 发布的第一个 v1.21.11 修复版本。
补丁
- 只是跑通了 CI 没做任何修复
9 - v1.20
10 - v1.19
10.1 - v1.19.16-lts.3
这是 KLTS 发布的第三个 v1.19.16 修复版本。
补丁
- nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。 - /docs/kubernetes/patches/cve-2020-8554/
11 - v1.18
11.1 - v1.18.20-lts.1
这是 KLTS 发布的第一个 v1.18.20 修复版本。
补丁
- nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。 - CVE-2021-25741
这是一个权限访问相关的卷安全性问题。用户可以在创建的容器中通过
subpath
的卷挂载方式访问到该卷挂载目录之外的文件和目录,包括主机的文件系统。
11.2 - v1.18.20-lts.2
这是 KLTS 发布的第二个 v1.18.20 修复版本。
补丁
- 修复问题: kubelet 重启后创建的新 pod 缺少环境变量 KUBERNETES_SERVICE_HOST
12 - v1.17
12.1 - v1.17.17-lts.1
这是 KLTS 发布的第一个 v1.17.17 修复版本。
补丁
- CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。
13 - v1.16
13.1 - v1.16.15-lts.1
这是 KLTS 发布的第一个 v1.16.15 修复版本。
补丁
- CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。
14 - v1.15
14.1 - v1.15.12-lts.1
这是 KLTS 发布的第一个 v1.15.12 修复版本。
补丁
- CVE-2020-8558
kube-proxy
组件在iptables
和ipvs
模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1
, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地127.0.0.1
端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。 - CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。
15 - v1.14
15.1 - v1.14.10-lts.1
这是 KLTS 发布的第一个 v1.14.10 修复版本。
补丁
- CVE-2020-8552
此漏洞可能使
API Server
易于遭受API
请求成功造成的DoS
(拒绝服务攻击)。 - CVE-2020-8558
kube-proxy
组件在iptables
和ipvs
模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1
, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地127.0.0.1
端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。 - CVE-2020-8559
这是
kube-apiserver
组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet
的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。 - CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。
16 - v1.13
16.1 - v1.13.12-lts.1
这是 KLTS 发布的第一个 v1.13.12 修复版本。
补丁
- CVE-2020-8552
此漏洞可能使
API Server
易于遭受API
请求成功造成的DoS
(拒绝服务攻击)。 - CVE-2020-8558
kube-proxy
组件在iptables
和ipvs
模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1
, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地127.0.0.1
端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。 - TODO CVE-2020-8559
这是
kube-apiserver
组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet
的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。 - CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。
17 - v1.12
17.1 - v1.12.10-lts.1
这是 KLTS 发布的第一个 v1.12.10 修复版本。
补丁
- CVE-2019-11245
这是一个提权漏洞,通常以容器
Dockerfile
中指定的USER
运行的容器,在容器重启时或者如果镜像先前被拉到节点时,都将以root
(uid 0) 身份运行。 - CVE-2019-11247
API Server
允许通过错误的范围访问自定义的资源。 - CVE-2019-11249
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2019-11251
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2020-8552
此漏洞可能使
API Server
易于遭受API
请求成功造成的DoS
(拒绝服务攻击)。 - CVE-2020-8558
kube-proxy
组件在iptables
和ipvs
模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1
, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地127.0.0.1
端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。 - TODO CVE-2020-8559
这是
kube-apiserver
组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet
的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。 - CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。
18 - v1.11
18.1 - v1.11.10-lts.1
这是 KLTS 发布的第一个 v1.11.10 修复版本。
补丁
- CVE-2019-11245
这是一个提权漏洞,通常以容器
Dockerfile
中指定的USER
运行的容器,在容器重启时或者如果镜像先前被拉到节点时,都将以root
(uid 0) 身份运行。 - CVE-2019-11246
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历 (Path Traversal) 的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2019-11247
API Server
允许通过错误的范围访问自定义的资源。 - CVE-2019-11248
可以通过健康检查的端口访问
/debug/pprof
。 - CVE-2019-11249
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2019-11251
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2020-8552
此漏洞可能使
API Server
易于遭受API
请求成功造成的DoS
(拒绝服务攻击)。 - CVE-2020-8558
kube-proxy
组件在iptables
和ipvs
模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1
, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地127.0.0.1
端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。 - TODO CVE-2020-8559
这是
kube-apiserver
组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet
的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。 - CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。
19 - v1.10
19.1 - v1.10.13-lts.1
这是 KLTS 发布的第一个 v1.10.13 修复版本。
补丁
- CVE-2019-11245
这是一个提权漏洞,通常以容器
Dockerfile
中指定的USER
运行的容器,在容器重启时或者如果镜像先前被拉到节点时,都将以root
(uid 0) 身份运行。 - CVE-2019-1002101
此漏洞可能允许攻击者在
kubectl cp
命令执行解压过程中修改或监控符号链接头同名目录下的任意文件,从而造成破坏。 - CVE-2019-11246
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历 (Path Traversal) 的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - TODO CVE-2019-11247
API Server
允许通过错误的范围访问自定义的资源。 - CVE-2019-11248
可以通过健康检查的端口访问
/debug/pprof
。 - CVE-2019-11249
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2019-11251
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2020-8552
此漏洞可能使
API Server
易于遭受API
请求成功造成的DoS
(拒绝服务攻击)。 - TODO CVE-2020-8558
kube-proxy
组件在iptables
和ipvs
模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1
, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地127.0.0.1
端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。 - TODO CVE-2020-8559
这是
kube-apiserver
组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet
的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。 - CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。