版本日志

• 1: v1.32
• 1.1: v1.32.13-lts.1
• 1.2: v1.32.13-lts.2
• 2: v1.31
• 2.1: v1.31.14-lts.1
• 2.2: v1.31.14-lts.2
• 3: v1.30
• 3.1: v1.30.14-lts.1
• 3.2: v1.30.14-lts.2
• 4: v1.29
• 4.1: v1.29.15-lts.1
• 4.2: v1.29.15-lts.2
• 5: v1.28
• 5.1: v1.28.15-lts.0
• 5.2: v1.28.15-lts.2
• 5.3: v1.28.15-lts.3
• 6: v1.27
• 6.1: v1.27.16-lts.0
• 6.2: v1.27.16-lts.1
• 6.3: v1.27.16-lts.2
• 7: v1.26
• 7.1: v1.26.15-lts.0
• 7.2: v1.26.15-lts.1
• 7.3: v1.26.15-lts.2
• 8: v1.25
• 8.1: v1.25.16-lts.0
• 8.2: v1.25.16-lts.1
• 8.3: v1.25.16-lts.2
• 9: v1.24
• 9.1: v1.24.17-lts.0
• 9.2: v1.24.17-lts.1
• 9.3: v1.24.17-lts.2
• 10: v1.23
• 10.1: v1.23.17-lts.0
• 10.2: v1.23.17-lts.1
• 10.3: v1.23.17-lts.2
• 10.4: v1.23.4-lts.1
• 11: v1.22
• 11.1: v1.22.17-lts.0
• 11.2: v1.22.17-lts.1
• 11.3: v1.22.17-lts.2
• 11.4: v1.22.8-lts.1
• 12: v1.21
• 12.1: v1.21.11-lts.1
• 12.2: v1.21.14-lts.2
• 12.3: v1.21.14-lts.3
• 13: v1.20
• 13.1: v1.20.15-lts.1
• 13.2: v1.20.15-lts.3
• 13.3: v1.20.16-lts.1
• 14: v1.19
• 14.1: v1.19.16-lts.3
• 14.2: v1.19.16-lts.4
• 15: v1.18
• 15.1: v1.18.20-lts.1
• 15.2: v1.18.20-lts.2
• 15.3: v1.18.20-lts.3
• 16: v1.17
• 16.1: v1.17.17-lts.1
• 16.2: v1.17.17-lts.3
• 17: v1.16
• 17.1: v1.16.15-lts.1
• 17.2: v1.16.15-lts.3
• 18: v1.15
• 18.1: v1.15.12-lts.1
• 19: v1.14
• 19.1: v1.14.10-lts.1
• 20: v1.13
• 20.1: v1.13.12-lts.1
• 21: v1.12
• 21.1: v1.12.10-lts.1
• 22: v1.11
• 22.1: v1.11.10-lts.1
• 23: v1.10
• 23.1: v1.10.13-lts.1

1 - v1.32

1.1 - v1.32.13-lts.1

这是 KLTS 发布的 v1.32.13 修复版本。

补丁

• 包含基线版本 v1.32.13-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

1.2 - v1.32.13-lts.2

这是 KLTS 发布的 Kubernetes v1.32.13 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.32 LTS 分支。
• 继承当前 KLTS 镜像和 etcd 维护补丁链。
• 包含 v1.32 分支的 allocation 测试兼容性回补和 CVE-2025-1767 修复。

补丁链

• 基线版本：v1.32.13
• CI 链：v1.32.13-ci
• 补丁：no-delete-images.1.24、fix-etcd-put-key.1.24、bump-go-1-25-9.1.32、fix-allocsperrun-parallel、CVE-2025-1767

2 - v1.31

2.1 - v1.31.14-lts.1

这是 KLTS 发布的 v1.31.14 修复版本。

补丁

• 包含基线版本 v1.31.14-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

2.2 - v1.31.14-lts.2

这是 KLTS 发布的 Kubernetes v1.31.14 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.31 LTS 分支。
• 包含该分支的 Go 1.25 兼容性修复。
• 包含当前 KLTS 安全回补：CVE-2025-13281 和 CVE-2025-1767。

补丁链

• 基线版本：v1.31.14
• CI 链：v1.31.14-ci
• 补丁：no-delete-images.1.24、fix-etcd-put-key.1.24、bump-go-1-25-9.1.31、fix-allocsperrun-parallel、fix-go1.25-compat.1.31、CVE-2025-13281、CVE-2025-1767

3 - v1.30

3.1 - v1.30.14-lts.1

这是 KLTS 发布的 v1.30.14 修复版本。

补丁

• 包含基线版本 v1.30.14-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

3.2 - v1.30.14-lts.2

这是 KLTS 发布的 Kubernetes v1.30.14 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.30 LTS 分支。
• 包含该分支的 Go 1.25 兼容性修复和 kubeadm preflight URL 构造修复。
• 包含当前 KLTS 安全回补：CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.30.14
• CI 链：v1.30.14-ci
• 补丁：no-delete-images.1.24、fix-etcd-put-key.1.24、bump-go-1-25-9.1.30、fix-allocsperrun-parallel、fix-kubeadm-preflight-host-url-construction、fix-go1.25-compat.1.30、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

4 - v1.29

4.1 - v1.29.15-lts.1

这是 KLTS 发布的 v1.29.15 修复版本。

补丁

• 包含基线版本 v1.29.15-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

4.2 - v1.29.15-lts.2

这是 KLTS 发布的 Kubernetes v1.29.15 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.29 LTS 分支。
• 包含该分支的 Go 1.25 兼容性修复和 kubeadm preflight URL 构造修复。
• 包含当前 KLTS 安全回补：CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.29.15
• CI 链：v1.29.15-ci
• 补丁：no-delete-images.1.24、fix-etcd-put-key.1.24、bump-go-1-25-9.1.29、fix-allocsperrun-parallel、fix-kubeadm-preflight-host-url-construction、fix-go1.25-compat.1.29、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

5 - v1.28

5.1 - v1.28.15-lts.0

这是 KLTS 发布的第一个 v1.28.15 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

5.2 - v1.28.15-lts.2

这是 KLTS 发布的 v1.28.15 修复版本。

补丁

• 包含基线版本 v1.28.15-ci 的累计安全修复。
• Bugfix：回滚该分支上的调度器 VolumeBinding 行为变更。
• fix-scheduler-volumebinding.1.28.patch

5.3 - v1.28.15-lts.3

这是 KLTS 发布的 Kubernetes v1.28.15 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.28 LTS 分支。
• 保留前一个 KLTS 版本中的 scheduler volume binding 修复。
• 包含当前 KLTS 安全回补：CVE-2024-9042、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.28.15
• CI 链：v1.28.15-ci
• LTS 包装补丁：fix-scheduler-volumebinding.1.28
• 补丁：no-delete-images.1.24、fix-etcd-put-key.1.24、bump-go-1-25-9.1.28、CVE-2024-9042、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

6 - v1.27

6.1 - v1.27.16-lts.0

这是 KLTS 发布的第一个 v1.27.16 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

6.2 - v1.27.16-lts.1

这是 KLTS 发布的 v1.27.16 修复版本。

补丁

• 包含基线版本 v1.27.16-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

6.3 - v1.27.16-lts.2

这是 KLTS 发布的 Kubernetes v1.27.16 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.27 LTS 分支。
• 继承当前 KLTS 镜像、registry 和 etcd 维护补丁链。
• 包含当前 KLTS 安全回补：CVE-2024-10220、CVE-2024-9042、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.27.16
• CI 链：v1.27.16-ci
• 补丁：no-delete-images.1.24、fix-etcd-put-key.1.24、bump-go-1-25-9.1.27、CVE-2024-10220、CVE-2024-9042、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

7 - v1.26

7.1 - v1.26.15-lts.0

这是 KLTS 发布的第一个 v1.26.15 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

7.2 - v1.26.15-lts.1

这是 KLTS 发布的 v1.26.15 修复版本。

补丁

• 包含基线版本 v1.26.15-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

7.3 - v1.26.15-lts.2

这是 KLTS 发布的 Kubernetes v1.26.15 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.26 LTS 分支。
• 继承当前 KLTS 镜像、registry 和 etcd 维护补丁链。
• 包含当前 KLTS 安全回补：CVE-2024-10220、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.26.15
• CI 链：v1.26.15-ci
• 补丁：fix-run-docker.1.24、no-delete-images.1.24、fix-etcd-put-key.1.24、bump-go-1-25-9.1.26、CVE-2024-10220、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

8 - v1.25

8.1 - v1.25.16-lts.0

这是 KLTS 发布的第一个 v1.25.16 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

8.2 - v1.25.16-lts.1

这是 KLTS 发布的 v1.25.16 修复版本。

补丁

• 包含基线版本 v1.25.16-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

8.3 - v1.25.16-lts.2

这是 KLTS 发布的 Kubernetes v1.25.16 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.25 LTS 分支。
• 继承当前 KLTS 镜像、registry、代码生成和 etcd 维护补丁链。
• 包含当前 KLTS 安全回补：CVE-2024-10220、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.25.16
• CI 链：v1.25.16-ci
• 补丁：fix-run-docker.1.24、no-delete-images.1.24、fix-etcd-put-key.1.24、codegens-to-scripts.1.25、bump-go-1-25-9.1.25、CVE-2024-10220、CVE-2025-0426、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

9 - v1.24

9.1 - v1.24.17-lts.0

这是 KLTS 发布的第一个 v1.24.17 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

9.2 - v1.24.17-lts.1

这是 KLTS 发布的 v1.24.17 修复版本。

补丁

• 包含基线版本 v1.24.17-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

9.3 - v1.24.17-lts.2

这是 KLTS 发布的 Kubernetes v1.24.17 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.24 LTS 分支。
• 继承当前 KLTS 镜像、registry、代码生成和 etcd 维护补丁链。
• 包含当前 KLTS 安全回补：CVE-2024-10220、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.24.17
• CI 链：v1.24.17-ci
• 补丁：fix-run-docker.1.24、no-delete-images.1.24、fix-etcd-put-key.1.24、codegens-to-scripts.1.24、bump-go-1-25-9.1.24、CVE-2024-10220、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

10 - v1.23

10.1 - v1.23.17-lts.0

这是 KLTS 发布的第一个 v1.23.17 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

10.2 - v1.23.17-lts.1

这是 KLTS 发布的 v1.23.17 修复版本。

补丁

• 包含基线版本 v1.23.17-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

10.3 - v1.23.17-lts.2

这是 KLTS 发布的 Kubernetes v1.23.17 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.23 LTS 分支。
• 继承当前 KLTS 镜像、registry 和 etcd 维护补丁链。
• 包含当前 KLTS 安全回补：CVE-2024-10220、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.23.17
• CI 链：v1.23.17-ci
• 补丁：fix-run-docker.1.24、no-delete-images.1.24、fix-etcd-put-key.1.23、bump-go-1-25-9.1.23、CVE-2024-10220、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

10.4 - v1.23.4-lts.1

这是 KLTS 发布的第一个 v1.23.5 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

11 - v1.22

11.1 - v1.22.17-lts.0

这是 KLTS 发布的第一个 v1.22.17 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

11.2 - v1.22.17-lts.1

这是 KLTS 发布的 v1.22.17 修复版本。

补丁

• 包含基线版本 v1.22.17-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

11.3 - v1.22.17-lts.2

这是 KLTS 发布的 Kubernetes v1.22.17 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.22 LTS 分支。
• 继承当前 KLTS 镜像、registry 和 etcd 维护补丁链。
• 包含当前 KLTS 安全回补：CVE-2024-10220、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.22.17
• CI 链：v1.22.17-ci
• 补丁：fix-run-docker.1.24、no-delete-images.1.24、fix-etcd-put-key.1.23、bump-go-1-25-9.1.22、CVE-2024-10220、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

11.4 - v1.22.8-lts.1

这是 KLTS 发布的第一个 v1.22.8 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

12 - v1.21

12.1 - v1.21.11-lts.1

这是 KLTS 发布的第一个 v1.21.11 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

12.2 - v1.21.14-lts.2

这是 KLTS 发布的 v1.21.14 修复版本。

补丁

• 包含基线版本 v1.21.14-ci 的累计安全修复（包括本次同步的 CVE 内容）；该 tag 没有额外新增补丁提交。

12.3 - v1.21.14-lts.3

这是 KLTS 发布的 Kubernetes v1.21.14 修复版本。

重点更新

• 使用 Go 1.25.9 重新构建 v1.21 LTS 分支。
• 继承当前 KLTS 镜像、registry 和 etcd 维护补丁链。
• 包含当前 KLTS 安全回补：CVE-2024-10220、CVE-2025-13281、CVE-2025-1767 和 CVE-2025-5187。

补丁链

• 基线版本：v1.21.14
• CI 链：v1.21.14-ci
• 补丁：fix-run-docker.1.24、no-delete-images.1.24、fix-etcd-put-key.1.23、bump-go-1-25-9.1.21、CVE-2024-10220、CVE-2025-13281、CVE-2025-1767、CVE-2025-5187

13 - v1.20

13.1 - v1.20.15-lts.1

这是 KLTS 发布的第二个 v1.20.15 修复版本。

补丁

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

13.2 - v1.20.15-lts.3

这是 KLTS 发布的 v1.20.15 修复版本。

补丁

• 包含基线版本 v1.20.15-ci 的累计安全修复。
• Bugfix：kubectl convert 兼容性修复。
• fix-kubectl-convert-97644.1.20.patch
• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

13.3 - v1.20.16-lts.1

这是 KLTS 发布的 Kubernetes v1.20.16 修复版本。

重点更新

• 增加 Kubernetes v1.20 到 v1.23 的 KLTS 支持。
• 本版本仅修复 kmem 问题。

相关补丁

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

• GitHub 发布说明

14 - v1.19

14.1 - v1.19.16-lts.3

这是 KLTS 发布的第三个 v1.19.16 修复版本。

补丁

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

• CVE-2020-8554

  Kubernetes Service 流量处理存在中间人风险，具备 Service 写权限的用户可通过 ExternalIPs 或 LoadBalancer 状态字段重定向流量。

14.2 - v1.19.16-lts.4

这是 KLTS 发布的 v1.19.16 修复版本。

补丁

• 包含基线版本 v1.19.16-ci 的累计安全修复。
• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

• 安全修复：CVE-2020-8554.1.19.patch

15 - v1.18

15.1 - v1.18.20-lts.1

这是 KLTS 发布的第一个 v1.18.20 修复版本。

补丁

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

• CVE-2021-25741

  这是一个权限访问相关的卷安全性问题。用户可以在创建的容器中通过 subpath 的卷挂载方式访问到该卷挂载目录之外的文件和目录，包括主机的文件系统。

15.2 - v1.18.20-lts.2

这是 KLTS 发布的第二个 v1.18.20 修复版本。

补丁

• 修复问题: kubelet 重启后创建的新 pod 缺少环境变量 KUBERNETES_SERVICE_HOST

15.3 - v1.18.20-lts.3

这是 KLTS 发布的 v1.18.20 修复版本。

补丁

• 包含基线版本 v1.18.20-ci 的累计安全修复。
• CVE-2021-25741

  这是一个权限访问相关的卷安全性问题。用户可以在创建的容器中通过 subpath 的卷挂载方式访问到该卷挂载目录之外的文件和目录，包括主机的文件系统。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

• 安全修复：CVE-2020-8554.1.18.patch
• Bugfix：fix-missing-env-91500.1.18.patch

16 - v1.17

16.1 - v1.17.17-lts.1

这是 KLTS 发布的第一个 v1.17.17 修复版本。

补丁

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

16.2 - v1.17.17-lts.3

这是 KLTS 发布的 v1.17.17 修复版本。

补丁

• 包含基线版本 v1.17.17-ci 的累计安全修复。
• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

17 - v1.16

17.1 - v1.16.15-lts.1

这是 KLTS 发布的第一个 v1.16.15 修复版本。

补丁

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

17.2 - v1.16.15-lts.3

这是 KLTS 发布的 v1.16.15 修复版本。

补丁

• 包含基线版本 v1.16.15-ci 的累计安全修复。
• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

18 - v1.15

18.1 - v1.15.12-lts.1

这是 KLTS 发布的第一个 v1.15.12 修复版本。

补丁

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

19 - v1.14

19.1 - v1.14.10-lts.1

这是 KLTS 发布的第一个 v1.14.10 修复版本。

补丁

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• CVE-2020-8559

  这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

20 - v1.13

20.1 - v1.13.12-lts.1

这是 KLTS 发布的第一个 v1.13.12 修复版本。

补丁

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

21 - v1.12

21.1 - v1.12.10-lts.1

这是 KLTS 发布的第一个 v1.12.10 修复版本。

补丁

• CVE-2019-11245

  这是一个提权漏洞，通常以容器 Dockerfile 中指定的 USER 运行的容器，在容器重启时或者如果镜像先前被拉到节点时，都将以 root(uid 0) 身份运行。

• CVE-2019-11247

  API Server 允许通过错误的范围访问自定义的资源。

• CVE-2019-11249

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11251

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

22 - v1.11

22.1 - v1.11.10-lts.1

这是 KLTS 发布的第一个 v1.11.10 修复版本。

补丁

• CVE-2019-11245

  这是一个提权漏洞，通常以容器 Dockerfile 中指定的 USER 运行的容器，在容器重启时或者如果镜像先前被拉到节点时，都将以 root(uid 0) 身份运行。

• CVE-2019-11246

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历 (Path Traversal) 的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11247

  API Server 允许通过错误的范围访问自定义的资源。

• CVE-2019-11248

  可以通过健康检查的端口访问 /debug/pprof。

• CVE-2019-11249

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11251

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

23 - v1.10

23.1 - v1.10.13-lts.1

这是 KLTS 发布的第一个 v1.10.13 修复版本。

补丁

• CVE-2019-11245

  这是一个提权漏洞，通常以容器 Dockerfile 中指定的 USER 运行的容器，在容器重启时或者如果镜像先前被拉到节点时，都将以 root(uid 0) 身份运行。

• CVE-2019-1002101

  此漏洞可能允许攻击者在 kubectl cp 命令执行解压过程中修改或监控符号链接头同名目录下的任意文件，从而造成破坏。

• CVE-2019-11246

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历 (Path Traversal) 的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11248

  可以通过健康检查的端口访问 /debug/pprof。

• CVE-2019-11249

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11251

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。