版本日志

• 1: v1.23
• 1.1: v1.23.4-lts.1
• 2: v1.22
• 2.1: v1.22.8-lts.1
• 3: v1.21
• 3.1: v1.21.11-lts.1
• 4: v1.20
• 4.1: v1.20.15-lts.1
• 5: v1.19
• 5.1: v1.19.16-lts.3
• 6: v1.18
• 6.1: v1.18.20-lts.1
• 6.2: v1.18.20-lts.2
• 7: v1.17
• 7.1: v1.17.17-lts.1
• 8: v1.16
• 8.1: v1.16.15-lts.1
• 9: v1.15
• 9.1: v1.15.12-lts.1
• 10: v1.14
• 10.1: v1.14.10-lts.1
• 11: v1.13
• 11.1: v1.13.12-lts.1
• 12: v1.12
• 12.1: v1.12.10-lts.1
• 13: v1.11
• 13.1: v1.11.10-lts.1
• 14: v1.10
• 14.1: v1.10.13-lts.1

1 - v1.23

1.1 - v1.23.4-lts.1

这是 KLTS 发布的第一个 v1.23.5 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

2 - v1.22

2.1 - v1.22.8-lts.1

这是 KLTS 发布的第一个 v1.22.8 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

3 - v1.21

3.1 - v1.21.11-lts.1

这是 KLTS 发布的第一个 v1.21.11 修复版本。

补丁

• 只是跑通了 CI 没做任何修复

4 - v1.20

4.1 - v1.20.15-lts.1

这是 KLTS 发布的第二个 v1.20.15 修复版本。

补丁

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

5 - v1.19

5.1 - v1.19.16-lts.3

这是 KLTS 发布的第三个 v1.19.16 修复版本。

补丁

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

• /docs/kubernetes/patches/cve-2020-8554/

6 - v1.18

6.1 - v1.18.20-lts.1

这是 KLTS 发布的第一个 v1.18.20 修复版本。

补丁

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

• CVE-2021-25741

  这是一个权限访问相关的卷安全性问题。用户可以在创建的容器中通过 subpath 的卷挂载方式访问到该卷挂载目录之外的文件和目录，包括主机的文件系统。

6.2 - v1.18.20-lts.2

这是 KLTS 发布的第二个 v1.18.20 修复版本。

补丁

• 修复问题: kubelet 重启后创建的新 pod 缺少环境变量 KUBERNETES_SERVICE_HOST

7 - v1.17

7.1 - v1.17.17-lts.1

这是 KLTS 发布的第一个 v1.17.17 修复版本。

补丁

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

8 - v1.16

8.1 - v1.16.15-lts.1

这是 KLTS 发布的第一个 v1.16.15 修复版本。

补丁

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

9 - v1.15

9.1 - v1.15.12-lts.1

这是 KLTS 发布的第一个 v1.15.12 修复版本。

补丁

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

10 - v1.14

10.1 - v1.14.10-lts.1

这是 KLTS 发布的第一个 v1.14.10 修复版本。

补丁

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• CVE-2020-8559

  这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

11 - v1.13

11.1 - v1.13.12-lts.1

这是 KLTS 发布的第一个 v1.13.12 修复版本。

补丁

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• TODO CVE-2020-8559

  这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

12 - v1.12

12.1 - v1.12.10-lts.1

这是 KLTS 发布的第一个 v1.12.10 修复版本。

补丁

• CVE-2019-11245

  这是一个提权漏洞，通常以容器 Dockerfile 中指定的 USER 运行的容器，在容器重启时或者如果镜像先前被拉到节点时，都将以 root(uid 0) 身份运行。

• CVE-2019-11247

  API Server 允许通过错误的范围访问自定义的资源。

• CVE-2019-11249

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11251

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• TODO CVE-2020-8559

  这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

13 - v1.11

13.1 - v1.11.10-lts.1

这是 KLTS 发布的第一个 v1.11.10 修复版本。

补丁

• CVE-2019-11245

  这是一个提权漏洞，通常以容器 Dockerfile 中指定的 USER 运行的容器，在容器重启时或者如果镜像先前被拉到节点时，都将以 root(uid 0) 身份运行。

• CVE-2019-11246

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历 (Path Traversal) 的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11247

  API Server 允许通过错误的范围访问自定义的资源。

• CVE-2019-11248

  可以通过健康检查的端口访问 /debug/pprof。

• CVE-2019-11249

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11251

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• TODO CVE-2020-8559

  这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。

14 - v1.10

14.1 - v1.10.13-lts.1

这是 KLTS 发布的第一个 v1.10.13 修复版本。

补丁

• CVE-2019-11245

  这是一个提权漏洞，通常以容器 Dockerfile 中指定的 USER 运行的容器，在容器重启时或者如果镜像先前被拉到节点时，都将以 root(uid 0) 身份运行。

• CVE-2019-1002101

  此漏洞可能允许攻击者在 kubectl cp 命令执行解压过程中修改或监控符号链接头同名目录下的任意文件，从而造成破坏。

• CVE-2019-11246

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历 (Path Traversal) 的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• TODO CVE-2019-11247

  API Server 允许通过错误的范围访问自定义的资源。

• CVE-2019-11248

  可以通过健康检查的端口访问 /debug/pprof。

• CVE-2019-11249

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11251

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• TODO CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• TODO CVE-2020-8559

  这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。