v1.11.10-lts.1

这是 KLTS 发布的第一个 v1.11.10 修复版本。

补丁

• CVE-2019-11245

  这是一个提权漏洞，通常以容器 Dockerfile 中指定的 USER 运行的容器，在容器重启时或者如果镜像先前被拉到节点时，都将以 root(uid 0) 身份运行。

• CVE-2019-11246

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历 (Path Traversal) 的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11247

  API Server 允许通过错误的范围访问自定义的资源。

• CVE-2019-11248

  可以通过健康检查的端口访问 /debug/pprof。

• CVE-2019-11249

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2019-11251

  此漏洞可能允许攻击者利用 kubectl cp 命令，采用路径遍历(Path Traversal)的方式将容器 tar 包中的恶意文件写入所在主机上的任何路径，该过程仅受本地用户的系统权限限制。

• CVE-2020-8552

  此漏洞可能使 API Server 易于遭受 API 请求成功造成的 DoS（拒绝服务攻击）。

• CVE-2020-8558

  kube-proxy 组件在 iptables 和 ipvs 模式下均需要设置内核参数 net.ipv4.conf.all.route_localnet=1， 从而允许本地回环访问。攻击者可能通过共享主机网络的容器，或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地 127.0.0.1 端口的 TCP/UDP 服务，从而获取接口信息。如果您的服务没有设置必要的安全认证，可能会造成信息泄露风险。

• TODO CVE-2020-8559

  这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

• CVE-2021-3121

  存在该漏洞的程序可能会因为处理了包含恶意 Protobuf 消息而崩溃。如果您使用的 Gogo Protobuf 版本过低，可能存在该漏洞。

• nokmem

  节点磁盘充足但是一直报磁盘不足无法创建 Pod。