1 - v1.12.10-lts.1
这是 KLTS 发布的第一个 v1.12.10 修复版本。
补丁
- CVE-2019-11245
这是一个提权漏洞,通常以容器
Dockerfile
中指定的USER
运行的容器,在容器重启时或者如果镜像先前被拉到节点时,都将以root
(uid 0) 身份运行。 - CVE-2019-11247
API Server
允许通过错误的范围访问自定义的资源。 - CVE-2019-11249
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2019-11251
此漏洞可能允许攻击者利用
kubectl cp
命令,采用路径遍历(Path Traversal)的方式将容器tar
包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。 - CVE-2020-8552
此漏洞可能使
API Server
易于遭受API
请求成功造成的DoS
(拒绝服务攻击)。 - CVE-2020-8558
kube-proxy
组件在iptables
和ipvs
模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1
, 从而允许本地回环访问。攻击者可能通过共享主机网络的容器,或在集群节点访问同一个 LAN 或二层网络下的相邻节点上绑定监听本地127.0.0.1
端口的 TCP/UDP 服务,从而获取接口信息。如果您的服务没有设置必要的安全认证,可能会造成信息泄露风险。 - TODO CVE-2020-8559
这是
kube-apiserver
组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet
的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。 - CVE-2021-3121
存在该漏洞的程序可能会因为处理了包含恶意
Protobuf
消息而崩溃。如果您使用的Gogo Protobuf
版本过低,可能存在该漏洞。 - nokmem
节点磁盘充足但是一直报磁盘不足无法创建
Pod
。