נתוני גרסה: Milestone 73

מצב נוכחי

Image Family cos-73-lts
הוצא משימוש אחרי ‫19 ביוני 2020
ליבה 4.14.174
‏Kubernetes v1.13.3
Docker v18.09.7

יומן שינויים

cos-73-11647-656-0

תאריך: 5 בספטמבר 2020
  • תוקנה נקודת חולשה בליבה של Linux‏ CVE-2020-14386, באמצעות תיקון בעיה של הצפת מספר שלם ב-tpacket_rcv.

cos-73-11647-600-0

תאריך: 13 ביולי 2020
  • העברנו את המקור של הליבה אל cos.googlesource.com.
  • ההרכבה של ‎ /var/lib/containerd מתבצעת עם האפשרות exec.
  • תוקנה שגיאה שגרמה לכך ש-bprm->vma_pages מנע לכידה של כל דפי המחסנית.

cos-73-11647-534-0

תאריך: 7 במאי 2020
  • בנייה מחדש של תמונה כדי לפתור בעיה בתשתית. לא בוצעו שינויים בתמונה.

cos-73-11647-510-0

תאריך: 13 באפריל 2020
  • ההגדרה `accept_ra` מושבתת כברירת מחדל בכל הממשקים.
  • שודרג OpenSSH לגרסה 7.9_p1 כדי לתקן את CVE-2018-15473.

cos-73-11647-501-0

תאריך: 5 באפריל 2020
  • שודרגה ליבת Linux לגרסה v4.14.174.
  • בוצע backport לתיקון systemd ba0d56f55 כדי לפתור בעיה שגרמה ליחידות הרכבה דולפות.

cos-73-11647-459-0

תאריך: 21 בפברואר 2020
  • תוקן באג בקרנל שגרם ל-skb ריק של TCP בסוף תור הכתיבה.
  • שודרגה ליבת Linux לגרסה v4.14.171.

cos-73-11647-449-0

Date: Feb 12, 2020
  • שודרגה הגרסה של runc ל-1.0.0-rc10. העדכון הזה פותר את הבעיה CVE-2019-19921.
  • שודרג ליבת Linux לגרסה v4.14.170.

cos-73-11647-415-0

Date: Jan 07, 2020
  • תוקנה בעיה שקשורה להגבלת קצב העברת הנתונים במכסת CFS.
  • הגדלת הערך של sysctl net.ipv4.tcp_limit_output_bytes ל-1048576.
  • שודרג ליבת Linux לגרסה 4.14.160.

cos-73-11647-348-0

תאריך: 28 באוקטובר 2019
  • שודרגה ליבת Linux לגרסה v4.14.150.
  • תוקנה הבעיה של יצירה מיותרת של שני חלקי בדיקה נפרדים (שגורמת ל-4 הודעות יומן של systemd בסך הכול + תקורה בזמן ריצה) לכל הפעלה של runc.
  • תוקנה רגרסיה בביצועים בתזמון הוגן לחלוטין (CFS).

cos-73-11647-338-0

תאריך: 21 באוקטובר 2019
  • תוקנה בעיה ב-systemd שגרמה לצריכת CPU מיותרת.
  • תוקנה בעיה ב-runc שגרמה לצריכת CPU מיותרת.

cos-73-11647-329-0

Date: Oct 08, 2019
  • שודרג ליבת Linux לגרסה 4.14.145.
  • בוצע backport לתיקון ליבה כדי להבטיח שיחס המכסה/התקופה של cgroup cfs תמיד יישאר זהה. העדכון הזה פותר בעיה ב-Kubernetes שבה קבוצת הבקרה (cgroup) של ה-pod יכולה להשתנות למצב לא עקבי.

cos-73-11647-293-0

תאריך: 4 בספטמבר 2019
  • שודרג containerd לגרסה v1.2.8.
  • שודרגה ליבת Linux לגרסה 4.14.138.
  • העברנו תיקונים של writeback מגרסה חדשה יותר לגרסה קודמת כדי לפתור בעיה של softlockup.

cos-73-11647-267-0

תאריך: 8 באוגוסט 2019
    שודרגה ליבת Linux לגרסה v4.14.137. העדכון הזה פותר את הבעיה CVE-2019-1125.

cos-73-11647-239-0

תאריך: 12 ביולי 2019
  • שודרג Docker לגרסה 18.09.7. העדכון הזה פותר את הבעיה CVE-2018-15664.
  • שודרגה גרסת runc ל-1.0.0_rc8.
  • בוצע שדרוג של docker-proxy לגרסה 0.8.0_p20190513.

cos-73-11647-231-0

תאריך: 2 ביולי 2019
  • שודרג containerd לגרסה v1.2.7.
  • הליבה עודכנה לגרסה v4.14.131.
  • תוקנה נקודת תורפה ב-app-arch/bzip2 ‏ (CVE-2019-12900).
  • תוקנה בעיה שהוצגה על ידי תיקונים של NFLX-2019-001.

cos-73-11647-217-0

Date: Jun 19, 2019
  • הליבה של Linux עודכנה לגרסה 4.14.127 כדי לפתור את נקודות החולשה של TCP SACK‏ NFLX-2019-001.

cos-73-11647-214-0

Date: Jun 17, 2019
  • הליבה עודכנה לגרסה v4.14.124.
  • העברנו לאחור את קבוצת השינויים של ההעדפות עבור napi-tx.

cos-73-11647-192-0

תאריך: 28 במאי 2019
  • שודרגה גרסת curl ל-v7.64.1 כדי לתקן את CVE-2018-16890.
  • שודרג containerd לגרסה 1.2.6.
  • מגדירים את הניקוד של OOM ל-‎-999 עבור docker.service ו-containerd.service כדי לשפר את המהימנות של דמונים של מערכת הליבה.
  • הוספנו מדיניות הפעלה מחדש ב-containerd.service, ותיקנו את התלות של docker.service ב-containerd.service כדי לאפשר ל-containerd להתאושש מקריסות.
  • שינויים שבוצעו בגרסה קודמת כדי לתמוך ב-napi-tx ב-COS.
  • תיקון באג ב-lockd שהוצג על ידי קומיט 01b79d20008d ‏lockd: Show pid of lockd for remote locks'‎' בליבת Linux גרסה 4.14.105. התיקון נבחר מתוך תיקון upstream ‏https://patchwork.kernel.org/patch/10951403/ ‎ בליבה.
  • מפתחות שהוחלפו ומשמשים את UEFI Secure Boot לחתימה ולאימות של נתיב האתחול של UEFI.

cos-73-11647-182-0

תאריך: 16 במאי 2019
  • בוצעה מיזוג של ליבת Linux Stable Kernel‏ v4.14.119 כדי לפתור נקודות חולשה של דגימת נתונים של מיקרו-ארכיטקטורה (MDS) ‏(CVE-2018-12126, ‏ CVE-2018-12127, ‏ CVE-2018-12130, ‏ CVE-2019-11091).
  • בוצעה הקלה בבעיה של תקיעת טעינה בליבת Linux.

cos-73-11647-163-0

Date: Apr 19, 2019
  • הגדרת LimitNOFILE ל-1048576 ב-containerd.service כדי לפתור בעיה שבה מגבלת מתאר הקובץ לא הוחלה כראוי על containerd.

cos-73-11647-121-0

תאריך: 1 באפריל 2019
  • כלי הביצועים שמוצג בתמונה.
  • תוקן באג שגרם לכך ש-dockerd יכול להפעיל את containerd גם אם קיים containerd.service.
  • תוקנה בעיה שבה Docker לא שמר את ה-UID/GID של תהליך האתחול ב-exec.

‫cos-73-11647-112-0 (לעומת Milestone 69)

תאריך: 25 במרץ 2019

תכונות חדשות

  • נוספה תמיכה באיסוף של קבצי dump של קריסות בזיכרון הליבה.
  • הוספנו תמיכה ב-RAID וב-LVM.
  • הוספנו תמיכה ב-IPv6.
  • הוספנו תמיכה ב-iscsi וב-multipath בליבה.
  • נוספה תמיכה בחתימה על מודול ליבה.
  • הפעלת עדכונים אוטומטיים במכונות וירטואליות מוגנות שלא הופעלו אף פעם במצב אתחול מאובטח. עדכון אוטומטי עדיין מושבת במכונות וירטואליות מוגנות שהופעלו בעבר במצב הפעלה מאובטח.
  • השבתנו את אפשרות ההגדרה CONFIG_DEVMEM בקרנל כדי להגביל את הגישה עם הרשאות לזיכרון המערכת.
  • נוספה התנהגות לרישום מידע נוסף על ניפוי באגים במסוף הסדרתי במהלך האתחול.

תיקוני באגים

  • תוקנה בעיה שנצפתה בבדיקות הפעילות של Kubernetes.
  • הגדרתי את docker.service כך שתמיד תתבצע הפעלה מחדש של Docker אחרי 10 שניות.
  • תוקנה בעיה שבה מרוץ תהליכים בין Docker לבין containerd גרם לכשל בשחזור פעיל של Docker.
  • הגדלנו את fs.inotify.max_user_instances ל-1024.
  • הגדרנו את containerd להפעלה כשירות systemd עצמאי.

עדכוני חבילות

  • שודרג kubelet המובנה לגרסה v1.13.3.
  • שודרג containerd לגרסה v1.2.5.
  • שודרג openssl ל-1.0.2q.
  • שודרג Docker ל-18.09.3.
  • התקינו את חבילת pigz כדי להוריד מהר יותר קובצי אימג' של Docker.
  • התקנת חבילת keyutils.
  • התקנתם את חבילת sosreport.