Catatan Rilis: Tonggak Pencapaian 73

cos-73-11647-656-0

• Memperbaiki kerentanan kernel Linux CVE-2020-14386 dengan memperbaiki masalah integer overflow di tpacket_rcv.

cos-73-11647-600-0

• Memindahkan sumber Kernel ke cos.googlesource.com.
• Memasang /var/lib/containerd dengan opsi exec.
• Memperbaiki bprm->vma_pages yang salah mencegah pengambilan semua halaman stack.

cos-73-11647-534-0

• Pembuatan ulang image untuk mengatasi masalah infrastruktur. Tidak ada perubahan gambar.

cos-73-11647-510-0

• Menonaktifkan `accept_ra` di semua antarmuka secara default.
• OpenSSH telah diupgrade ke 7.9_p1 untuk memperbaiki CVE-2018-15473.

cos-73-11647-501-0

• Mengupgrade kernel Linux ke v4.14.174.
• Patch systemd ba0d56f55 telah di-backport untuk mengatasi masalah yang menyebabkan unit pemasangan bocor.

cos-73-11647-459-0

• Memperbaiki bug skb TCP kosong di akhir antrean tulis dalam kernel.
• Mengupgrade kernel Linux ke v4.14.171.

cos-73-11647-449-0

• Mengupgrade runc ke 1.0.0-rc10. Perubahan ini mengatasi CVE-2019-19921.
• Mengupgrade kernel Linux ke v4.14.170.

cos-73-11647-415-0

• Masalah pembatasan kuota CFS telah diperbaiki.
• Tingkatkan sysctl net.ipv4.tcp_limit_output_bytes menjadi 1048576.
• Mengupgrade kernel Linux ke v4.14.160.

cos-73-11647-348-0

• Mengupgrade kernel Linux ke v4.14.150.
• Memperbaiki pembuatan dua slice pengujian terpisah yang tidak perlu (sehingga menghasilkan total 4 pesan log systemd + overhead runtime) untuk setiap eksekusi runc.
• Memperbaiki regresi performa di scheduler yang sepenuhnya adil (CFS).

cos-73-11647-338-0

• Memperbaiki masalah di systemd yang menyebabkan konsumsi CPU yang tidak perlu.
• Memperbaiki masalah di runc yang menyebabkan konsumsi CPU yang tidak perlu.

cos-73-11647-329-0

• Mengupgrade kernel Linux ke 4.14.145.
• Melakukan backport patch kernel untuk memastikan rasio kuota/periode cgroup cfs selalu sama. Hal ini mengatasi masalah Kubernetes yang menyebabkan cgroup pod dapat berubah menjadi status yang tidak konsisten.

cos-73-11647-293-0

• Mengupgrade containerd ke v1.2.8.
• Kernel Linux telah diupgrade ke versi 4.14.138.
• Melakukan backport patch writeback upstream untuk memperbaiki masalah softlockup.

cos-73-11647-267-0

Mengupgrade kernel Linux ke v4.14.137. Update ini menyelesaikan CVE-2019-1125.

cos-73-11647-239-0

• Docker telah diupgrade ke versi 18.09.7. Perubahan ini mengatasi CVE-2018-15664.
• Mengupgrade runc ke versi 1.0.0_rc8.
• Mengupgrade docker-proxy ke versi 0.8.0_p20190513.

cos-73-11647-231-0

• Mengupgrade containerd ke v1.2.7.
• Kernel telah diupdate ke versi v4.14.131.
• Memperbaiki kerentanan di app-arch/bzip2 (CVE-2019-12900).
• Memperbaiki masalah yang diperkenalkan oleh perbaikan NFLX-2019-001.

cos-73-11647-217-0

• Memperbarui kernel Linux ke versi 4.14.127 untuk mengatasi kerentanan SACK TCP NFLX-2019-001.

cos-73-11647-214-0

• Kernel telah diupdate ke versi v4.14.124.
• Backport set perubahan afinitas untuk napi-tx.

cos-73-11647-192-0

• Mengupgrade curl ke v7.64.1 untuk memperbaiki CVE-2018-16890.
• Mengupgrade containerd ke versi 1.2.6.
• Tetapkan skor OOM ke -999 untuk docker.service dan containerd.service guna meningkatkan keandalan daemon sistem inti.
• Menambahkan kebijakan mulai ulang di containerd.service, dan memperbaiki dependensi docker.service pada containerd.service untuk memungkinkan containerd pulih dari error.
• Mengubah afinitas yang di-backport untuk mendukung napi-tx di COS.
• Memilih patch upstream https://patchwork.kernel.org/patch/10951403/ di kernel untuk memperbaiki bug di lockd yang diperkenalkan oleh commit 01b79d20008d "lockd: Show pid of lockd for remote locks" di kernel Linux v4.14.105.
• Kunci yang dirotasi yang digunakan oleh Booting Aman UEFI untuk menandatangani dan memverifikasi jalur booting UEFI.

cos-73-11647-182-0

• Kernel Stabil Linux 'v4.14.119' yang digabungkan untuk menyelesaikan Kerentanan Microarchitectural Data Sampling (MDS) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).
• Mengurangi masalah hang pemasangan di kernel Linux.

cos-73-11647-163-0

• Menetapkan LimitNOFILE ke 1048576 di containerd.service untuk memperbaiki masalah saat batas deskriptor file tidak diterapkan dengan benar ke containerd.

cos-73-11647-121-0

• Alat performa disertakan dalam gambar.
• Memperbaiki bug yang menyebabkan dockerd dapat memulai containerd meskipun containerd.service ada.
• Memperbaiki masalah saat Docker tidak mempertahankan UID/GID proses init pada exec.

cos-73-11647-112-0 (vs Milestone 69)

Fitur baru

• Menambahkan dukungan untuk mengumpulkan dump error memori kernel.
• Menambahkan dukungan untuk RAID dan LVM.
• Menambahkan dukungan untuk IPv6.
• Menambahkan dukungan untuk iscsi dan multipath di kernel.
• Menambahkan dukungan untuk penandatanganan modul kernel.
• Mengaktifkan update otomatis pada Shielded VM yang belum pernah di-boot dalam mode booting aman. Update otomatis masih dinonaktifkan di Shielded VM yang sebelumnya melakukan booting dalam mode booting aman.
• Menonaktifkan opsi konfigurasi CONFIG_DEVMEM di kernel untuk membatasi akses yang memiliki hak istimewa ke memori sistem.
• Menambahkan perilaku untuk mencatat informasi proses debug lainnya ke konsol serial selama booting.

Perbaikan bug

• Memperbaiki masalah yang diamati dalam pemeriksaan keaktifan Kubernetes.
• Mengonfigurasi docker.service agar selalu memulai ulang Docker setelah 10 detik.
• Memperbaiki masalah saat kondisi persaingan antara Docker dan containerd mengakibatkan kegagalan pemulihan langsung Docker.
• Meningkatkan fs.inotify.max_user_instances menjadi 1024.
• Mengonfigurasi containerd agar berjalan sebagai layanan systemd mandiri.

Update paket

• Mengupgrade kubelet bawaan ke v1.13.3.
• Mengupgrade containerd ke v1.2.5.
• Mengupgrade openssl ke 1.0.2q.
• Mengupgrade Docker ke 18.09.3.
• Menginstal paket pigz untuk mendownload image Docker lebih cepat.
• Menginstal paket keyutils.
• Menginstal paket sosreport.