출시 노트: 마일스톤 73

cos-73-11647-656-0

• tpacket_rcv의 정수 오버플로 문제를 수정하여 Linux 커널 취약점 CVE-2020-14386을 수정했습니다.

cos-73-11647-600-0

• 커널 소스를 cos.googlesource.com으로 이동했습니다.
• exec 옵션으로 /var/lib/containerd를 마운트했습니다.
• 잘못된 bprm->vma_pages로 인해 모든 스택 페이지가 캡처되지 않는 문제 수정

cos-73-11647-534-0

• 인프라 문제를 해결하기 위해 이미지를 다시 빌드합니다. 이미지 변경사항 없음

cos-73-11647-510-0

• 기본적으로 모든 인터페이스에서 `accept_ra` 가 사용 중지되었습니다.
• CVE-2018-15473을 수정하기 위해 OpenSSH를 7.9_p1로 업그레이드했습니다.

cos-73-11647-501-0

• Linux 커널이 v4.14.174로 업그레이드되었습니다.
• 마운트 단위가 누수되는 문제를 해결하기 위해 systemd 패치 ba0d56f55가 백포트되었습니다.

cos-73-11647-459-0

• 커널에서 쓰기 대기열 끝에 있는 TCP 빈 skb 버그가 수정되었습니다.
• Linux 커널이 v4.14.171로 업그레이드되었습니다.

cos-73-11647-449-0

• runc가 1.0.0-rc10으로 업그레이드되었습니다. 이 패치는 CVE-2019-19921을 해결합니다.
• Linux 커널이 v4.14.170으로 업그레이드되었습니다.

cos-73-11647-415-0

• CFS 할당량 제한 문제가 수정되었습니다.
• sysctl net.ipv4.tcp_limit_output_bytes를 1048576으로 늘립니다.
• Linux 커널이 v4.14.160으로 업그레이드되었습니다.

cos-73-11647-348-0

• Linux 커널이 v4.14.150으로 업그레이드되었습니다.
• runc 실행마다 불필요하게 별도의 테스트 슬라이스 두 개가 생성되는 문제 (총 4개의 systemd 로그 메시지 + 런타임 오버헤드 발생)를 수정했습니다.
• 완전 공정 스케줄러 (CFS)의 성능 회귀가 수정되었습니다.

cos-73-11647-338-0

• 불필요한 CPU 소비를 초래하는 systemd 문제가 수정되었습니다.
• 불필요한 CPU 소비를 초래하는 runc의 문제가 수정되었습니다.

cos-73-11647-329-0

• Linux 커널이 4.14.145로 업그레이드되었습니다.
• cfs cgroup 할당량/기간 비율이 항상 동일하게 유지되도록 커널 패치를 백포트했습니다. 포드 cgroup이 일관되지 않은 상태로 변경될 수 있는 Kubernetes 문제를 해결합니다.

cos-73-11647-293-0

• containerd를 v1.2.8로 업그레이드했습니다.
• Linux 커널을 버전 4.14.138로 업그레이드했습니다.
• 소프트락업 문제를 수정하기 위해 업스트림 쓰기 패치를 백포트했습니다.

cos-73-11647-267-0

Linux 커널이 v4.14.137로 업그레이드되었습니다. 이 업데이트는 CVE-2019-1125를 해결합니다.

cos-73-11647-239-0

• Docker를 버전 18.09.7로 업그레이드했습니다. 이 변경사항은 CVE-2018-15664를 해결합니다.
• runc를 버전 1.0.0_rc8로 업그레이드했습니다.
• docker-proxy를 버전 0.8.0_p20190513으로 업그레이드했습니다.

cos-73-11647-231-0

• containerd를 v1.2.7로 업그레이드했습니다.
• 커널이 버전 v4.14.131로 업데이트되었습니다.
• app-arch/bzip2의 취약점이 수정되었습니다 (CVE-2019-12900).
• NFLX-2019-001 수정사항으로 인해 발생한 문제를 수정했습니다.

cos-73-11647-217-0

• NFLX-2019-001 TCP SACK 취약점을 해결하기 위해 Linux 커널을 버전 4.14.127로 업데이트했습니다.

cos-73-11647-214-0

• 커널이 버전 v4.14.124로 업데이트되었습니다.
• napi-tx의 어피니티 변경사항을 백포트했습니다.

cos-73-11647-192-0

• CVE-2018-16890을 수정하기 위해 curl을 v7.64.1로 업그레이드했습니다.
• containerd가 버전 1.2.6으로 업그레이드되었습니다.
• 핵심 시스템 데몬의 안정성을 향상하기 위해 docker.service 및 containerd.service의 OOM 점수를 -999로 설정
• containerd.service에 재시작 정책을 추가하고 containerd가 비정상 종료에서 복구할 수 있도록 containerd.service에 대한 docker.service의 종속성을 수정했습니다.
• COS에서 napi-tx를 지원하기 위해 어피니티 변경사항을 백포트했습니다.
• 커널에서 업스트림 패치 https://patchwork.kernel.org/patch/10951403/ 을 선택하여 Linux 커널 v4.14.105에서 커밋 01b79d20008d 'lockd: Show pid of lockd for remote locks'로 도입된 lockd의 버그를 수정합니다.
• UEFI 부팅 경로에 서명하고 이를 확인하는 데 UEFI 보안 부트에서 사용하는 순환 키입니다.

cos-73-11647-182-0

• 마이크로아키텍처 데이터 샘플링 (MDS) 취약점(CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091)을 해결하기 위해 Linux 안정화 커널 'v4.14.119'가 병합되었습니다.
• Linux 커널의 마운트 중단 문제가 완화되었습니다.

cos-73-11647-163-0

• 파일 설명자 제한이 containerd에 제대로 적용되지 않는 문제를 수정하기 위해 containerd.service에서 LimitNOFILE을 1048576으로 설정

cos-73-11647-121-0

• 이미지에 성능 도구가 포함되었습니다.
• containerd.service가 있어도 dockerd가 containerd를 시작할 수 있는 버그를 수정했습니다.
• Docker가 실행 시 init 프로세스의 UID/GID를 유지하지 않는 문제가 수정되었습니다.

cos-73-11647-112-0 (마일스톤 69와 비교)

새로운 기능

• 커널 메모리 비정상 종료 덤프 수집 지원 추가
• RAID 및 LVM 지원이 추가되었습니다.
• IPv6 지원이 추가되었습니다.
• 커널에 iscsi 및 멀티 경로 지원 추가
• 커널 모듈 서명 지원 추가
• 보안 부팅 모드로 부팅된 적이 없는 보안 VM에서 자동 업데이트를 사용 설정했습니다. 이전에 보안 부팅 모드로 부팅된 보안 VM에서는 자동 업데이트가 계속 사용 중지됩니다.
• 커널에서 CONFIG_DEVMEM 구성 옵션을 사용 중지하여 시스템 메모리에 대한 권한 액세스를 제한했습니다.
• 부팅 중에 직렬 콘솔에 더 많은 디버깅 정보를 로깅하는 동작이 추가되었습니다.

버그 수정

• Kubernetes 활성 프로브에서 관찰된 문제가 수정되었습니다.
• 10초 후에 항상 Docker를 다시 시작하도록 docker.service를 구성했습니다.
• Docker와 containerd 간의 경합 조건으로 인해 Docker 라이브 복원이 실패하는 문제가 수정되었습니다.
• fs.inotify.max_user_instances를 1024로 늘림
• 독립형 systemd 서비스로 실행되도록 containerd를 구성했습니다.

패키지 업데이트

• 내장 kubelet을 v1.13.3으로 업그레이드했습니다.
• containerd를 v1.2.5로 업그레이드했습니다.
• openssl을 1.0.2q로 업그레이드했습니다.
• Docker를 18.09.3으로 업그레이드했습니다.
• 더 빠른 Docker 이미지 다운로드를 위해 pigz 패키지를 설치했습니다.
• keyutils 패키지를 설치했습니다.
• sosreport 패키지를 설치했습니다.