Notas de lançamento: marco 73

Estado atual

Família de imagens cos-73-lts
Descontinuado após 19 de junho de 2020
Kernel 4.14.174
Kubernetes v1.13.3
Docker v18.09.7

Registo de alterações

cos-73-11647-656-0

Data: 05 de setembro de 2020
  • Foi corrigida a vulnerabilidade CVE-2020-14386 do kernel do Linux através da correção de um problema de overflow de números inteiros em tpacket_rcv.

cos-73-11647-600-0

Data: 13 de julho de 2020
  • Movemos a origem do kernel para cos.googlesource.com.
  • /var/lib/containerd montado com a opção exec.
  • Foi corrigido o problema em que bprm->vma_pages impedia a captura de todas as páginas da pilha.

cos-73-11647-534-0

Data: 7 de maio de 2020
  • Reconstrução da imagem para resolver um problema de infraestrutura. Nenhuma alteração de imagem.

cos-73-11647-510-0

Data: 13 de abril de 2020
  • Desativou `accept_ra` em todas as interfaces por predefinição.
  • O OpenSSH foi atualizado para a versão 7.9_p1 para corrigir o CVE-2018-15473.

cos-73-11647-501-0

Data: 05 de abril de 2020
  • Atualizou o kernel do Linux para a versão 4.14.174.
  • Foi aplicada a patch ba0d56f55 do systemd para resolver um problema que resultava em unidades de montagem com fugas.

cos-73-11647-459-0

Data: 21 de fevereiro de 2020
  • Corrigido o erro de skb vazio de TCP na extremidade da fila de escrita no kernel.
  • Atualizou o kernel do Linux para a versão 4.14.171.

cos-73-11647-449-0

Data: 12 de fevereiro de 2020
  • O runc foi atualizado para a versão 1.0.0-rc10. Isto resolve o CVE-2019-19921.
  • O kernel do Linux foi atualizado para a versão 4.14.170.

cos-73-11647-415-0

Data: 07 de janeiro de 2020
  • Foi corrigido um problema de limitação da quota do CFS.
  • Aumente o sysctl net.ipv4.tcp_limit_output_bytes para 1048576.
  • Atualizou o kernel do Linux para a versão 4.14.160.

cos-73-11647-348-0

Data: 28 de outubro de 2019
  • Atualizou o kernel do Linux para a versão 4.14.150.
  • Foi corrigida a criação desnecessária de duas divisões de teste separadas (resultando num total de 4 mensagens de registo do systemd + sobrecarga de tempo de execução) para cada execução do runc.
  • Foi corrigida uma regressão de desempenho no programador completamente justo (CFS).

cos-73-11647-338-0

Data: 21 de outubro de 2019
  • Foi corrigido um problema no systemd que resultava num consumo desnecessário da CPU.
  • Foi corrigido um problema no runc que resultava num consumo desnecessário da CPU.

cos-73-11647-329-0

Data: 08 de outubro de 2019
  • O kernel do Linux foi atualizado para a versão 4.14.145.
  • Foi feita uma porta traseira de um patch do kernel para garantir que a relação de quota/período do cgroup cfs permanece sempre igual. Isto resolve um problema do Kubernetes em que o cgroup do pod podia ser alterado para um estado inconsistente.

cos-73-11647-293-0

Data: 04 de setembro de 2019
  • O containerd foi atualizado para a versão 1.2.8.
  • Atualizou o kernel do Linux para a versão 4.14.138.
  • Patches de gravação de upstream com retrocompatibilidade para corrigir um problema de bloqueio temporário.

cos-73-11647-267-0

Data: 08 de agosto de 2019
    Atualização do kernel do Linux para a versão 4.14.137. Isto resolve o CVE-2019-1125.

cos-73-11647-239-0

Data: 12 de julho de 2019
  • O Docker foi atualizado para a versão 18.09.7. Esta atualização resolve a CVE-2018-15664.
  • O runc foi atualizado para a versão 1.0.0_rc8.
  • O docker-proxy foi atualizado para a versão 0.8.0_p20190513.

cos-73-11647-231-0

Data: 2 de julho de 2019
  • O containerd foi atualizado para a versão 1.2.7.
  • Kernel atualizado para a versão v4.14.131.
  • Vulnerabilidade corrigida em app-arch/bzip2 (CVE-2019-12900).
  • Foi corrigido um problema introduzido pelas correções NFLX-2019-001.

cos-73-11647-217-0

Data: 19 de junho de 2019
  • Atualizámos o kernel do Linux para a versão 4.14.127 para resolver as vulnerabilidades TCP SACK NFLX-2019-001.

cos-73-11647-214-0

Data: 17 de junho de 2019
  • O kernel foi atualizado para a versão v4.14.124.
  • Conjunto de alterações de afinidade transferido para napi-tx.

cos-73-11647-192-0

Data: 28 de maio de 2019
  • O curl foi atualizado para a versão 7.64.1 para corrigir o CVE-2018-16890.
  • O containerd foi atualizado para a versão 1.2.6.
  • Defina a pontuação de OOM como -999 para docker.service e containerd.service para melhorar a fiabilidade dos daemons do sistema principal.
  • Adicionámos uma política de reinício em containerd.service e corrigimos a dependência de docker.service em containerd.service para permitir que o containerd recupere de falhas.
  • Alterações de afinidade portadas para trás para suportar napi-tx no COS.
  • Patch upstream selecionado manualmente https://patchwork.kernel.org/patch/10951403/ no kernel para corrigir um erro no lockd introduzido pela confirmação 01b79d20008d "lockd: Show pid of lockd for remote locks" no kernel Linux v4.14.105.
  • Chaves rotadas usadas pelo arranque seguro UEFI para assinar e validar o caminho de arranque UEFI.

cos-73-11647-182-0

Data: 16 de maio de 2019
  • Foi incorporado o kernel estável do Linux "v4.14.119" para resolver as vulnerabilidades de amostragem de dados microarquitetónicos (MDS) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e CVE-2019-11091).
  • Foi mitigado um problema de bloqueio de montagem no kernel do Linux.

cos-73-11647-163-0

Data: 19 de abril de 2019
  • Defina LimitNOFILE como 1048576 em containerd.service para corrigir um problema em que o limite do descritor de ficheiros não estava a ser aplicado corretamente ao containerd.

cos-73-11647-121-0

Data: 01 de abril de 2019
  • Incluiu a ferramenta de desempenho na imagem.
  • Foi corrigido um erro que fazia com que o dockerd pudesse iniciar o containerd mesmo que o ficheiro containerd.service existisse.
  • Foi corrigido um problema em que o Docker não preservava os UIDs/GIDs do processo de inicialização na execução.

cos-73-11647-112-0 (vs Milestone 69)

Data: 25 de março de 2019

Novas funcionalidades

  • Suporte adicionado para a recolha de despejos de falhas de sistema de memória do kernel.
  • Foi adicionado suporte para RAID e LVM.
  • Foi adicionado suporte para IPv6.
  • Foi adicionado suporte para iscsi e multipath no kernel.
  • Foi adicionado suporte para a assinatura de módulos do kernel.
  • As atualizações automáticas foram ativadas em VMs protegidas que nunca foram iniciadas no modo de arranque seguro. A atualização automática continua desativada nas VMs protegidas que foram iniciadas anteriormente no modo de arranque seguro.
  • Desativou a opção de configuração CONFIG_DEVMEM no kernel para restringir o acesso privilegiado à memória do sistema.
  • Comportamento adicionado para registar mais informações de depuração na consola série durante o arranque.

Correções de erros

  • Foi corrigido um problema observado nas sondagens de atividade do Kubernetes.
  • Configurou o docker.service para reiniciar sempre o Docker após 10 segundos.
  • Foi corrigido um problema em que uma condição de corrida entre o Docker e o containerd resultava numa falha na restauração em direto do Docker.
  • Aumento de fs.inotify.max_user_instances para 1024.
  • Configurou o containerd para ser executado como um serviço systemd autónomo.

Atualizações de pacotes

  • Atualizou o kubelet integrado para a versão 1.13.3.
  • O containerd foi atualizado para a versão 1.2.5.
  • O openssl foi atualizado para a versão 1.0.2q.
  • O Docker foi atualizado para a versão 18.09.3.
  • Instalámos o pacote pigz para transferências de imagens Docker mais rápidas.
  • Instalou o pacote keyutils.
  • Ter instalado o pacote sosreport.