Notas de lançamento: marco 73

Status atual

Família de imagens cos-73-lts
Obsoleto após 19 de junho de 2020
Kernel 4.14.174
Kubernetes v1.13.3
Docker v18.09.7

Registro de alterações

cos-73-11647-656-0

Data: 05 de setembro de 2020
  • A vulnerabilidade CVE-2020-14386 do kernel do Linux foi corrigida com a solução de um problema de estouro de números inteiros em tpacket_rcv.

cos-73-11647-600-0

Data: 13 de julho de 2020
  • O código-fonte do kernel foi movido para cos.googlesource.com.
  • /var/lib/containerd montado com a opção exec.
  • Foi corrigido o bprm->vma_pages incorreto, que impedia a captura de todas as páginas de pilha.

cos-73-11647-534-0

Data: 7 de maio de 2020
  • Reconstrução da imagem para resolver um problema de infraestrutura. Nenhuma mudança na imagem.

cos-73-11647-510-0

Data: 13 de abril de 2020
  • Desativamos o `accept_ra` em todas as interfaces por padrão.
  • O OpenSSH foi atualizado para 7.9_p1 para corrigir a CVE-2018-15473.

cos-73-11647-501-0

Data: 05 de abril de 2020
  • Upgrade do kernel do Linux para a v4.14.174.
  • O patch do systemd ba0d56f55 foi recompilado para resolver um problema que resultava em unidades de montagem vazadas.

cos-73-11647-459-0

Data: 21 de fevereiro de 2020
  • Correção do bug de skb vazio do TCP na parte final da fila de gravação no kernel.
  • Upgrade do kernel do Linux para a v4.14.171.

cos-73-11647-449-0

Data: 12 de fevereiro de 2020
  • O runc foi atualizado para a versão 1.0.0-rc10. Isso resolve o CVE-2019-19921.
  • Upgrade do kernel do Linux para a v4.14.170.

cos-73-11647-415-0

Data: 7 de janeiro de 2020
  • Correção do problema de limitação de cota do CFS.
  • Aumente sysctl net.ipv4.tcp_limit_output_bytes para 1048576.
  • Upgrade do kernel do Linux para a v4.14.160.

cos-73-11647-348-0

Data: 28 de outubro de 2019
  • Upgrade do kernel do Linux para a v4.14.150.
  • Corrigimos a criação desnecessária de duas partições de teste separadas (resultando em 4 mensagens de registro do systemd no total + sobrecarga de tempo de execução) para cada execução do runc.
  • Correção de uma regressão de desempenho no Completely Fair Scheduler (CFS).

cos-73-11647-338-0

Data: 21 de outubro de 2019
  • Correção de um problema no systemd que resultava em consumo desnecessário de CPU.
  • Foi corrigido um problema no runc que resultava em consumo desnecessário de CPU.

cos-73-11647-329-0

Data: 08 de outubro de 2019
  • Upgrade do kernel do Linux para 4.14.145.
  • Fiz backport de um patch do kernel para garantir que a proporção de cota/período do cgroup cfs sempre permaneça a mesma. Isso resolve um problema do Kubernetes em que o cgroup do pod podia ser alterado para um estado inconsistente.

cos-73-11647-293-0

Data: 04 de setembro de 2019
  • Atualização do containerd para a v1.2.8.
  • Atualização do kernel do Linux para a versão 4.14.138.
  • Aplicamos retroativamente patches de writeback upstream para corrigir um problema de softlockup.

cos-73-11647-267-0

Data: 8 de agosto de 2019
    Upgrade do kernel do Linux para v4.14.137. Isso resolve o CVE-2019-1125.

cos-73-11647-239-0

Data: 12 de julho de 2019
  • Atualização do Docker para a versão 18.09.7. Isso resolve o CVE-2018-15664.
  • O runc foi atualizado para a versão 1.0.0_rc8.
  • Atualização do docker-proxy para a versão 0.8.0_p20190513.

cos-73-11647-231-0

Data: 02 de julho de 2019
  • O containerd foi atualizado para a v1.2.7.
  • Atualização do kernel para a versão v4.14.131.
  • Vulnerabilidade corrigida em app-arch/bzip2 (CVE-2019-12900).
  • Correção de um problema introduzido pelas correções do NFLX-2019-001.

cos-73-11647-217-0

Data: 19 de junho de 2019
  • Atualizamos o kernel do Linux para a versão 4.14.127 para resolver as vulnerabilidades do TCP SACK NFLX-2019-001.

cos-73-11647-214-0

Data: 17 de junho de 2019
  • Atualização do kernel para a versão v4.14.124.
  • Conjunto de mudanças de afinidade backportado para napi-tx.

cos-73-11647-192-0

Data: 28 de maio de 2019
  • O curl foi atualizado para a v7.64.1 para corrigir a CVE-2018-16890.
  • Atualização do containerd para a versão 1.2.6.
  • Defina a pontuação de OOM como -999 para docker.service e containerd.service para aumentar a confiabilidade dos daemons principais do sistema.
  • Adicione a política de reinicialização em containerd.service e corrija a dependência de docker.service em containerd.service para permitir que o containerd se recupere de falhas.
  • Mudanças de afinidade foram portadas para oferecer suporte a napi-tx no COS.
  • Patch upstream escolhido a dedo https://patchwork.kernel.org/patch/10951403/ no kernel para corrigir um bug no lockd introduzido pelo commit 01b79d20008d "lockd: Show pid of lockd for remote locks" no kernel do Linux v4.14.105.
  • Chaves rotacionadas usadas pela inicialização segura do UEFI para assinar e verificar o caminho de inicialização do UEFI.

cos-73-11647-182-0

Data: 16 de maio de 2019
  • Versão estável do Linux Kernel 'v4.14.119' mesclada para resolver vulnerabilidades de amostragem de dados microarquiteturais (MDS) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).
  • Mitigamos um problema de espera de montagem no kernel do Linux.

cos-73-11647-163-0

Data: 19 de abril de 2019
  • Defina LimitNOFILE como 1048576 em containerd.service para corrigir um problema em que o limite do descritor de arquivo não estava sendo aplicado corretamente ao containerd.

cos-73-11647-121-0

Data: 01 de abril de 2019
  • Incluímos a ferramenta de desempenho na imagem.
  • Correção de um bug em que o dockerd podia iniciar o containerd mesmo que containerd.service existisse.
  • Correção de um problema em que o Docker não preservava os UIDs/GIDs do processo de inicialização na execução.

cos-73-11647-112-0 (vs. marco 69)

Data: 25 de março de 2019

Novos recursos

  • Adição de suporte para coleta de despejos de falha de memória do kernel.
  • Adição de suporte para RAID e LVM.
  • Adição de compatibilidade com IPv6.
  • Adição de suporte para iscsi e multipath no kernel.
  • Adição de suporte para assinatura de módulos do kernel.
  • Ativamos as atualizações automáticas em VMs protegidas que nunca foram inicializadas no modo de inicialização segura. A atualização automática ainda está desativada em VMs protegidas que foram inicializadas anteriormente no modo de inicialização segura.
  • Desativamos a opção de configuração CONFIG_DEVMEM no kernel para restringir o acesso privilegiado à memória do sistema.
  • Adicionado comportamento para registrar mais informações de depuração no console serial durante a inicialização.

Correções de bugs

  • Correção de um problema observado em sondagens de atividade do Kubernetes.
  • Configuração do docker.service para sempre reiniciar o Docker após 10 segundos.
  • Correção de um problema em que uma condição de disputa entre o Docker e o containerd resultava em uma falha na restauração ativa do Docker.
  • Aumentamos fs.inotify.max_user_instances para 1024.
  • Configuramos o containerd para ser executado como um serviço systemd independente.

Atualizações de pacotes

  • O kubelet integrado foi atualizado para a v1.13.3.
  • Upgrade do containerd para a v1.2.5.
  • Atualização do openssl para 1.0.2q.
  • Atualização do Docker para a versão 18.09.3.
  • Instalamos o pacote pigz para downloads mais rápidos de imagens do Docker.
  • Instale o pacote keyutils.
  • Instale o pacote sosreport.