版本说明:里程碑 73

当前状态

映像系列 cos-73-lts
下列日期后弃用 2020 年 6 月 19
内核 4.14.174
Kubernetes v1.13.3
Docker v18.09.7

更新日志

cos-73-11647-656-0

日期:2020 年 9 月 5 日
  • 通过修复 tpacket_rcv 中的整数溢出问题,修复了 Linux 内核漏洞 CVE-2020-14386。

cos-73-11647-600-0

日期:2020 年 7 月 13 日
  • 将内核源代码移至 cos.googlesource.com。
  • 使用 exec 选项装载了 /var/lib/containerd。
  • 修复了错误的 bprm->vma_pages 阻止捕获所有堆栈页面的问题。

cos-73-11647-534-0

日期:2020 年 5 月 7 日
  • 重新构建映像以解决基础设施问题。无任何图片更改。

cos-73-11647-510-0

日期:2020 年 4 月 13 日
  • 默认停用了所有接口上的 `accept_ra`。
  • 将 OpenSSH 升级到了 7.9_p1,以修复 CVE-2018-15473。

cos-73-11647-501-0

日期:2020 年 4 月 5 日
  • 将 Linux 内核升级到了 v4.14.174。
  • 向后移植了 systemd 补丁 ba0d56f55,以解决导致装载单元泄漏的问题。

cos-73-11647-459-0

日期:2020 年 2 月 21 日
  • 修复了内核中写入队列尾部的 TCP 空 skb bug。
  • 将 Linux 内核升级到了 v4.14.171。

cos-73-11647-449-0

日期:2020 年 2 月 12 日
  • 将 runc 升级到了 1.0.0-rc10。此版本解决了 CVE-2019-19921。
  • 将 Linux 内核升级到了 v4.14.170。

cos-73-11647-415-0

日期:2020 年 1 月 7 日
  • 修复了 CFS 配额限制问题。
  • 将 sysctl net.ipv4.tcp_limit_output_bytes 增加到 1048576。
  • 将 Linux 内核升级到了 v4.14.160。

cos-73-11647-348-0

日期:2019 年 10 月 28 日
  • 将 Linux 内核升级到了 v4.14.150。
  • 修复了每次运行 runc 时不必要地创建两个单独的测试 slice(总共导致 4 条 systemd 日志消息 + 运行时开销)的问题。
  • 修复了完全公平调度程序 (CFS) 中的性能回归问题。

cos-73-11647-338-0

日期:2019 年 10 月 21 日
  • 修复了 systemd 中导致 CPU 消耗过多的问题。
  • 修复了 runc 中导致不必要的 CPU 消耗的问题。

cos-73-11647-329-0

日期:2019 年 10 月 8 日
  • 将 Linux 内核升级到了 4.14.145。
  • 反向移植了一个内核补丁,以确保 cfs cgroup 配额/周期比始终保持不变。此问题修复了 Kubernetes 中 pod cgroup 可能变为不一致状态的问题。

cos-73-11647-293-0

日期:2019 年 9 月 4 日
  • 将 containerd 升级到了 v1.2.8。
  • 将 Linux 内核升级到了版本 4.14.138。
  • 反向移植了上游回写补丁,以修复软死锁问题。

cos-73-11647-267-0

日期:2019 年 8 月 8 日
    将 Linux 内核升级到 v4.14.137。此版本解决了 CVE-2019-1125。

cos-73-11647-239-0

日期:2019 年 7 月 12 日
  • 将 Docker 升级到了版本 18.09.7。此版本解决了 CVE-2018-15664。
  • 将 runc 升级到了版本 1.0.0_rc8。
  • 将 docker-proxy 升级到了版本 0.8.0_p20190513。

cos-73-11647-231-0

日期:2019 年 7 月 2 日
  • 将 containerd 升级到了 v1.2.7。
  • 将内核更新到了版本 v4.14.131。
  • 修复了 app-arch/bzip2 中的漏洞 (CVE-2019-12900)。
  • 修复了 NFLX-2019-001 修复引入的问题。

cos-73-11647-217-0

日期:2019 年 6 月 19 日
  • 已将 Linux 内核更新到版本 4.14.127,以解决 NFLX-2019-001 TCP SACK 漏洞。

cos-73-11647-214-0

日期:2019 年 6 月 17 日
  • 将内核更新到了版本 v4.14.124。
  • 针对 napi-tx 向后移植了亲和性变更集。

cos-73-11647-192-0

日期:2019 年 5 月 28 日
  • 将 curl 升级到 v7.64.1,以修复 CVE-2018-16890。
  • 将 containerd 升级到了版本 1.2.6。
  • 将 docker.service 和 containerd.service 的 OOM 分数设置为 -999,以提高核心系统守护程序的可靠性。
  • 在 containerd.service 中添加了重启政策,并修正了 docker.service 对 containerd.service 的依赖关系,以允许 containerd 从崩溃中恢复。
  • 向后移植了亲和性更改,以支持 COS 中的 napi-tx。
  • 在内核中挑选了上游补丁 https://patchwork.kernel.org/patch/10951403/,以修复 Linux 内核 v4.14.105 中由提交 01b79d20008d“lockd:显示远程锁的 lockd 的 PID”引入的 lockd 中的 bug。
  • 由 UEFI 安全启动用于对 UEFI 启动路径进行签名和验证的轮换密钥。

cos-73-11647-182-0

日期:2019 年 5 月 16 日
  • 合并了 Linux 稳定版内核“v4.14.119”,以解决微架构数据采样 (MDS) 漏洞(CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091)。
  • 缓解了 Linux 内核中的装载挂起问题。

cos-73-11647-163-0

日期:2019 年 4 月 19 日
  • 在 containerd.service 中将 LimitNOFILE 设置为 1048576,以修复文件描述符限制未正确应用于 containerd 的问题。

cos-73-11647-121-0

日期:2019 年 4 月 1 日
  • 在映像中添加了性能工具。
  • 修复了以下 bug:即使 containerd.service 存在,dockerd 也可能会启动 containerd。
  • 修复了 Docker 在执行时未保留 init 进程的 UID/GID 的问题。

cos-73-11647-112-0(与里程碑 69 相比)

日期:2019 年 3 月 25 日

新功能

  • 添加了对收集内核内存崩溃转储的支持。
  • 增加了对 RAID 和 LVM 的支持。
  • 添加了对 IPv6 的支持。
  • 在内核中添加了对 iSCSI 和多路径的支持。
  • 添加了对内核模块签名的支持。
  • 在从未以安全启动模式启动的安全强化型虚拟机上启用了自动更新。对于之前在安全启动模式下启动过的安全强化型虚拟机,自动更新仍处于停用状态。
  • 停用了内核中的 CONFIG_DEVMEM 配置选项,以限制对系统内存的特权访问。
  • 添加了在启动期间将更多调试信息记录到串行控制台的行为。

修复的问题

  • 修复了在 Kubernetes 活跃性探测中发现的 问题
  • 将 docker.service 配置为始终在 10 秒后重启 Docker。
  • 修复了 Docker 和 containerd 之间的竞态条件导致 Docker 实时恢复失败的问题。
  • 将 fs.inotify.max_user_instances 增加到了 1024。
  • 将 containerd 配置为以独立 systemd 服务的形式运行。

软件包更新

  • 将内置 kubelet 升级到了 v1.13.3。
  • 将 containerd 升级到了 v1.2.5。
  • 将 openssl 升级到了 1.0.2q。
  • 将 Docker 升级到了 18.09.3。
  • 安装了 pigz 软件包,以便更快地下载 Docker 映像。
  • 安装了 keyutils 软件包。
  • 安装了 sosreport 软件包。