Container-Optimized OS Release Notes: Milestone 77

cos-77-12371-1109-0

• Se corrigió CVE-2020-29660 en el kernel de Linux.
• Se corrigió CVE-2020-29661 en el kernel de Linux.

cos-77-12371-1105-0

• Se corrigió CVE-2020-15257 en containerd.

cos-77-12371-1096-0

• Se corrigió CVE-2020-14356.

cos-77-12371-1088-0

• Se volvieron a agregar los módulos cargables de PPP, que se quitaron en cos-77-12371-1072-0.
• Se trasladó la configuración de "registry-mirrors" de Docker a la línea de comandos de dockerd para solucionar errores de aprovisionamiento del clúster de Kubernetes.

cos-77-12371-1086-0

• Se trasladó la configuración de la opción "registry-mirrors" de Docker de la línea de comandos de dockerd a /etc/docker/daemon.json. Esto debería permitir que los usuarios configuren una duplicación de registro personalizada, lo que puede ser útil para responder a los cambios recientes en el nivel gratuito de Docker Hub.
• Se corrigió CVE-2020-15157 en containerd.

cos-77-12371-1079-0

• Se corrigió la vulnerabilidad CVE-2020-14386 del kernel de Linux solucionando un problema de desbordamiento de números enteros en tpacket_rcv.

cos-77-12371-1073-0

• Se habilitó utmp en systemd para permitir la creación de archivos utmp.

cos-77-12371-1072-0

• Se inhabilitó CONFIG_PPP para mitigar la vulnerabilidad CVE-2020-14416 del kernel de Linux.
• Se corrigió CVE-2020-15705 en grub.

cos-77-12371-1064-0

• Se quitó el daemon de métricas para solucionar un problema por el que, en algunos casos, causaba picos periódicos en el uso de la CPU.

cos-77-12371-326-0

• Se volvió a agregar rsync a la imagen, que se había quitado en cos-dev-77-12293-0-0.
• Activa /var/lib/containerd con la opción exec.
• Se trasladó la fuente del kernel a cos.googlesource.com.
• Se corrigió CVE-2019-9169.

cos-77-12371-296-0

• Se actualizó la imagen base del contenedor de la caja de herramientas para incluir parches de seguridad.

cos-77-12371-274-0

• Se corrigieron algunas CVE de acceso con SO: CVE-2020-8903, CVE-2020-8907 y CVE-2020-8933.

cos-77-12371-273-0

• Se corrigió un error del agente de Stackdriver Monitoring en el que no se informaba el uso de todas las particiones de disco montadas.

cos-77-12371-251-0

• Se corrigió un error del kernel en el que los programas de eBPF podían causar bloqueos suaves.

cos-77-12371-233-0

• Se inhabilitó `accept_ra` en todas las interfaces de forma predeterminada.

cos-77-12371-227-0

• Se actualizó el kernel de Linux a la versión 4.19.112.
• Se adaptó el parche ba0d56f55 de systemd para solucionar un problema que provocaba la filtración de unidades de montaje.

cos-77-12371-208-0

• Se habilitó NETFILTER_XT_MATCH_SOCKET.
• Se corrigió un error por el que no se iniciaba el DHCP después de las fluctuaciones del vínculo.
• Se quitó el límite de tamaño en /etc/ para corregir la falla en la creación del clúster debido a la gran cantidad de complementos.
• Se actualizó el kernel de Linux a la versión 4.19.109.

cos-77-12371-183-0

• Se actualizó el kernel de Linux a la versión 4.19.104.
• Se corrigió un error de skb vacío de TCP en la cola de escritura del kernel.

cos-77-12371-175-0

• Se habilitaron algunas opciones de QoS y Fair Queuing en el kernel de Linux.
• Se actualizó el kernel de Linux a la versión 4.19.102.
• Se actualizó runc a la versión 1.0.0-rc10. Se resolvió la CVE-2019-19921.

cos-77-12371-141-0

• Se corrigió CVE-2019-19072 del kernel de Linux en versiones anteriores.
• Se corrigió el problema de limitación de cuota de CFS.
• Se actualizó el kernel de Linux a la versión 4.19.91.

cos-77-12371-114-0

• Se aumentó sysctl net.ipv4.tcp_limit_output_bytes a 1048576.
• Se solucionó el problema de generar 8 procesos de estado de runc para cada ejecución en containerd. Esto generaba una alta utilización de la CPU.
• Se corrigió la creación innecesaria de dos segmentos de prueba separados (lo que generaba un total de 4 mensajes de registro de systemd y una sobrecarga de tiempo de ejecución) para cada ejecución de runc.
• Se corrigió un problema en runc que provocaba un consumo innecesario de CPU. Se actualizó el kernel de Linux a la versión 4.19.80.
• Se corrigió una regresión de rendimiento en el programador completamente justo (CFS).

cos-77-12371-89-0

• Se actualizó el kernel de Linux a la versión 4.19.76.
• Se realizó un port a una versión anterior de un parche del kernel para garantizar que la relación entre la cuota y el período del cgroup de CFS siempre sea la misma. Esto soluciona un problema de Kubernetes en el que el cgroup del pod podía cambiar a un estado incoherente.
• Se realizó un port de una corrección del kernel para solucionar la regresión del rendimiento en el ajuste de escala vertical y horizontal de wbt.

cos-77-12371-76-0 (en comparación con el hito 73)

Funciones nuevas

• Se habilitó la VM protegida de forma predeterminada. El inicio seguro no está habilitado de forma predeterminada.
• Se habilitó el modo híbrido de cgroup v2 en systemd.
• Se agregó compatibilidad con el controlador de globo virtio.
• Se agregó el paquete node-problem-detector.
• Se agregó el paquete conntrack-tools.
• Se agregó el paquete xfsprogs.

Actualizaciones de paquetes

• Se actualizó systemd a la versión 239.
• Se actualizó el kernel de Linux a la versión 4.19.
• Se actualizó Docker a la versión 19.03.
• Se actualizó Kubelet a la versión 1.15.
• Se actualizó compute-image-packages a la versión 20190304.
• Se actualizó openssl a la versión 1.0.2r.
• Se actualizó openssh a la versión 7.9p1.
• Se cambió el compilador del kernel de gcc a clang.