Note di rilascio di Container-Optimized OS: Milestone 77

cos-77-12371-1109-0

• Correzione di CVE-2020-29660 nel kernel Linux.
• Correzione di CVE-2020-29661 nel kernel Linux.

cos-77-12371-1105-0

• È stato corretto CVE-2020-15257 in containerd.

cos-77-12371-1096-0

• Correzione di CVE-2020-14356.

cos-77-12371-1088-0

• Sono stati riaggiunti i moduli caricabili PPP, che erano stati rimossi in cos-77-12371-1072-0.
• Spostata la configurazione "registry-mirrors" di Docker nella riga di comando dockerd per risolvere gli errori di provisioning del cluster Kubernetes.

cos-77-12371-1086-0

• È stata spostata la configurazione dell'opzione "registry-mirrors" di Docker dalla riga di comando dockerd a /etc/docker/daemon.json. In questo modo gli utenti possono configurare un mirror del registro personalizzato, il che può essere utile per rispondere alle recenti modifiche al piano gratuito di Docker Hub.
• È stato corretto CVE-2020-15157 in containerd.

cos-77-12371-1079-0

• Correzione della vulnerabilità del kernel Linux CVE-2020-14386 mediante la correzione di un problema di overflow di numeri interi in tpacket_rcv.

cos-77-12371-1073-0

• È stato attivato utmp in systemd per consentire la creazione di file utmp.

cos-77-12371-1072-0

• È stato disattivato CONFIG_PPP per mitigare la vulnerabilità CVE-2020-14416 del kernel Linux.
• È stato corretto CVE-2020-15705 in grub.

cos-77-12371-1064-0

• Rimosso il daemon delle metriche per risolvere un problema per cui in alcuni casi causava periodicamente picchi di utilizzo della CPU.

cos-77-12371-326-0

• È stato aggiunto di nuovo rsync all'immagine, che era stato rimosso in cos-dev-77-12293-0-0.
• Monta /var/lib/containerd con l'opzione exec.
• La sorgente del kernel è stata spostata su cos.googlesource.com.
• Correzione di CVE-2019-9169.

cos-77-12371-296-0

• È stata aggiornata l'immagine container di base della toolbox per includere patch di sicurezza.

cos-77-12371-274-0

• Sono stati corretti alcuni CVE di OS Login: CVE-2020-8903, CVE-2020-8907, CVE-2020-8933.

cos-77-12371-273-0

• È stato corretto un bug dell'agente Stackdriver Monitoring per cui non veniva segnalato l'utilizzo di tutte le partizioni del disco montate.

cos-77-12371-251-0

• È stato corretto un bug del kernel in cui i programmi eBPF possono causare softlockup.

cos-77-12371-233-0

• Disattivato `accept_ra` su tutte le interfacce per impostazione predefinita.

cos-77-12371-227-0

• È stato eseguito l'upgrade del kernel Linux alla versione 4.19.112.
• È stato eseguito il backporting della patch systemd ba0d56f55 per risolvere un problema che causava la perdita di unità di montaggio.

cos-77-12371-208-0

• NETFILTER_XT_MATCH_SOCKET abilitato.
• È stato corretto un bug per cui il DHCP non viene avviato dopo i link flap.
• È stato rimosso il limite di dimensioni su /etc/ per risolvere l'errore di creazione del cluster dovuto al numero elevato di componenti aggiuntivi.
• È stato eseguito l'upgrade del kernel Linux alla versione 4.19.109.

cos-77-12371-183-0

• È stato eseguito l'upgrade del kernel Linux alla versione 4.19.104.
• È stato corretto il bug relativo al buffer skb TCP vuoto alla fine della coda di scrittura nel kernel.

cos-77-12371-175-0

• Sono state attivate alcune opzioni di QoS e Fair Queuing nel kernel Linux.
• È stato eseguito l'upgrade del kernel Linux alla versione 4.19.102.
• Upgrade di runc alla versione 1.0.0-rc10. In questo modo viene risolto il problema CVE-2019-19921.

cos-77-12371-141-0

• Correzione di backporting per CVE-2019-19072 del kernel Linux.
• È stato risolto il problema di limitazione della quota CFS.
• È stato eseguito l'upgrade del kernel Linux alla versione 4.19.91.

cos-77-12371-114-0

• Aumentato sysctl net.ipv4.tcp_limit_output_bytes a 1048576.
• Risolto il problema della generazione di 8 processi di stato runc per ogni esecuzione su containerd. Ciò ha comportato un utilizzo elevato della CPU.
• È stata corretta la creazione non necessaria di due sezioni di test separate (con conseguente generazione di 4 messaggi di log systemd totali + sovraccarico di runtime) per ogni esecuzione di runc.
• Risolto un problema in runc che causava un consumo eccessivo di CPU. È stato eseguito l'upgrade del kernel Linux alla versione 4.19.80.
• È stata corretta una regressione delle prestazioni nello scheduler completamente equo (CFS).

cos-77-12371-89-0

• È stato eseguito l'upgrade del kernel Linux alla versione 4.19.76.
• È stato eseguito il backporting di una patch del kernel per garantire che il rapporto tra quota e periodo del cgroup cfs rimanga sempre lo stesso. In questo modo viene risolto un problema di Kubernetes in cui il cgroup del pod potrebbe essere modificato in uno stato incoerente.
• È stato eseguito il backporting di una patch del kernel per correggere la regressione delle prestazioni in wbt scale_up/scale_down.

cos-77-12371-76-0 (rispetto a Milestone 73)

Nuove funzionalità

• Shielded VM è abilitata per impostazione predefinita. L'avvio protetto non è abilitato per impostazione predefinita.
• È stata attivata la modalità ibrida cgroup v2 in systemd.
• È stato aggiunto il supporto per il driver virtio balloon.
• È stato aggiunto il pacchetto node-problem-detector.
• È stato aggiunto il pacchetto conntrack-tools.
• Aggiunto il pacchetto xfsprogs.

Aggiornamenti dei pacchetti

• Upgrade di systemd alla versione 239.
• Upgrade del kernel Linux alla versione 4.19.
• Upgrade di Docker alla versione 19.03.
• È stato eseguito l'upgrade di Kubelet alla versione 1.15.
• È stato eseguito l'upgrade di compute-image-packages alla versione 20190304.
• Upgrade di openssl alla versione 1.0.2r.
• Upgrade di openssh alla versione 7.9p1.
• Il compilatore del kernel è passato da gcc a clang.