Notas de lançamento do SO otimizado para contentores: Milestone 77

cos-77-12371-1109-0

• CVE-2020-29660 corrigida no kernel do Linux.
• CVE-2020-29661 corrigida no kernel do Linux.

cos-77-12371-1105-0

• Foi corrigido o CVE-2020-15257 no containerd.

cos-77-12371-1096-0

• Foi corrigido o CVE-2020-14356.

cos-77-12371-1088-0

• Foram adicionados novamente módulos carregáveis PPP, que foram removidos no COS 77-12371-1072-0.
• Movemos a configuração "registry-mirrors" do Docker para a linha de comandos do dockerd para resolver erros de aprovisionamento do cluster do Kubernetes.

cos-77-12371-1086-0

• Movemos a configuração da opção "registry-mirrors" do Docker da linha de comandos do dockerd para /etc/docker/daemon.json. Isto deve permitir que os utilizadores configurem um espelho de registo personalizado, o que pode ser útil quando respondem a alterações recentes do plano gratuito do Docker Hub.
• Foi corrigida a CVE-2020-15157 no containerd.

cos-77-12371-1079-0

• Foi corrigida a vulnerabilidade CVE-2020-14386 do kernel do Linux através da correção de um problema de overflow de números inteiros em tpacket_rcv.

cos-77-12371-1073-0

• O utmp foi ativado no systemd para permitir a criação de ficheiros utmp.

cos-77-12371-1072-0

• CONFIG_PPP desativado para mitigar o CVE-2020-14416 do kernel do Linux.
• CVE-2020-15705 corrigido no grub.

cos-77-12371-1064-0

• Foi removido o daemon de métricas para resolver um problema em que, em alguns casos, causava picos de utilização da CPU periodicamente.

cos-77-12371-326-0

• Adicionou novamente o rsync à imagem, que foi removido no cos-dev-77-12293-0-0.
• Monte /var/lib/containerd com a opção exec.
• Movemos a origem do kernel para cos.googlesource.com.
• CVE-2019-9169 corrigido.

cos-77-12371-296-0

• A imagem do contentor base da caixa de ferramentas foi atualizada para incluir patches de segurança.

cos-77-12371-274-0

• Corrigimos alguns CVEs de início de sessão no SO: CVE-2020-8903, CVE-2020-8907 e CVE-2020-8933.

cos-77-12371-273-0

• Foi corrigido um erro do agente do Stackdriver Monitoring em que nem todas as partições de disco montadas tinham a respetiva utilização comunicada.

cos-77-12371-251-0

• Foi corrigido um erro do kernel em que os programas eBPF podem causar bloqueios temporários.

cos-77-12371-233-0

• Desativou `accept_ra` em todas as interfaces por predefinição.

cos-77-12371-227-0

• Atualizou o kernel do Linux para a versão 4.19.112.
• Foi aplicada a patch ba0d56f55 do systemd para resolver um problema que resultava em unidades de montagem com fugas.

cos-77-12371-208-0

• NETFILTER_XT_MATCH_SOCKET ativado.
• Corrigimos um erro em que o DHCP não era iniciado após as oscilações da ligação.
• Foi removido o limite de tamanho em /etc/ para corrigir a falha de criação do cluster devido ao grande número de suplementos.
• Atualizou o kernel do Linux para a versão 4.19.109.

cos-77-12371-183-0

• Atualizou o kernel do Linux para a versão 4.19.104.
• Corrigido o erro de skb vazio de TCP na extremidade da fila de escrita no kernel.

cos-77-12371-175-0

• Ativou algumas opções de QoS e Fair Queuing no kernel do Linux.
• Atualizou o kernel do Linux para a versão 4.19.102.
• O runc foi atualizado para a versão 1.0.0-rc10. Isto resolve o CVE-2019-19921.

cos-77-12371-141-0

• Correção transferida para versões anteriores para o kernel do Linux CVE-2019-19072.
• Foi corrigido um problema de limitação da quota do CFS.
• Atualizou o kernel do Linux para a versão 4.19.91.

cos-77-12371-114-0

• Increased sysctl net.ipv4.tcp_limit_output_bytes to 1048576.
• Foi corrigido o problema de geração de 8 processos de estado do runc para cada execução no containerd. Isto estava a gerar uma utilização elevada da CPU.
• Foi corrigida a criação desnecessária de duas divisões de teste separadas (resultando num total de 4 mensagens de registo do systemd + sobrecarga de tempo de execução) para cada execução do runc.
• Foi corrigido um problema no runc que resultava num consumo desnecessário da CPU. Atualizou o kernel do Linux para a versão 4.19.80.
• Foi corrigida uma regressão de desempenho no programador completamente justo (CFS).

cos-77-12371-89-0

• O kernel do Linux foi atualizado para a versão 4.19.76.
• Foi feita uma porta traseira de um patch do kernel para garantir que a relação de quota/período do cgroup cfs permanece sempre igual. Isto resolve um problema do Kubernetes em que o grupo de controlo do pod podia ser alterado para um estado inconsistente.
• Foi feita uma porta traseira de um patch do kernel para corrigir a regressão do desempenho no aumento/diminuição da escala do wbt.

cos-77-12371-76-0 (vs Milestone 73)

Novas funcionalidades

• Ativou a VM protegida por predefinição. O arranque seguro não está ativado por predefinição.
• Ativou o modo híbrido cgroup v2 no systemd.
• Foi adicionado suporte para o controlador virtio balloon.
• Adição do pacote node-problem-detector.
• Foi adicionado o pacote conntrack-tools.
• Foi adicionado o pacote xfsprogs.

Atualizações de pacotes

• O systemd foi atualizado para a versão 239.
• Atualizou o kernel do Linux para a versão 4.19.
• O Docker foi atualizado para a versão 19.03.
• O Kubelet foi atualizado para a versão 1.15.
• Atualizou os compute-image-packages para a versão 20190304.
• Atualizou o openssl para a versão 1.0.2r.
• O openssh foi atualizado para a versão 7.9p1.
• O compilador do kernel foi alterado de gcc para clang.