Foi corrigida a vulnerabilidade CVE-2020-14386 do kernel do Linux através da correção de um problema de overflow de números inteiros em tpacket_rcv.
cos-73-11647-600-0
Data: 13 de julho de 2020
Movemos a origem do kernel para cos.googlesource.com.
/var/lib/containerd montado com a opção exec.
Foi corrigido o problema em que bprm->vma_pages impedia a captura de todas as páginas da pilha.
cos-73-11647-534-0
Data: 7 de maio de 2020
Reconstrução da imagem para resolver um problema de infraestrutura. Nenhuma alteração de imagem.
cos-73-11647-510-0
Data: 13 de abril de 2020
Desativou `accept_ra` em todas as interfaces por predefinição.
O OpenSSH foi atualizado para a versão 7.9_p1 para corrigir o CVE-2018-15473.
cos-73-11647-501-0
Data: 05 de abril de 2020
Atualizou o kernel do Linux para a versão 4.14.174.
Foi aplicada a patch ba0d56f55 do systemd para resolver um problema que resultava em unidades de montagem com fugas.
cos-73-11647-459-0
Data: 21 de fevereiro de 2020
Corrigido o erro de skb vazio de TCP na extremidade da fila de escrita no kernel.
Atualizou o kernel do Linux para a versão 4.14.171.
cos-73-11647-449-0
Data: 12 de fevereiro de 2020
O runc foi atualizado para a versão 1.0.0-rc10. Isto resolve o CVE-2019-19921.
O kernel do Linux foi atualizado para a versão 4.14.170.
cos-73-11647-415-0
Data: 07 de janeiro de 2020
Foi corrigido um problema de limitação da quota do CFS.
Aumente o sysctl net.ipv4.tcp_limit_output_bytes para 1048576.
Atualizou o kernel do Linux para a versão 4.14.160.
cos-73-11647-348-0
Data: 28 de outubro de 2019
Atualizou o kernel do Linux para a versão 4.14.150.
Foi corrigida a criação desnecessária de duas divisões de teste separadas (resultando num total de 4 mensagens de registo do systemd + sobrecarga de tempo de execução) para cada execução do runc.
Foi corrigida uma regressão de desempenho no programador completamente justo (CFS).
cos-73-11647-338-0
Data: 21 de outubro de 2019
Foi corrigido um problema no systemd que resultava num consumo desnecessário da CPU.
Foi corrigido um problema no runc que resultava num consumo desnecessário da CPU.
cos-73-11647-329-0
Data: 08 de outubro de 2019
O kernel do Linux foi atualizado para a versão 4.14.145.
Foi feita uma porta traseira de um patch do kernel para garantir que a relação de quota/período do cgroup cfs permanece sempre igual. Isto resolve um problema do Kubernetes em que o cgroup do pod podia ser alterado para um estado inconsistente.
cos-73-11647-293-0
Data: 04 de setembro de 2019
O containerd foi atualizado para a versão 1.2.8.
Atualizou o kernel do Linux para a versão 4.14.138.
Patches de gravação de upstream com retrocompatibilidade para corrigir um problema de bloqueio temporário.
cos-73-11647-267-0
Data: 08 de agosto de 2019
Atualização do kernel do Linux para a versão 4.14.137. Isto resolve o CVE-2019-1125.
cos-73-11647-239-0
Data: 12 de julho de 2019
O Docker foi atualizado para a versão 18.09.7. Esta atualização resolve a CVE-2018-15664.
O runc foi atualizado para a versão 1.0.0_rc8.
O docker-proxy foi atualizado para a versão 0.8.0_p20190513.
cos-73-11647-231-0
Data: 2 de julho de 2019
O containerd foi atualizado para a versão 1.2.7.
Kernel atualizado para a versão v4.14.131.
Vulnerabilidade corrigida em app-arch/bzip2 (CVE-2019-12900).
Foi corrigido um problema introduzido pelas correções NFLX-2019-001.
cos-73-11647-217-0
Data: 19 de junho de 2019
Atualizámos o kernel do Linux para a versão 4.14.127 para resolver as vulnerabilidades TCP SACK NFLX-2019-001.
cos-73-11647-214-0
Data: 17 de junho de 2019
O kernel foi atualizado para a versão v4.14.124.
Conjunto de alterações de afinidade transferido para napi-tx.
cos-73-11647-192-0
Data: 28 de maio de 2019
O curl foi atualizado para a versão 7.64.1 para corrigir o CVE-2018-16890.
O containerd foi atualizado para a versão 1.2.6.
Defina a pontuação de OOM como -999 para docker.service e containerd.service para melhorar
a fiabilidade dos daemons do sistema principal.
Adicionámos uma política de reinício em containerd.service e corrigimos a dependência de docker.service em containerd.service para permitir que o containerd recupere de falhas.
Alterações de afinidade portadas para trás para suportar napi-tx no COS.
Patch upstream selecionado manualmente https://patchwork.kernel.org/patch/10951403/ no kernel para corrigir
um erro no lockd introduzido pela confirmação 01b79d20008d "lockd: Show pid of lockd for remote locks"
no kernel Linux v4.14.105.
Chaves rotadas usadas pelo arranque seguro UEFI para assinar e validar o caminho de arranque UEFI.
cos-73-11647-182-0
Data: 16 de maio de 2019
Foi incorporado o kernel estável do Linux "v4.14.119" para resolver as vulnerabilidades de amostragem de dados microarquitetónicos (MDS) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e CVE-2019-11091).
Foi mitigado um problema de bloqueio de montagem no kernel do Linux.
cos-73-11647-163-0
Data: 19 de abril de 2019
Defina LimitNOFILE como 1048576 em containerd.service para corrigir um problema em que o limite do descritor de ficheiros não estava a ser aplicado corretamente ao containerd.
cos-73-11647-121-0
Data: 01 de abril de 2019
Incluiu a ferramenta de desempenho na imagem.
Foi corrigido um erro que fazia com que o dockerd pudesse iniciar o containerd mesmo que o ficheiro
containerd.service existisse.
Foi corrigido um problema em que o Docker não preservava os UIDs/GIDs do processo de inicialização na execução.
cos-73-11647-112-0 (vs Milestone 69)
Data: 25 de março de 2019
Novas funcionalidades
Suporte adicionado para a recolha de despejos de falhas de sistema de memória do kernel.
Foi adicionado suporte para RAID e LVM.
Foi adicionado suporte para IPv6.
Foi adicionado suporte para iscsi e multipath no kernel.
Foi adicionado suporte para a assinatura de módulos do kernel.
As atualizações automáticas foram ativadas em VMs protegidas que nunca foram iniciadas no modo de arranque seguro. A atualização automática continua desativada nas VMs protegidas que foram iniciadas anteriormente no modo de arranque seguro.
Desativou a opção de configuração CONFIG_DEVMEM no kernel para restringir o acesso privilegiado à memória do sistema.
Comportamento adicionado para registar mais informações de depuração na consola
série durante o arranque.
Correções de erros
Foi corrigido um
problema observado nas sondagens de atividade do Kubernetes.
Configurou o docker.service para reiniciar sempre o Docker após 10 segundos.
Foi corrigido um problema em que uma condição de corrida entre o Docker e o containerd resultava numa falha na restauração em direto do Docker.
Aumento de fs.inotify.max_user_instances para 1024.
Configurou o containerd para ser executado como um serviço systemd autónomo.
Atualizações de pacotes
Atualizou o kubelet integrado para a versão 1.13.3.
O containerd foi atualizado para a versão 1.2.5.
O openssl foi atualizado para a versão 1.0.2q.
O Docker foi atualizado para a versão 18.09.3.
Instalámos o pacote pigz para transferências de imagens Docker mais rápidas.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eThis image family, cos-73-lts, was deprecated after June 19, 2020, and runs on Linux kernel 4.14.174, Kubernetes v1.13.3, and Docker v18.09.7.\u003c/p\u003e\n"],["\u003cp\u003eNumerous updates were implemented, including kernel upgrades, security fixes for various CVEs, and enhancements to system components like runc, containerd, and Docker.\u003c/p\u003e\n"],["\u003cp\u003eThe image received several bug fixes, including resolutions for issues in the kernel, systemd, runc, and Docker, as well as improvements to stability and performance, such as resolving CFS quota throttling.\u003c/p\u003e\n"],["\u003cp\u003eNew features were introduced, including kernel memory crash dump collection, RAID and LVM support, IPv6 support, iscsi/multipath kernel support, and kernel module signing, in addition to enhancing the logging of debugging information during boot.\u003c/p\u003e\n"],["\u003cp\u003eSeveral vulnerability fixes have been implemented for issues such as CVE-2020-14386, CVE-2018-15473, CVE-2019-19921, CVE-2019-1125, CVE-2018-15664, CVE-2019-12900, CVE-2018-16890, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, and CVE-2019-11091.\u003c/p\u003e\n"]]],[],null,["# Release Notes: Milestone 73\n\nCurrent Status\n--------------\n\nChangelog\n---------\n\n### cos-73-11647-656-0\n\n*Date: Sep 05, 2020*\n\n- Fixed Linux kernel vulnerability CVE-2020-14386 by fixing an integer overflow issue in tpacket_rcv.\n\n### cos-73-11647-600-0\n\n*Date: July 13, 2020*\n\n- Moved Kernel source to cos.googlesource.com.\n- Mounted /var/lib/containerd with exec option.\n- Fixed incorrect bprm-\\\u003evma_pages prevent capturing all stack pages.\n\n### cos-73-11647-534-0\n\n*Date: May 07, 2020*\n\n- Image rebuild to address an infrastructure issue. No image changes.\n\n### cos-73-11647-510-0\n\n*Date: Apr 13, 2020*\n\n- Disabled \\`accept_ra\\` on all interfaces by default.\n- Upgraded OpenSSH to 7.9_p1 to fix CVE-2018-15473.\n\n### cos-73-11647-501-0\n\n*Date: Apr 05, 2020*\n\n- Upgraded the Linux kernel to v4.14.174.\n- Backported systemd patch ba0d56f55 to address an issue that resulted in leaked mount units.\n\n### cos-73-11647-459-0\n\n*Date: Feb 21, 2020*\n\n- Fixed TCP empty skb at the tail of the write queue bug in kernel.\n- Upgraded the Linux kernel to v4.14.171.\n\n### cos-73-11647-449-0\n\n*Date: Feb 12, 2020*\n\n- Upgraded runc to 1.0.0-rc10. This resolves CVE-2019-19921.\n- Upgraded the Linux kernel to v4.14.170.\n\n### cos-73-11647-415-0\n\n*Date: Jan 07, 2020*\n\n- Fixed CFS quota throttling issue.\n- Increase sysctl net.ipv4.tcp_limit_output_bytes to 1048576.\n- Upgraded the Linux kernel to v4.14.160.\n\n### cos-73-11647-348-0\n\n*Date: Oct 28, 2019*\n\n- Upgraded the Linux kernel to v4.14.150.\n- Fixed the unnecessary creation of two separate test slices (resulting in 4 systemd log messages total + runtime overhead) for every runc execution.\n- Fixed a performance regression in completely fair scheduler (CFS).\n\n### cos-73-11647-338-0\n\n*Date: Oct 21, 2019*\n\n- Fixed an issue in systemd that resulted in unnecessary CPU consumption.\n- Fixed an issue in runc that resulted in unnecessary CPU consumption.\n\n### cos-73-11647-329-0\n\n*Date: Oct 08, 2019*\n\n- Upgraded the Linux kernel to 4.14.145.\n- Backported a kernel patch to ensure the cfs cgroup quota/period ratio always stays the same. This addresses a Kubernetes issue where the pod cgroup could be changed into an inconsistent state.\n\n### cos-73-11647-293-0\n\n*Date: Sep 04, 2019*\n\n- Upgraded containerd to v1.2.8.\n- Upgraded the Linux kernel to version 4.14.138.\n- Backported upstream writeback patches to fix a softlockup issue.\n\n### cos-73-11647-267-0\n\n*Date: Aug 08, 2019*\n\nUpgraded the Linux kernel to v4.14.137. This resolves CVE-2019-1125.\n\n### cos-73-11647-239-0\n\n*Date: Jul 12, 2019*\n\n- Upgraded Docker to version 18.09.7. This resolves CVE-2018-15664.\n- Upgraded runc to version 1.0.0_rc8.\n- Upgraded docker-proxy to version 0.8.0_p20190513.\n\n### cos-73-11647-231-0\n\n*Date: Jul 02, 2019*\n\n- Upgraded containerd to v1.2.7.\n- Updated kernel to version v4.14.131.\n- Fixed vulnerability in app-arch/bzip2 (CVE-2019-12900).\n- Fixed an issue introduced by NFLX-2019-001 fixes.\n\n### cos-73-11647-217-0\n\n*Date: Jun 19, 2019*\n\n- Updated the Linux kernel to version 4.14.127 to resolve the NFLX-2019-001 TCP SACK vulnerabilities.\n\n### cos-73-11647-214-0\n\n*Date: Jun 17, 2019*\n\n- Updated kernel to version v4.14.124.\n- Backported affinity change-set for napi-tx.\n\n### cos-73-11647-192-0\n\n*Date: May 28, 2019*\n\n- Upgraded curl to v7.64.1 to fix CVE-2018-16890.\n- Upgraded containerd to version 1.2.6.\n- Set OOM score to -999 for docker.service and containerd.service to enhance the reliability of core system daemons.\n- Add restart policy in containerd.service, and corrected docker.service's dependency on containerd.service to allow containerd to recover from crashes.\n- Backported affinity changes to support napi-tx in COS.\n- Cherry-picked upstream patch https://patchwork.kernel.org/patch/10951403/ in kernel to fix a bug in lockd introduced by commit 01b79d20008d \"lockd: Show pid of lockd for remote locks\" in Linux kernel v4.14.105.\n- Rotated keys used by UEFI Secure Boot for signing and verifying the UEFI boot path.\n\n### cos-73-11647-182-0\n\n*Date: May 16, 2019*\n\n- Merged Linux Stable Kernel 'v4.14.119' for resolving Microarchitectural Data Sampling (MDS) vulnerabilities (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).\n- Mitigated a mount hang issue in the Linux kernel.\n\n### cos-73-11647-163-0\n\n*Date: Apr 19, 2019*\n\n- Set LimitNOFILE to 1048576 in containerd.service to fix an issue where the file descriptor limit was not being properly applied to containerd.\n\n### cos-73-11647-121-0\n\n*Date: Apr 01, 2019*\n\n- Included perf tool in the image.\n- Fixed a bug that dockerd may start containerd even if containerd.service exists.\n- Fixed an issue where Docker did not preserve the UIDs/GIDs of the init process on exec.\n\n### cos-73-11647-112-0 (vs Milestone 69)\n\n*Date: Mar 25, 2019*\n\n#### New features\n\n- Added support for collecting kernel memory crash dumps.\n- Added support for RAID and LVM.\n- Added support for IPv6.\n- Added support for iscsi and multipath in the kernel.\n- Added support for kernel module signing.\n- Enabled auto updates on Shielded VMs that have never booted in secure boot mode. Auto update is still disabled on Shielded VMs that have previously booted in secure boot mode.\n- Disabled the CONFIG_DEVMEM configuration option in the kernel to restrict privileged access to system memory.\n- Added behavior for logging more debugging information to the serial console during boot.\n\n#### Bug fixes\n\n- Fixed an [issue](https://github.com/opencontainers/runc/issues/1884) observed in Kubernetes liveness probes.\n- Configured docker.service to always restart Docker after 10 seconds.\n- Fixed an issue where a race condition between Docker and containerd resulted in a Docker live restore failure.\n- Increased fs.inotify.max_user_instances to 1024.\n- Configured containerd to run as a standalone systemd service.\n\n#### Package updates\n\n- Upgraded the built-in kubelet to v1.13.3.\n- Upgraded containerd to v1.2.5.\n- Upgraded openssl to 1.0.2q.\n- Upgraded Docker to 18.09.3.\n- Installed the pigz package for faster Docker image downloads.\n- Installed the keyutils package.\n- Installed the sosreport package."]]
