Se ha corregido la vulnerabilidad CVE-2020-14386 del kernel de Linux solucionando un problema de desbordamiento de enteros en tpacket_rcv.
cos-73-11647-600-0
Fecha: 13 de julio del 2020
Se ha movido la fuente del kernel a cos.googlesource.com.
Se ha montado /var/lib/containerd con la opción exec.
Se ha corregido el error bprm->vma_pages que impedía capturar todas las páginas de la pila.
cos-73-11647-534-0
Fecha: 7 de mayo del 2020
Recompilación de la imagen para solucionar un problema de infraestructura. No se han cambiado las imágenes.
cos-73-11647-510-0
Fecha: 13 de abril del 2020
Se ha inhabilitado `accept_ra` en todas las interfaces de forma predeterminada.
OpenSSH actualizado a la versión 7.9_p1 para corregir CVE-2018-15473.
cos-73-11647-501-0
Fecha: 5 de abril del 2020
Se ha actualizado el kernel de Linux a la versión 4.14.174.
Se ha aplicado la versión anterior del parche ba0d56f55 de systemd para solucionar un problema que provocaba que se filtraran unidades de montaje.
cos-73-11647-459-0
Fecha: 21 de febrero del 2020
Se ha corregido un error de skb vacío de TCP al final de la cola de escritura en el kernel.
Se ha actualizado el kernel de Linux a la versión 4.14.171.
cos-73-11647-449-0
Fecha: 12 de febrero del 2020
Se ha actualizado runc a la versión 1.0.0-rc10. Se ha resuelto la vulnerabilidad CVE-2019-19921.
Se ha actualizado el kernel de Linux a la versión 4.14.170.
cos-73-11647-415-0
Fecha: 7 de enero del 2020
Se ha corregido un problema de limitación de cuota de CFS.
Aumenta el valor de sysctl net.ipv4.tcp_limit_output_bytes a 1048576.
Se ha actualizado el kernel de Linux a la versión 4.14.160.
cos-73-11647-348-0
Fecha: 28 de octubre del 2019
Se ha actualizado el kernel de Linux a la versión 4.14.150.
Se ha corregido la creación innecesaria de dos slices de prueba independientes (lo que daba como resultado 4 mensajes de registro de systemd en total + sobrecarga de tiempo de ejecución) para cada ejecución de runc.
Se ha corregido una regresión del rendimiento en el programador completamente justo (CFS).
cos-73-11647-338-0
Fecha: 21 de octubre del 2019
Se ha corregido un problema en systemd que provocaba un consumo innecesario de CPU.
Se ha corregido un problema en runc que provocaba un consumo innecesario de CPU.
cos-73-11647-329-0
Fecha: 8 de octubre del 2019
Se ha actualizado el kernel de Linux a la versión 4.14.145.
Se ha aplicado una versión anterior de un parche del kernel para asegurarse de que la relación entre la cuota y el periodo de cgroup de CFS siempre sea la misma. Se ha solucionado un problema de Kubernetes que podía provocar que el cgroup del pod pasara a un estado incoherente.
cos-73-11647-293-0
Fecha: 4 de septiembre del 2019
Se ha actualizado containerd a la versión 1.2.8.
Se ha actualizado el kernel de Linux a la versión 4.14.138.
Se han aplicado parches de escritura de versiones anteriores para solucionar un problema de bloqueo parcial.
cos-73-11647-267-0
Fecha: 8 de agosto del 2019
Se ha actualizado el kernel de Linux a la versión 4.14.137. Se ha solucionado la vulnerabilidad CVE-2019-1125.
cos-73-11647-239-0
Fecha: 12 de julio del 2019
Se ha actualizado Docker a la versión 18.09.7. Se resuelve CVE-2018-15664.
Se ha actualizado runc a la versión 1.0.0_rc8.
Se ha actualizado docker-proxy a la versión 0.8.0_p20190513.
cos-73-11647-231-0
Fecha: 2 de julio del 2019
Se ha actualizado containerd a la versión 1.2.7.
Se ha actualizado el kernel a la versión 4.14.131.
Se ha corregido la vulnerabilidad en app-arch/bzip2 (CVE-2019-12900).
Se ha corregido un problema introducido por las correcciones de NFLX-2019-001.
cos-73-11647-217-0
Fecha: 19 de junio del 2019
Se ha actualizado el kernel de Linux a la versión 4.14.127 para resolver las vulnerabilidades de TCP SACK NFLX-2019-001.
cos-73-11647-214-0
Fecha: 17 de junio del 2019
Se ha actualizado el kernel a la versión v4.14.124.
Se ha aplicado una versión anterior del conjunto de cambios de afinidad para napi-tx.
cos-73-11647-192-0
Fecha: 28 de mayo del 2019
Se ha actualizado curl a la versión 7.64.1 para corregir CVE-2018-16890.
Se ha actualizado containerd a la versión 1.2.6.
Define la puntuación OOM en -999 para docker.service y containerd.service para mejorar la fiabilidad de los daemons del sistema principal.
Se ha añadido una política de reinicio en containerd.service y se ha corregido la dependencia de docker.service en containerd.service para permitir que containerd se recupere de los fallos.
Se han aplicado cambios de afinidad para admitir napi-tx en COS.
Se ha seleccionado el parche upstream https://patchwork.kernel.org/patch/10951403/ en el kernel para corregir
un error en lockd introducido por la confirmación 01b79d20008d "lockd: Show pid of lockd for remote locks"
en el kernel de Linux v4.14.105.
Claves rotadas que usa el arranque seguro de UEFI para firmar y verificar la ruta de arranque de UEFI.
cos-73-11647-182-0
Fecha: 16 de mayo del 2019
Se ha combinado el kernel estable de Linux "v4.14.119" para resolver las vulnerabilidades de muestreo de datos microarquitectónicos (MDS) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 y CVE-2019-11091).
Se ha mitigado un problema de bloqueo de montaje en el kernel de Linux.
cos-73-11647-163-0
Fecha: 19 de abril del 2019
Se ha definido LimitNOFILE en 1048576 en containerd.service para solucionar un problema por el que el límite de descriptores de archivos no se aplicaba correctamente a containerd.
cos-73-11647-121-0
Fecha: 1 de abril del 2019
Herramienta de rendimiento incluida en la imagen.
Se ha corregido un error que provocaba que dockerd pudiera iniciar containerd aunque existiera containerd.service.
Se ha corregido un problema que provocaba que Docker no conservara los UIDs o GIDs del proceso init en exec.
cos-73-11647-112-0 (en comparación con la versión 69)
Fecha: 25 de marzo del 2019
Nuevas funciones
Se ha añadido la opción de recoger volcados de memoria de fallos del kernel.
Se ha añadido compatibilidad con RAID y LVM.
Se ha añadido compatibilidad con IPv6.
Se ha añadido compatibilidad con iscsi y multipath en el kernel.
Se ha añadido compatibilidad con la firma de módulos del kernel.
Se han habilitado las actualizaciones automáticas en las VMs blindadas que nunca se han iniciado en modo de arranque seguro. La actualización automática sigue inhabilitada en las VMs blindadas que se hayan iniciado anteriormente en modo de arranque seguro.
Se ha inhabilitado la opción de configuración CONFIG_DEVMEM en el kernel para restringir el acceso privilegiado a la memoria del sistema.
Se ha añadido un comportamiento para registrar más información de depuración en la consola serie durante el arranque.
Corrección de errores
Se ha corregido un
problema observado en las comprobaciones de vivacidad (liveness) de Kubernetes.
Se ha configurado docker.service para que reinicie Docker siempre después de 10 segundos.
Se ha corregido un problema que provocaba que, debido a una condición de carrera entre Docker y containerd, se produjera un error en la restauración activa de Docker.
Se ha aumentado fs.inotify.max_user_instances a 1024.
Se ha configurado containerd para que se ejecute como un servicio systemd independiente.
Actualizaciones de paquetes
Se ha actualizado el kubelet integrado a la versión 1.13.3.
Se ha actualizado containerd a la versión 1.2.5.
Se ha actualizado openssl a la versión 1.0.2q.
Se ha actualizado Docker a la versión 18.09.3.
Se ha instalado el paquete pigz para descargar imágenes de Docker más rápido.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["\u003cp\u003eThis image family, cos-73-lts, was deprecated after June 19, 2020, and runs on Linux kernel 4.14.174, Kubernetes v1.13.3, and Docker v18.09.7.\u003c/p\u003e\n"],["\u003cp\u003eNumerous updates were implemented, including kernel upgrades, security fixes for various CVEs, and enhancements to system components like runc, containerd, and Docker.\u003c/p\u003e\n"],["\u003cp\u003eThe image received several bug fixes, including resolutions for issues in the kernel, systemd, runc, and Docker, as well as improvements to stability and performance, such as resolving CFS quota throttling.\u003c/p\u003e\n"],["\u003cp\u003eNew features were introduced, including kernel memory crash dump collection, RAID and LVM support, IPv6 support, iscsi/multipath kernel support, and kernel module signing, in addition to enhancing the logging of debugging information during boot.\u003c/p\u003e\n"],["\u003cp\u003eSeveral vulnerability fixes have been implemented for issues such as CVE-2020-14386, CVE-2018-15473, CVE-2019-19921, CVE-2019-1125, CVE-2018-15664, CVE-2019-12900, CVE-2018-16890, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, and CVE-2019-11091.\u003c/p\u003e\n"]]],[],null,["# Release Notes: Milestone 73\n\nCurrent Status\n--------------\n\nChangelog\n---------\n\n### cos-73-11647-656-0\n\n*Date: Sep 05, 2020*\n\n- Fixed Linux kernel vulnerability CVE-2020-14386 by fixing an integer overflow issue in tpacket_rcv.\n\n### cos-73-11647-600-0\n\n*Date: July 13, 2020*\n\n- Moved Kernel source to cos.googlesource.com.\n- Mounted /var/lib/containerd with exec option.\n- Fixed incorrect bprm-\\\u003evma_pages prevent capturing all stack pages.\n\n### cos-73-11647-534-0\n\n*Date: May 07, 2020*\n\n- Image rebuild to address an infrastructure issue. No image changes.\n\n### cos-73-11647-510-0\n\n*Date: Apr 13, 2020*\n\n- Disabled \\`accept_ra\\` on all interfaces by default.\n- Upgraded OpenSSH to 7.9_p1 to fix CVE-2018-15473.\n\n### cos-73-11647-501-0\n\n*Date: Apr 05, 2020*\n\n- Upgraded the Linux kernel to v4.14.174.\n- Backported systemd patch ba0d56f55 to address an issue that resulted in leaked mount units.\n\n### cos-73-11647-459-0\n\n*Date: Feb 21, 2020*\n\n- Fixed TCP empty skb at the tail of the write queue bug in kernel.\n- Upgraded the Linux kernel to v4.14.171.\n\n### cos-73-11647-449-0\n\n*Date: Feb 12, 2020*\n\n- Upgraded runc to 1.0.0-rc10. This resolves CVE-2019-19921.\n- Upgraded the Linux kernel to v4.14.170.\n\n### cos-73-11647-415-0\n\n*Date: Jan 07, 2020*\n\n- Fixed CFS quota throttling issue.\n- Increase sysctl net.ipv4.tcp_limit_output_bytes to 1048576.\n- Upgraded the Linux kernel to v4.14.160.\n\n### cos-73-11647-348-0\n\n*Date: Oct 28, 2019*\n\n- Upgraded the Linux kernel to v4.14.150.\n- Fixed the unnecessary creation of two separate test slices (resulting in 4 systemd log messages total + runtime overhead) for every runc execution.\n- Fixed a performance regression in completely fair scheduler (CFS).\n\n### cos-73-11647-338-0\n\n*Date: Oct 21, 2019*\n\n- Fixed an issue in systemd that resulted in unnecessary CPU consumption.\n- Fixed an issue in runc that resulted in unnecessary CPU consumption.\n\n### cos-73-11647-329-0\n\n*Date: Oct 08, 2019*\n\n- Upgraded the Linux kernel to 4.14.145.\n- Backported a kernel patch to ensure the cfs cgroup quota/period ratio always stays the same. This addresses a Kubernetes issue where the pod cgroup could be changed into an inconsistent state.\n\n### cos-73-11647-293-0\n\n*Date: Sep 04, 2019*\n\n- Upgraded containerd to v1.2.8.\n- Upgraded the Linux kernel to version 4.14.138.\n- Backported upstream writeback patches to fix a softlockup issue.\n\n### cos-73-11647-267-0\n\n*Date: Aug 08, 2019*\n\nUpgraded the Linux kernel to v4.14.137. This resolves CVE-2019-1125.\n\n### cos-73-11647-239-0\n\n*Date: Jul 12, 2019*\n\n- Upgraded Docker to version 18.09.7. This resolves CVE-2018-15664.\n- Upgraded runc to version 1.0.0_rc8.\n- Upgraded docker-proxy to version 0.8.0_p20190513.\n\n### cos-73-11647-231-0\n\n*Date: Jul 02, 2019*\n\n- Upgraded containerd to v1.2.7.\n- Updated kernel to version v4.14.131.\n- Fixed vulnerability in app-arch/bzip2 (CVE-2019-12900).\n- Fixed an issue introduced by NFLX-2019-001 fixes.\n\n### cos-73-11647-217-0\n\n*Date: Jun 19, 2019*\n\n- Updated the Linux kernel to version 4.14.127 to resolve the NFLX-2019-001 TCP SACK vulnerabilities.\n\n### cos-73-11647-214-0\n\n*Date: Jun 17, 2019*\n\n- Updated kernel to version v4.14.124.\n- Backported affinity change-set for napi-tx.\n\n### cos-73-11647-192-0\n\n*Date: May 28, 2019*\n\n- Upgraded curl to v7.64.1 to fix CVE-2018-16890.\n- Upgraded containerd to version 1.2.6.\n- Set OOM score to -999 for docker.service and containerd.service to enhance the reliability of core system daemons.\n- Add restart policy in containerd.service, and corrected docker.service's dependency on containerd.service to allow containerd to recover from crashes.\n- Backported affinity changes to support napi-tx in COS.\n- Cherry-picked upstream patch https://patchwork.kernel.org/patch/10951403/ in kernel to fix a bug in lockd introduced by commit 01b79d20008d \"lockd: Show pid of lockd for remote locks\" in Linux kernel v4.14.105.\n- Rotated keys used by UEFI Secure Boot for signing and verifying the UEFI boot path.\n\n### cos-73-11647-182-0\n\n*Date: May 16, 2019*\n\n- Merged Linux Stable Kernel 'v4.14.119' for resolving Microarchitectural Data Sampling (MDS) vulnerabilities (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).\n- Mitigated a mount hang issue in the Linux kernel.\n\n### cos-73-11647-163-0\n\n*Date: Apr 19, 2019*\n\n- Set LimitNOFILE to 1048576 in containerd.service to fix an issue where the file descriptor limit was not being properly applied to containerd.\n\n### cos-73-11647-121-0\n\n*Date: Apr 01, 2019*\n\n- Included perf tool in the image.\n- Fixed a bug that dockerd may start containerd even if containerd.service exists.\n- Fixed an issue where Docker did not preserve the UIDs/GIDs of the init process on exec.\n\n### cos-73-11647-112-0 (vs Milestone 69)\n\n*Date: Mar 25, 2019*\n\n#### New features\n\n- Added support for collecting kernel memory crash dumps.\n- Added support for RAID and LVM.\n- Added support for IPv6.\n- Added support for iscsi and multipath in the kernel.\n- Added support for kernel module signing.\n- Enabled auto updates on Shielded VMs that have never booted in secure boot mode. Auto update is still disabled on Shielded VMs that have previously booted in secure boot mode.\n- Disabled the CONFIG_DEVMEM configuration option in the kernel to restrict privileged access to system memory.\n- Added behavior for logging more debugging information to the serial console during boot.\n\n#### Bug fixes\n\n- Fixed an [issue](https://github.com/opencontainers/runc/issues/1884) observed in Kubernetes liveness probes.\n- Configured docker.service to always restart Docker after 10 seconds.\n- Fixed an issue where a race condition between Docker and containerd resulted in a Docker live restore failure.\n- Increased fs.inotify.max_user_instances to 1024.\n- Configured containerd to run as a standalone systemd service.\n\n#### Package updates\n\n- Upgraded the built-in kubelet to v1.13.3.\n- Upgraded containerd to v1.2.5.\n- Upgraded openssl to 1.0.2q.\n- Upgraded Docker to 18.09.3.\n- Installed the pigz package for faster Docker image downloads.\n- Installed the keyutils package.\n- Installed the sosreport package."]]
