Se corrigió la vulnerabilidad CVE-2020-14386 del kernel de Linux solucionando un problema de desbordamiento de números enteros en tpacket_rcv.
cos-73-11647-600-0
Fecha: 13 de julio de 2020
Se trasladó la fuente del kernel a cos.googlesource.com.
Se activó /var/lib/containerd con la opción exec.
Se corrigió el problema por el que bprm->vma_pages impedía capturar todas las páginas de la pila.
cos-73-11647-534-0
Fecha: 7 de mayo de 2020
Se recompiló la imagen para solucionar un problema de infraestructura. No se realizaron cambios en las imágenes.
cos-73-11647-510-0
Fecha: 13 de abril de 2020
Se inhabilitó `accept_ra` en todas las interfaces de forma predeterminada.
Se actualizó OpenSSH a 7.9_p1 para corregir CVE-2018-15473.
cos-73-11647-501-0
Fecha: 5 de abril de 2020
Se actualizó el kernel de Linux a la versión 4.14.174.
Se adaptó el parche ba0d56f55 de systemd para solucionar un problema que provocaba la filtración de unidades de montaje.
cos-73-11647-459-0
Fecha: 21 de febrero de 2020
Se corrigió un error de skb vacío de TCP en la cola de escritura del kernel.
Se actualizó el kernel de Linux a la versión 4.14.171.
cos-73-11647-449-0
Fecha: 12 de febrero de 2020
Se actualizó runc a la versión 1.0.0-rc10. Se resolvió la CVE-2019-19921.
Se actualizó el kernel de Linux a la versión 4.14.170.
cos-73-11647-415-0
Fecha: 7 de enero de 2020
Se corrigió el problema de limitación de cuota de CFS.
Aumenta sysctl net.ipv4.tcp_limit_output_bytes a 1048576.
Se actualizó el kernel de Linux a la versión 4.14.160.
cos-73-11647-348-0
Fecha: 28 de octubre de 2019
Se actualizó el kernel de Linux a la versión 4.14.150.
Se corrigió la creación innecesaria de dos segmentos de prueba separados (lo que generaba 4 mensajes de registro de systemd en total y una sobrecarga de tiempo de ejecución) para cada ejecución de runc.
Se corrigió una regresión de rendimiento en el programador completamente justo (CFS).
cos-73-11647-338-0
Fecha: 21 de octubre de 2019
Se corrigió un problema en systemd que generaba un consumo innecesario de CPU.
Se corrigió un problema en runc que provocaba un consumo innecesario de CPU.
cos-73-11647-329-0
Fecha: 8 de octubre de 2019
Se actualizó el kernel de Linux a la versión 4.14.145.
Se realizó un port a una versión anterior de un parche del kernel para garantizar que la relación entre la cuota y el período del cgroup de CFS siempre sea la misma. Esto soluciona un problema de Kubernetes en el que el cgroup del pod podía cambiar a un estado incoherente.
cos-73-11647-293-0
Fecha: 4 de septiembre de 2019
Se actualizó containerd a la versión 1.2.8.
Se actualizó el kernel de Linux a la versión 4.14.138.
Se portaron parches de escritura ascendentes para corregir un problema de bloqueo temporal.
cos-73-11647-267-0
Fecha: 8 de agosto de 2019
Se actualizó el kernel de Linux a la versión 4.14.137. Esto resuelve la CVE-2019-1125.
cos-73-11647-239-0
Fecha: 12 de julio de 2019
Se actualizó Docker a la versión 18.09.7. Esto resuelve la CVE-2018-15664.
Se actualizó runc a la versión 1.0.0_rc8.
Se actualizó docker-proxy a la versión 0.8.0_p20190513.
cos-73-11647-231-0
Fecha: 2 de julio de 2019
Se actualizó containerd a la versión 1.2.7.
Se actualizó el kernel a la versión v4.14.131.
Se corrigió la vulnerabilidad en app-arch/bzip2 (CVE-2019-12900).
Se corrigió un problema que se introdujo con las correcciones de NFLX-2019-001.
cos-73-11647-217-0
Fecha: 19 de junio de 2019
Se actualizó el kernel de Linux a la versión 4.14.127 para resolver las vulnerabilidades de TCP SACK de NFLX-2019-001.
cos-73-11647-214-0
Fecha: 17 de junio de 2019
Se actualizó el kernel a la versión v4.14.124.
Se realizó un port a versiones anteriores del conjunto de cambios de afinidad para napi-tx.
cos-73-11647-192-0
Fecha: 28 de mayo de 2019
Se actualizó curl a la versión 7.64.1 para corregir CVE-2018-16890.
Se actualizó containerd a la versión 1.2.6.
Se estableció la puntuación de OOM en -999 para docker.service y containerd.service con el objetivo de mejorar la confiabilidad de los daemons del sistema principal.
Se agregó la política de reinicio en containerd.service y se corrigió la dependencia de docker.service en containerd.service para permitir que containerd se recupere de fallas.
Se portaron cambios de afinidad para admitir napi-tx en COS.
Se seleccionó el parche upstream https://patchwork.kernel.org/patch/10951403/ en el kernel para corregir un error en lockd introducido por la confirmación 01b79d20008d "lockd: Show pid of lockd for remote locks" en el kernel de Linux v4.14.105.
Son las claves rotadas que usa el arranque seguro de UEFI para firmar y verificar la ruta de arranque de UEFI.
cos-73-11647-182-0
Fecha: 16 de mayo de 2019
Se fusionó el kernel estable de Linux "v4.14.119" para resolver las vulnerabilidades de Microarchitectural Data Sampling (MDS) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).
Se mitigó un problema de bloqueo de la conexión en el kernel de Linux.
cos-73-11647-163-0
Fecha: 19 de abril de 2019
Se estableció LimitNOFILE en 1048576 en containerd.service para corregir un problema por el que el límite de descriptores de archivos no se aplicaba correctamente a containerd.
cos-73-11647-121-0
Fecha: 1 de abril de 2019
Se incluye la herramienta de rendimiento en la imagen.
Se corrigió un error por el que dockerd podía iniciar containerd incluso si existía containerd.service.
Se corrigió un problema por el que Docker no conservaba los UID/GID del proceso init en exec.
cos-73-11647-112-0 (en comparación con el hito 69)
Fecha: 25 de marzo de 2019
Funciones nuevas
Se agregó compatibilidad para recopilar volcados de memoria del kernel en caso de fallas.
Se agregó compatibilidad con RAID y LVM.
Se agregó compatibilidad con IPv6.
Se agregó compatibilidad con iscsi y rutas múltiples en el kernel.
Se agregó compatibilidad con la firma de módulos del kernel.
Se habilitaron las actualizaciones automáticas en las VMs protegidas que nunca se iniciaron en modo de inicio seguro. La actualización automática sigue inhabilitada en las VMs protegidas que se iniciaron anteriormente en el modo de inicio seguro.
Se inhabilitó la opción de configuración CONFIG_DEVMEM en el kernel para restringir el acceso privilegiado a la memoria del sistema.
Se agregó comportamiento para registrar más información de depuración en la consola en serie durante el inicio.
Correcciones de errores
Se corrigió un
problema observado en los sondeos de estado en funcionamiento de Kubernetes.
Se configuró docker.service para que siempre reinicie Docker después de 10 segundos.
Se corrigió un problema por el que una condición de carrera entre Docker y containerd provocaba una falla en la restauración en vivo de Docker.
Se aumentó fs.inotify.max_user_instances a 1024.
Se configuró containerd para que se ejecute como un servicio systemd independiente.
Actualizaciones de paquetes
Se actualizó el kubelet integrado a la versión 1.13.3.
Se actualizó containerd a la versión 1.2.5.
Se actualizó openssl a la versión 1.0.2q.
Se actualizó Docker a la versión 18.09.3.
Se instaló el paquete pigz para acelerar las descargas de imágenes de Docker.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eThis image family, cos-73-lts, was deprecated after June 19, 2020, and runs on Linux kernel 4.14.174, Kubernetes v1.13.3, and Docker v18.09.7.\u003c/p\u003e\n"],["\u003cp\u003eNumerous updates were implemented, including kernel upgrades, security fixes for various CVEs, and enhancements to system components like runc, containerd, and Docker.\u003c/p\u003e\n"],["\u003cp\u003eThe image received several bug fixes, including resolutions for issues in the kernel, systemd, runc, and Docker, as well as improvements to stability and performance, such as resolving CFS quota throttling.\u003c/p\u003e\n"],["\u003cp\u003eNew features were introduced, including kernel memory crash dump collection, RAID and LVM support, IPv6 support, iscsi/multipath kernel support, and kernel module signing, in addition to enhancing the logging of debugging information during boot.\u003c/p\u003e\n"],["\u003cp\u003eSeveral vulnerability fixes have been implemented for issues such as CVE-2020-14386, CVE-2018-15473, CVE-2019-19921, CVE-2019-1125, CVE-2018-15664, CVE-2019-12900, CVE-2018-16890, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, and CVE-2019-11091.\u003c/p\u003e\n"]]],[],null,["# Release Notes: Milestone 73\n\nCurrent Status\n--------------\n\nChangelog\n---------\n\n### cos-73-11647-656-0\n\n*Date: Sep 05, 2020*\n\n- Fixed Linux kernel vulnerability CVE-2020-14386 by fixing an integer overflow issue in tpacket_rcv.\n\n### cos-73-11647-600-0\n\n*Date: July 13, 2020*\n\n- Moved Kernel source to cos.googlesource.com.\n- Mounted /var/lib/containerd with exec option.\n- Fixed incorrect bprm-\\\u003evma_pages prevent capturing all stack pages.\n\n### cos-73-11647-534-0\n\n*Date: May 07, 2020*\n\n- Image rebuild to address an infrastructure issue. No image changes.\n\n### cos-73-11647-510-0\n\n*Date: Apr 13, 2020*\n\n- Disabled \\`accept_ra\\` on all interfaces by default.\n- Upgraded OpenSSH to 7.9_p1 to fix CVE-2018-15473.\n\n### cos-73-11647-501-0\n\n*Date: Apr 05, 2020*\n\n- Upgraded the Linux kernel to v4.14.174.\n- Backported systemd patch ba0d56f55 to address an issue that resulted in leaked mount units.\n\n### cos-73-11647-459-0\n\n*Date: Feb 21, 2020*\n\n- Fixed TCP empty skb at the tail of the write queue bug in kernel.\n- Upgraded the Linux kernel to v4.14.171.\n\n### cos-73-11647-449-0\n\n*Date: Feb 12, 2020*\n\n- Upgraded runc to 1.0.0-rc10. This resolves CVE-2019-19921.\n- Upgraded the Linux kernel to v4.14.170.\n\n### cos-73-11647-415-0\n\n*Date: Jan 07, 2020*\n\n- Fixed CFS quota throttling issue.\n- Increase sysctl net.ipv4.tcp_limit_output_bytes to 1048576.\n- Upgraded the Linux kernel to v4.14.160.\n\n### cos-73-11647-348-0\n\n*Date: Oct 28, 2019*\n\n- Upgraded the Linux kernel to v4.14.150.\n- Fixed the unnecessary creation of two separate test slices (resulting in 4 systemd log messages total + runtime overhead) for every runc execution.\n- Fixed a performance regression in completely fair scheduler (CFS).\n\n### cos-73-11647-338-0\n\n*Date: Oct 21, 2019*\n\n- Fixed an issue in systemd that resulted in unnecessary CPU consumption.\n- Fixed an issue in runc that resulted in unnecessary CPU consumption.\n\n### cos-73-11647-329-0\n\n*Date: Oct 08, 2019*\n\n- Upgraded the Linux kernel to 4.14.145.\n- Backported a kernel patch to ensure the cfs cgroup quota/period ratio always stays the same. This addresses a Kubernetes issue where the pod cgroup could be changed into an inconsistent state.\n\n### cos-73-11647-293-0\n\n*Date: Sep 04, 2019*\n\n- Upgraded containerd to v1.2.8.\n- Upgraded the Linux kernel to version 4.14.138.\n- Backported upstream writeback patches to fix a softlockup issue.\n\n### cos-73-11647-267-0\n\n*Date: Aug 08, 2019*\n\nUpgraded the Linux kernel to v4.14.137. This resolves CVE-2019-1125.\n\n### cos-73-11647-239-0\n\n*Date: Jul 12, 2019*\n\n- Upgraded Docker to version 18.09.7. This resolves CVE-2018-15664.\n- Upgraded runc to version 1.0.0_rc8.\n- Upgraded docker-proxy to version 0.8.0_p20190513.\n\n### cos-73-11647-231-0\n\n*Date: Jul 02, 2019*\n\n- Upgraded containerd to v1.2.7.\n- Updated kernel to version v4.14.131.\n- Fixed vulnerability in app-arch/bzip2 (CVE-2019-12900).\n- Fixed an issue introduced by NFLX-2019-001 fixes.\n\n### cos-73-11647-217-0\n\n*Date: Jun 19, 2019*\n\n- Updated the Linux kernel to version 4.14.127 to resolve the NFLX-2019-001 TCP SACK vulnerabilities.\n\n### cos-73-11647-214-0\n\n*Date: Jun 17, 2019*\n\n- Updated kernel to version v4.14.124.\n- Backported affinity change-set for napi-tx.\n\n### cos-73-11647-192-0\n\n*Date: May 28, 2019*\n\n- Upgraded curl to v7.64.1 to fix CVE-2018-16890.\n- Upgraded containerd to version 1.2.6.\n- Set OOM score to -999 for docker.service and containerd.service to enhance the reliability of core system daemons.\n- Add restart policy in containerd.service, and corrected docker.service's dependency on containerd.service to allow containerd to recover from crashes.\n- Backported affinity changes to support napi-tx in COS.\n- Cherry-picked upstream patch https://patchwork.kernel.org/patch/10951403/ in kernel to fix a bug in lockd introduced by commit 01b79d20008d \"lockd: Show pid of lockd for remote locks\" in Linux kernel v4.14.105.\n- Rotated keys used by UEFI Secure Boot for signing and verifying the UEFI boot path.\n\n### cos-73-11647-182-0\n\n*Date: May 16, 2019*\n\n- Merged Linux Stable Kernel 'v4.14.119' for resolving Microarchitectural Data Sampling (MDS) vulnerabilities (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).\n- Mitigated a mount hang issue in the Linux kernel.\n\n### cos-73-11647-163-0\n\n*Date: Apr 19, 2019*\n\n- Set LimitNOFILE to 1048576 in containerd.service to fix an issue where the file descriptor limit was not being properly applied to containerd.\n\n### cos-73-11647-121-0\n\n*Date: Apr 01, 2019*\n\n- Included perf tool in the image.\n- Fixed a bug that dockerd may start containerd even if containerd.service exists.\n- Fixed an issue where Docker did not preserve the UIDs/GIDs of the init process on exec.\n\n### cos-73-11647-112-0 (vs Milestone 69)\n\n*Date: Mar 25, 2019*\n\n#### New features\n\n- Added support for collecting kernel memory crash dumps.\n- Added support for RAID and LVM.\n- Added support for IPv6.\n- Added support for iscsi and multipath in the kernel.\n- Added support for kernel module signing.\n- Enabled auto updates on Shielded VMs that have never booted in secure boot mode. Auto update is still disabled on Shielded VMs that have previously booted in secure boot mode.\n- Disabled the CONFIG_DEVMEM configuration option in the kernel to restrict privileged access to system memory.\n- Added behavior for logging more debugging information to the serial console during boot.\n\n#### Bug fixes\n\n- Fixed an [issue](https://github.com/opencontainers/runc/issues/1884) observed in Kubernetes liveness probes.\n- Configured docker.service to always restart Docker after 10 seconds.\n- Fixed an issue where a race condition between Docker and containerd resulted in a Docker live restore failure.\n- Increased fs.inotify.max_user_instances to 1024.\n- Configured containerd to run as a standalone systemd service.\n\n#### Package updates\n\n- Upgraded the built-in kubelet to v1.13.3.\n- Upgraded containerd to v1.2.5.\n- Upgraded openssl to 1.0.2q.\n- Upgraded Docker to 18.09.3.\n- Installed the pigz package for faster Docker image downloads.\n- Installed the keyutils package.\n- Installed the sosreport package."]]
