Correction de la faille CVE-2020-14386 du noyau Linux en corrigeant un problème de dépassement d'entier dans tpacket_rcv.
cos-73-11647-600-0
Date : 13 juillet 2020
La source du noyau a été déplacée vers cos.googlesource.com.
/var/lib/containerd est installé avec l'option exec.
Correction d'un problème lié à bprm->vma_pages qui empêchait la capture de toutes les pages de la pile.
cos-73-11647-534-0
Date : 7 mai 2020
Recompilation de l'image pour résoudre un problème d'infrastructure. Aucune modification des images.
cos-73-11647-510-0
Date : 13 avril 2020
Désactivation de `accept_ra` sur toutes les interfaces par défaut.
Mise à niveau d'OpenSSH vers la version 7.9_p1 pour corriger CVE-2018-15473.
cos-73-11647-501-0
Date : 5 avril 2020
Mise à niveau du noyau Linux vers la version 4.14.174.
Rétroportage du correctif systemd ba0d56f55 pour résoudre un problème qui entraînait la fuite d'unités de montage.
cos-73-11647-459-0
Date : 21 février 2020
Correction du bug lié à l'empty skb TCP à la fin de la file d'écriture dans le noyau.
Mise à niveau du noyau Linux vers la version v4.14.171.
cos-73-11647-449-0
Date : 12 février 2020
Mise à niveau de runc vers la version 1.0.0-rc10. Cette modification corrige CVE-2019-19921.
Mise à niveau du noyau Linux vers la version 4.14.170.
cos-73-11647-415-0
Date : 7 janvier 2020
Correction du problème de limitation du quota CFS.
Augmentez la valeur de sysctl net.ipv4.tcp_limit_output_bytes à 1048576.
Mise à niveau du noyau Linux vers la version 4.14.160.
cos-73-11647-348-0
Date : 28 octobre 2019
Mise à niveau du noyau Linux vers la version v4.14.150.
Correction de la création inutile de deux tranches de test distinctes (entraînant un total de quatre messages de journal systemd et une surcharge d'exécution) pour chaque exécution runc.
Correction d'une régression des performances dans le planificateur complètement équitable (CFS).
cos-73-11647-338-0
Date : 21 octobre 2019
Correction d'un problème dans systemd qui entraînait une consommation inutile du processeur.
Correction d'un problème dans runc qui entraînait une consommation inutile de processeur.
cos-73-11647-329-0
Date : 8 octobre 2019
Mise à niveau du noyau Linux vers la version 4.14.145.
Correction d'un patch du noyau pour s'assurer que le ratio quota/période du cgroup cfs reste toujours le même. Cela résout un problème Kubernetes où le cgroup de pod pouvait passer à un état incohérent.
cos-73-11647-293-0
Date : 4 septembre 2019
Mise à niveau de containerd vers la version 1.2.8.
Mise à niveau du noyau Linux vers la version 4.14.138.
Rétroportage des correctifs de réécriture en amont pour résoudre un problème de blocage logiciel.
cos-73-11647-267-0
Date : 8 août 2019
Mise à niveau du noyau Linux vers la version v4.14.137. Cette modification corrige CVE-2019-1125.
cos-73-11647-239-0
Date : 12 juillet 2019
Mise à niveau de Docker vers la version 18.09.7. Cette modification corrige CVE-2018-15664.
Mise à niveau de runc vers la version 1.0.0_rc8.
Mise à niveau de docker-proxy vers la version 0.8.0_p20190513.
cos-73-11647-231-0
Date : 2 juillet 2019
Mise à niveau de containerd vers la version 1.2.7.
Mise à jour du noyau vers la version v4.14.131.
Correction d'une faille dans app-arch/bzip2 (CVE-2019-12900).
Correction d'un problème introduit par les correctifs NFLX-2019-001.
cos-73-11647-217-0
Date : 19 juin 2019
Mise à jour du noyau Linux vers la version 4.14.127 pour résoudre les failles TCP SACK NFLX-2019-001.
cos-73-11647-214-0
Date : 17 juin 2019
Mise à jour du noyau vers la version v4.14.124.
Ensemble de modifications de l'affinité rétroporté pour napi-tx.
cos-73-11647-192-0
Date : 28 mai 2019
Mise à niveau de curl vers la version 7.64.1 pour corriger CVE-2018-16890.
Mise à niveau de containerd vers la version 1.2.6.
Définissez le score OOM sur -999 pour docker.service et containerd.service afin d'améliorer la fiabilité des principaux daemons système.
Ajoutez une règle de redémarrage dans containerd.service et corrigez la dépendance de docker.service sur containerd.service pour permettre à containerd de se remettre des plantages.
Les modifications de l'affinité ont été rétroportées pour prendre en charge napi-tx dans COS.
Correctif en amont sélectionné https://patchwork.kernel.org/patch/10951403/ dans le noyau pour corriger un bug dans lockd introduit par le commit 01b79d20008d "lockd: Show pid of lockd for remote locks" dans le noyau Linux v4.14.105.
Clés permutées utilisées par le démarrage sécurisé UEFI pour signer et valider le chemin de démarrage UEFI.
cos-73-11647-182-0
Date : 16 mai 2019
Intégration du noyau stable Linux v4.14.119 pour résoudre les failles d'échantillonnage des données microarchitecturales (MDS, Microarchitectural Data Sampling) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).
Atténuation d'un problème de blocage du montage dans le noyau Linux.
cos-73-11647-163-0
Date : 19 avril 2019
Définissez LimitNOFILE sur 1048576 dans containerd.service pour résoudre un problème où la limite de descripteurs de fichiers n'était pas correctement appliquée à containerd.
cos-73-11647-121-0
Date : 1er avril 2019
Outil de performances inclus dans l'image.
Correction d'un bug qui pouvait entraîner le démarrage de containerd par dockerd même si containerd.service existait.
Correction d'un problème où Docker ne conservait pas les UID/GID du processus d'initialisation lors de l'exécution.
cos-73-11647-112-0 (par rapport au jalon 69)
Date : 25 mars 2019
Nouvelles fonctionnalités
Ajout de la prise en charge de la collecte des vidages sur erreur de la mémoire du noyau.
Ajout de la compatibilité avec RAID et LVM.
Ajout de la compatibilité avec IPv6.
Ajout de la prise en charge d'iscsi et de multipath dans le noyau.
Ajout de la prise en charge de la signature des modules du noyau.
Mise à jour automatique activée sur les VM protégées qui n'ont jamais démarré en mode démarrage sécurisé. La mise à jour automatique reste désactivée sur les VM protégées qui ont déjà démarré en mode démarrage sécurisé.
L'option de configuration CONFIG_DEVMEM a été désactivée dans le noyau pour limiter l'accès privilégié à la mémoire système.
Ajout d'un comportement permettant de consigner davantage d'informations de débogage sur la console série lors du démarrage.
Corrections de bugs
Correction d'un
problème observé dans les vérifications d'activité Kubernetes.
Configuration de docker.service pour systématiquement redémarrer Docker au bout de 10 secondes.
Correction d'un problème où une condition de concurrence entre Docker et containerd entraînait l'échec de la restauration en direct de Docker.
Augmentation de fs.inotify.max_user_instances à 1 024.
Configurer containerd pour qu'il s'exécute en tant que service systemd autonome.
Mises à jour des packages
Mise à niveau de Kubelet intégré vers la version v1.13.3.
Mise à niveau de containerd vers la version 1.2.5.
Mise à niveau d'openssl vers la version 1.0.2q.
Docker a été mis à niveau vers la version 18.09.3.
Le package pigz a été installé pour accélérer le téléchargement des images Docker.
Vous avez installé le package keyutils.
Vous avez installé le package sosreport.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eThis image family, cos-73-lts, was deprecated after June 19, 2020, and runs on Linux kernel 4.14.174, Kubernetes v1.13.3, and Docker v18.09.7.\u003c/p\u003e\n"],["\u003cp\u003eNumerous updates were implemented, including kernel upgrades, security fixes for various CVEs, and enhancements to system components like runc, containerd, and Docker.\u003c/p\u003e\n"],["\u003cp\u003eThe image received several bug fixes, including resolutions for issues in the kernel, systemd, runc, and Docker, as well as improvements to stability and performance, such as resolving CFS quota throttling.\u003c/p\u003e\n"],["\u003cp\u003eNew features were introduced, including kernel memory crash dump collection, RAID and LVM support, IPv6 support, iscsi/multipath kernel support, and kernel module signing, in addition to enhancing the logging of debugging information during boot.\u003c/p\u003e\n"],["\u003cp\u003eSeveral vulnerability fixes have been implemented for issues such as CVE-2020-14386, CVE-2018-15473, CVE-2019-19921, CVE-2019-1125, CVE-2018-15664, CVE-2019-12900, CVE-2018-16890, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, and CVE-2019-11091.\u003c/p\u003e\n"]]],[],null,["# Release Notes: Milestone 73\n\nCurrent Status\n--------------\n\nChangelog\n---------\n\n### cos-73-11647-656-0\n\n*Date: Sep 05, 2020*\n\n- Fixed Linux kernel vulnerability CVE-2020-14386 by fixing an integer overflow issue in tpacket_rcv.\n\n### cos-73-11647-600-0\n\n*Date: July 13, 2020*\n\n- Moved Kernel source to cos.googlesource.com.\n- Mounted /var/lib/containerd with exec option.\n- Fixed incorrect bprm-\\\u003evma_pages prevent capturing all stack pages.\n\n### cos-73-11647-534-0\n\n*Date: May 07, 2020*\n\n- Image rebuild to address an infrastructure issue. No image changes.\n\n### cos-73-11647-510-0\n\n*Date: Apr 13, 2020*\n\n- Disabled \\`accept_ra\\` on all interfaces by default.\n- Upgraded OpenSSH to 7.9_p1 to fix CVE-2018-15473.\n\n### cos-73-11647-501-0\n\n*Date: Apr 05, 2020*\n\n- Upgraded the Linux kernel to v4.14.174.\n- Backported systemd patch ba0d56f55 to address an issue that resulted in leaked mount units.\n\n### cos-73-11647-459-0\n\n*Date: Feb 21, 2020*\n\n- Fixed TCP empty skb at the tail of the write queue bug in kernel.\n- Upgraded the Linux kernel to v4.14.171.\n\n### cos-73-11647-449-0\n\n*Date: Feb 12, 2020*\n\n- Upgraded runc to 1.0.0-rc10. This resolves CVE-2019-19921.\n- Upgraded the Linux kernel to v4.14.170.\n\n### cos-73-11647-415-0\n\n*Date: Jan 07, 2020*\n\n- Fixed CFS quota throttling issue.\n- Increase sysctl net.ipv4.tcp_limit_output_bytes to 1048576.\n- Upgraded the Linux kernel to v4.14.160.\n\n### cos-73-11647-348-0\n\n*Date: Oct 28, 2019*\n\n- Upgraded the Linux kernel to v4.14.150.\n- Fixed the unnecessary creation of two separate test slices (resulting in 4 systemd log messages total + runtime overhead) for every runc execution.\n- Fixed a performance regression in completely fair scheduler (CFS).\n\n### cos-73-11647-338-0\n\n*Date: Oct 21, 2019*\n\n- Fixed an issue in systemd that resulted in unnecessary CPU consumption.\n- Fixed an issue in runc that resulted in unnecessary CPU consumption.\n\n### cos-73-11647-329-0\n\n*Date: Oct 08, 2019*\n\n- Upgraded the Linux kernel to 4.14.145.\n- Backported a kernel patch to ensure the cfs cgroup quota/period ratio always stays the same. This addresses a Kubernetes issue where the pod cgroup could be changed into an inconsistent state.\n\n### cos-73-11647-293-0\n\n*Date: Sep 04, 2019*\n\n- Upgraded containerd to v1.2.8.\n- Upgraded the Linux kernel to version 4.14.138.\n- Backported upstream writeback patches to fix a softlockup issue.\n\n### cos-73-11647-267-0\n\n*Date: Aug 08, 2019*\n\nUpgraded the Linux kernel to v4.14.137. This resolves CVE-2019-1125.\n\n### cos-73-11647-239-0\n\n*Date: Jul 12, 2019*\n\n- Upgraded Docker to version 18.09.7. This resolves CVE-2018-15664.\n- Upgraded runc to version 1.0.0_rc8.\n- Upgraded docker-proxy to version 0.8.0_p20190513.\n\n### cos-73-11647-231-0\n\n*Date: Jul 02, 2019*\n\n- Upgraded containerd to v1.2.7.\n- Updated kernel to version v4.14.131.\n- Fixed vulnerability in app-arch/bzip2 (CVE-2019-12900).\n- Fixed an issue introduced by NFLX-2019-001 fixes.\n\n### cos-73-11647-217-0\n\n*Date: Jun 19, 2019*\n\n- Updated the Linux kernel to version 4.14.127 to resolve the NFLX-2019-001 TCP SACK vulnerabilities.\n\n### cos-73-11647-214-0\n\n*Date: Jun 17, 2019*\n\n- Updated kernel to version v4.14.124.\n- Backported affinity change-set for napi-tx.\n\n### cos-73-11647-192-0\n\n*Date: May 28, 2019*\n\n- Upgraded curl to v7.64.1 to fix CVE-2018-16890.\n- Upgraded containerd to version 1.2.6.\n- Set OOM score to -999 for docker.service and containerd.service to enhance the reliability of core system daemons.\n- Add restart policy in containerd.service, and corrected docker.service's dependency on containerd.service to allow containerd to recover from crashes.\n- Backported affinity changes to support napi-tx in COS.\n- Cherry-picked upstream patch https://patchwork.kernel.org/patch/10951403/ in kernel to fix a bug in lockd introduced by commit 01b79d20008d \"lockd: Show pid of lockd for remote locks\" in Linux kernel v4.14.105.\n- Rotated keys used by UEFI Secure Boot for signing and verifying the UEFI boot path.\n\n### cos-73-11647-182-0\n\n*Date: May 16, 2019*\n\n- Merged Linux Stable Kernel 'v4.14.119' for resolving Microarchitectural Data Sampling (MDS) vulnerabilities (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).\n- Mitigated a mount hang issue in the Linux kernel.\n\n### cos-73-11647-163-0\n\n*Date: Apr 19, 2019*\n\n- Set LimitNOFILE to 1048576 in containerd.service to fix an issue where the file descriptor limit was not being properly applied to containerd.\n\n### cos-73-11647-121-0\n\n*Date: Apr 01, 2019*\n\n- Included perf tool in the image.\n- Fixed a bug that dockerd may start containerd even if containerd.service exists.\n- Fixed an issue where Docker did not preserve the UIDs/GIDs of the init process on exec.\n\n### cos-73-11647-112-0 (vs Milestone 69)\n\n*Date: Mar 25, 2019*\n\n#### New features\n\n- Added support for collecting kernel memory crash dumps.\n- Added support for RAID and LVM.\n- Added support for IPv6.\n- Added support for iscsi and multipath in the kernel.\n- Added support for kernel module signing.\n- Enabled auto updates on Shielded VMs that have never booted in secure boot mode. Auto update is still disabled on Shielded VMs that have previously booted in secure boot mode.\n- Disabled the CONFIG_DEVMEM configuration option in the kernel to restrict privileged access to system memory.\n- Added behavior for logging more debugging information to the serial console during boot.\n\n#### Bug fixes\n\n- Fixed an [issue](https://github.com/opencontainers/runc/issues/1884) observed in Kubernetes liveness probes.\n- Configured docker.service to always restart Docker after 10 seconds.\n- Fixed an issue where a race condition between Docker and containerd resulted in a Docker live restore failure.\n- Increased fs.inotify.max_user_instances to 1024.\n- Configured containerd to run as a standalone systemd service.\n\n#### Package updates\n\n- Upgraded the built-in kubelet to v1.13.3.\n- Upgraded containerd to v1.2.5.\n- Upgraded openssl to 1.0.2q.\n- Upgraded Docker to 18.09.3.\n- Installed the pigz package for faster Docker image downloads.\n- Installed the keyutils package.\n- Installed the sosreport package."]]
