Correzione della vulnerabilità del kernel Linux CVE-2020-14386 mediante la correzione di un problema di overflow
di numeri interi in tpacket_rcv.
cos-73-11647-600-0
Data: 13 luglio 2020
La sorgente del kernel è stata spostata su cos.googlesource.com.
/var/lib/containerd è stato montato con l'opzione exec.
È stato corretto l'errore bprm->vma_pages che impediva l'acquisizione di tutte le pagine dello stack.
cos-73-11647-534-0
Data: 7 maggio 2020
Ricostruzione dell'immagine per risolvere un problema di infrastruttura. Nessuna modifica all'immagine.
cos-73-11647-510-0
Data: 13 aprile 2020
Disattivato `accept_ra` su tutte le interfacce per impostazione predefinita.
Upgrade di OpenSSH alla versione 7.9_p1 per correggere la vulnerabilità CVE-2018-15473.
cos-73-11647-501-0
Data: 5 aprile 2020
È stato eseguito l'upgrade del kernel Linux alla versione 4.14.174.
È stato eseguito il backporting della patch systemd ba0d56f55 per risolvere un problema che causava
la perdita di unità di montaggio.
cos-73-11647-459-0
Data: 21 febbraio 2020
È stato corretto il bug relativo al buffer skb TCP vuoto alla fine della coda di scrittura nel kernel.
È stato eseguito l'upgrade del kernel Linux alla versione 4.14.171.
cos-73-11647-449-0
Data: 12 febbraio 2020
Upgrade di runc alla versione 1.0.0-rc10. In questo modo viene risolto il problema CVE-2019-19921.
È stato eseguito l'upgrade del kernel Linux alla versione 4.14.170.
cos-73-11647-415-0
Data: 7 gennaio 2020
È stato risolto il problema di limitazione della quota CFS.
Aumenta sysctl net.ipv4.tcp_limit_output_bytes a 1048576.
È stato eseguito l'upgrade del kernel Linux alla versione 4.14.160.
cos-73-11647-348-0
Data: 28 ottobre 2019
È stato eseguito l'upgrade del kernel Linux alla versione 4.14.150.
È stata corretta la creazione non necessaria di due sezioni di test separate (con conseguente generazione di 4
messaggi di log systemd totali + overhead di runtime) per ogni esecuzione di runc.
È stata corretta una regressione delle prestazioni nello scheduler completamente equo (CFS).
cos-73-11647-338-0
Data: 21 ottobre 2019
Risolto un problema in systemd che causava un consumo eccessivo di CPU.
Risolto un problema in runc che causava un consumo eccessivo di CPU.
cos-73-11647-329-0
Data: 8 ottobre 2019
È stato eseguito l'upgrade del kernel Linux alla versione 4.14.145.
È stato eseguito il backporting di una patch del kernel per garantire che il rapporto tra quota e periodo del cgroup cfs
rimanga sempre lo stesso. In questo modo viene risolto un problema di Kubernetes in cui il cgroup del pod
potrebbe essere modificato in uno stato incoerente.
cos-73-11647-293-0
Data: 4 settembre 2019
È stato eseguito l'upgrade di containerd alla versione 1.2.8.
Upgrade del kernel Linux alla versione 4.14.138.
Sono state eseguite operazioni di backporting delle patch di writeback upstream per risolvere un problema di softlockup.
cos-73-11647-267-0
Data: 8 agosto 2019
È stato eseguito l'upgrade del kernel Linux alla versione 4.14.137. In questo modo viene risolto il problema CVE-2019-1125.
cos-73-11647-239-0
Data: 12 luglio 2019
Upgrade di Docker alla versione 18.09.7. In questo modo viene risolto il problema CVE-2018-15664.
Upgrade di runc alla versione 1.0.0_rc8.
Upgrade di docker-proxy alla versione 0.8.0_p20190513.
cos-73-11647-231-0
Data: 2 luglio 2019
È stato eseguito l'upgrade di containerd alla versione 1.2.7.
Kernel aggiornato alla versione v4.14.131.
È stata corretta la vulnerabilità in app-arch/bzip2 (CVE-2019-12900).
Risolto un problema introdotto dalle correzioni NFLX-2019-001.
cos-73-11647-217-0
Data: 19 giugno 2019
È stato aggiornato il kernel Linux alla versione 4.14.127 per risolvere le vulnerabilità TCP SACK NFLX-2019-001.
cos-73-11647-214-0
Data: 17 giugno 2019
Kernel aggiornato alla versione v4.14.124.
È stato eseguito il backport del set di modifiche dell'affinità per napi-tx.
cos-73-11647-192-0
Data: 28 maggio 2019
È stato eseguito l'upgrade di curl alla versione 7.64.1 per correggere la vulnerabilità CVE-2018-16890.
È stato eseguito l'upgrade di containerd alla versione 1.2.6.
Imposta il punteggio OOM su -999 per docker.service e containerd.service per migliorare
l'affidabilità dei daemon di sistema principali.
Aggiungi la policy di riavvio in containerd.service e correggi la dipendenza di docker.service
da containerd.service per consentire a containerd di ripristinarsi in caso di arresti anomali.
È stato eseguito il backporting delle modifiche all'affinità per supportare napi-tx in COS.
Patch upstream selezionata https://patchwork.kernel.org/patch/10951403/ nel kernel per correggere
un bug in lockd introdotto dal commit 01b79d20008d "lockd: Show pid of lockd for remote locks"
nel kernel Linux v4.14.105.
Chiavi ruotate utilizzate dall'avvio protetto UEFI per firmare e verificare il percorso di avvio UEFI.
cos-73-11647-182-0
Data: 16 maggio 2019
È stato unito il kernel stabile di Linux "v4.14.119" per risolvere
le vulnerabilità di Microarchitectural Data Sampling (MDS)
(CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).
È stato mitigato un problema di blocco del montaggio nel kernel Linux.
cos-73-11647-163-0
Data: 19 aprile 2019
Imposta LimitNOFILE su 1048576 in containerd.service per risolvere un problema
per cui il limite del descrittore di file non veniva applicato correttamente a
containerd.
cos-73-11647-121-0
Data: 1° aprile 2019
Strumento di perforazione incluso nell'immagine.
È stato corretto un bug per cui dockerd potrebbe avviare containerd anche se
esiste containerd.service.
È stato risolto un problema per cui Docker non conservava gli UID/GID del
processo init su exec.
cos-73-11647-112-0 (rispetto a Milestone 69)
Data: 25 marzo 2019
Nuove funzionalità
Aggiunto il supporto per la raccolta dei dump degli arresti anomali della memoria del kernel.
Aggiunto il supporto per RAID e LVM.
È stato aggiunto il supporto per IPv6.
È stato aggiunto il supporto per iscsi e multipath nel kernel.
Aggiunto il supporto per la firma dei moduli del kernel.
Aggiornamenti automatici abilitati sulle VM Shielded che non sono mai state avviate in modalità
di avvio protetto. L'aggiornamento automatico è ancora disattivato sulle VM schermate che
sono state avviate in precedenza in modalità Avvio protetto.
È stata disattivata l'opzione di configurazione CONFIG_DEVMEM nel kernel
per limitare l'accesso privilegiato alla memoria di sistema.
È stato aggiunto il comportamento per la registrazione di ulteriori informazioni di debug nella console seriale
durante l'avvio.
Correzioni di bug
È stato risolto un
problema osservato nei probe di attività di Kubernetes.
È stato configurato docker.service per riavviare sempre Docker dopo 10 secondi.
È stato risolto un problema a causa del quale una race condition tra Docker e containerd
comportava un errore di ripristino live di Docker.
Aumento di fs.inotify.max_user_instances a 1024.
Configurato containerd per l'esecuzione come servizio systemd autonomo.
Aggiornamenti dei pacchetti
È stato eseguito l'upgrade di kubelet integrato alla versione 1.13.3.
È stato eseguito l'upgrade di containerd alla versione 1.2.5.
Upgrade di openssl alla versione 1.0.2q.
È stato eseguito l'upgrade di Docker alla versione 18.09.3.
È stato installato il pacchetto pigz per download più rapidi delle immagini Docker.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eThis image family, cos-73-lts, was deprecated after June 19, 2020, and runs on Linux kernel 4.14.174, Kubernetes v1.13.3, and Docker v18.09.7.\u003c/p\u003e\n"],["\u003cp\u003eNumerous updates were implemented, including kernel upgrades, security fixes for various CVEs, and enhancements to system components like runc, containerd, and Docker.\u003c/p\u003e\n"],["\u003cp\u003eThe image received several bug fixes, including resolutions for issues in the kernel, systemd, runc, and Docker, as well as improvements to stability and performance, such as resolving CFS quota throttling.\u003c/p\u003e\n"],["\u003cp\u003eNew features were introduced, including kernel memory crash dump collection, RAID and LVM support, IPv6 support, iscsi/multipath kernel support, and kernel module signing, in addition to enhancing the logging of debugging information during boot.\u003c/p\u003e\n"],["\u003cp\u003eSeveral vulnerability fixes have been implemented for issues such as CVE-2020-14386, CVE-2018-15473, CVE-2019-19921, CVE-2019-1125, CVE-2018-15664, CVE-2019-12900, CVE-2018-16890, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, and CVE-2019-11091.\u003c/p\u003e\n"]]],[],null,["# Release Notes: Milestone 73\n\nCurrent Status\n--------------\n\nChangelog\n---------\n\n### cos-73-11647-656-0\n\n*Date: Sep 05, 2020*\n\n- Fixed Linux kernel vulnerability CVE-2020-14386 by fixing an integer overflow issue in tpacket_rcv.\n\n### cos-73-11647-600-0\n\n*Date: July 13, 2020*\n\n- Moved Kernel source to cos.googlesource.com.\n- Mounted /var/lib/containerd with exec option.\n- Fixed incorrect bprm-\\\u003evma_pages prevent capturing all stack pages.\n\n### cos-73-11647-534-0\n\n*Date: May 07, 2020*\n\n- Image rebuild to address an infrastructure issue. No image changes.\n\n### cos-73-11647-510-0\n\n*Date: Apr 13, 2020*\n\n- Disabled \\`accept_ra\\` on all interfaces by default.\n- Upgraded OpenSSH to 7.9_p1 to fix CVE-2018-15473.\n\n### cos-73-11647-501-0\n\n*Date: Apr 05, 2020*\n\n- Upgraded the Linux kernel to v4.14.174.\n- Backported systemd patch ba0d56f55 to address an issue that resulted in leaked mount units.\n\n### cos-73-11647-459-0\n\n*Date: Feb 21, 2020*\n\n- Fixed TCP empty skb at the tail of the write queue bug in kernel.\n- Upgraded the Linux kernel to v4.14.171.\n\n### cos-73-11647-449-0\n\n*Date: Feb 12, 2020*\n\n- Upgraded runc to 1.0.0-rc10. This resolves CVE-2019-19921.\n- Upgraded the Linux kernel to v4.14.170.\n\n### cos-73-11647-415-0\n\n*Date: Jan 07, 2020*\n\n- Fixed CFS quota throttling issue.\n- Increase sysctl net.ipv4.tcp_limit_output_bytes to 1048576.\n- Upgraded the Linux kernel to v4.14.160.\n\n### cos-73-11647-348-0\n\n*Date: Oct 28, 2019*\n\n- Upgraded the Linux kernel to v4.14.150.\n- Fixed the unnecessary creation of two separate test slices (resulting in 4 systemd log messages total + runtime overhead) for every runc execution.\n- Fixed a performance regression in completely fair scheduler (CFS).\n\n### cos-73-11647-338-0\n\n*Date: Oct 21, 2019*\n\n- Fixed an issue in systemd that resulted in unnecessary CPU consumption.\n- Fixed an issue in runc that resulted in unnecessary CPU consumption.\n\n### cos-73-11647-329-0\n\n*Date: Oct 08, 2019*\n\n- Upgraded the Linux kernel to 4.14.145.\n- Backported a kernel patch to ensure the cfs cgroup quota/period ratio always stays the same. This addresses a Kubernetes issue where the pod cgroup could be changed into an inconsistent state.\n\n### cos-73-11647-293-0\n\n*Date: Sep 04, 2019*\n\n- Upgraded containerd to v1.2.8.\n- Upgraded the Linux kernel to version 4.14.138.\n- Backported upstream writeback patches to fix a softlockup issue.\n\n### cos-73-11647-267-0\n\n*Date: Aug 08, 2019*\n\nUpgraded the Linux kernel to v4.14.137. This resolves CVE-2019-1125.\n\n### cos-73-11647-239-0\n\n*Date: Jul 12, 2019*\n\n- Upgraded Docker to version 18.09.7. This resolves CVE-2018-15664.\n- Upgraded runc to version 1.0.0_rc8.\n- Upgraded docker-proxy to version 0.8.0_p20190513.\n\n### cos-73-11647-231-0\n\n*Date: Jul 02, 2019*\n\n- Upgraded containerd to v1.2.7.\n- Updated kernel to version v4.14.131.\n- Fixed vulnerability in app-arch/bzip2 (CVE-2019-12900).\n- Fixed an issue introduced by NFLX-2019-001 fixes.\n\n### cos-73-11647-217-0\n\n*Date: Jun 19, 2019*\n\n- Updated the Linux kernel to version 4.14.127 to resolve the NFLX-2019-001 TCP SACK vulnerabilities.\n\n### cos-73-11647-214-0\n\n*Date: Jun 17, 2019*\n\n- Updated kernel to version v4.14.124.\n- Backported affinity change-set for napi-tx.\n\n### cos-73-11647-192-0\n\n*Date: May 28, 2019*\n\n- Upgraded curl to v7.64.1 to fix CVE-2018-16890.\n- Upgraded containerd to version 1.2.6.\n- Set OOM score to -999 for docker.service and containerd.service to enhance the reliability of core system daemons.\n- Add restart policy in containerd.service, and corrected docker.service's dependency on containerd.service to allow containerd to recover from crashes.\n- Backported affinity changes to support napi-tx in COS.\n- Cherry-picked upstream patch https://patchwork.kernel.org/patch/10951403/ in kernel to fix a bug in lockd introduced by commit 01b79d20008d \"lockd: Show pid of lockd for remote locks\" in Linux kernel v4.14.105.\n- Rotated keys used by UEFI Secure Boot for signing and verifying the UEFI boot path.\n\n### cos-73-11647-182-0\n\n*Date: May 16, 2019*\n\n- Merged Linux Stable Kernel 'v4.14.119' for resolving Microarchitectural Data Sampling (MDS) vulnerabilities (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).\n- Mitigated a mount hang issue in the Linux kernel.\n\n### cos-73-11647-163-0\n\n*Date: Apr 19, 2019*\n\n- Set LimitNOFILE to 1048576 in containerd.service to fix an issue where the file descriptor limit was not being properly applied to containerd.\n\n### cos-73-11647-121-0\n\n*Date: Apr 01, 2019*\n\n- Included perf tool in the image.\n- Fixed a bug that dockerd may start containerd even if containerd.service exists.\n- Fixed an issue where Docker did not preserve the UIDs/GIDs of the init process on exec.\n\n### cos-73-11647-112-0 (vs Milestone 69)\n\n*Date: Mar 25, 2019*\n\n#### New features\n\n- Added support for collecting kernel memory crash dumps.\n- Added support for RAID and LVM.\n- Added support for IPv6.\n- Added support for iscsi and multipath in the kernel.\n- Added support for kernel module signing.\n- Enabled auto updates on Shielded VMs that have never booted in secure boot mode. Auto update is still disabled on Shielded VMs that have previously booted in secure boot mode.\n- Disabled the CONFIG_DEVMEM configuration option in the kernel to restrict privileged access to system memory.\n- Added behavior for logging more debugging information to the serial console during boot.\n\n#### Bug fixes\n\n- Fixed an [issue](https://github.com/opencontainers/runc/issues/1884) observed in Kubernetes liveness probes.\n- Configured docker.service to always restart Docker after 10 seconds.\n- Fixed an issue where a race condition between Docker and containerd resulted in a Docker live restore failure.\n- Increased fs.inotify.max_user_instances to 1024.\n- Configured containerd to run as a standalone systemd service.\n\n#### Package updates\n\n- Upgraded the built-in kubelet to v1.13.3.\n- Upgraded containerd to v1.2.5.\n- Upgraded openssl to 1.0.2q.\n- Upgraded Docker to 18.09.3.\n- Installed the pigz package for faster Docker image downloads.\n- Installed the keyutils package.\n- Installed the sosreport package."]]
