runc 실행마다 불필요하게 별도의 테스트 슬라이스 두 개가 생성되는 문제 (총 4개의 systemd 로그 메시지 + 런타임 오버헤드 발생)를 수정했습니다.
완전 공정 스케줄러 (CFS)의 성능 회귀가 수정되었습니다.
cos-73-11647-338-0
날짜: 2019년 10월 21일
불필요한 CPU 소비를 초래하는 systemd 문제가 수정되었습니다.
불필요한 CPU 소비를 초래하는 runc의 문제가 수정되었습니다.
cos-73-11647-329-0
날짜: 2019년 10월 8일
Linux 커널이 4.14.145로 업그레이드되었습니다.
cfs cgroup 할당량/기간 비율이 항상 동일하게 유지되도록 커널 패치를 백포트했습니다. 포드 cgroup이 일관되지 않은 상태로 변경될 수 있는 Kubernetes 문제를 해결합니다.
cos-73-11647-293-0
날짜: 2019년 9월 4일
containerd를 v1.2.8로 업그레이드했습니다.
Linux 커널을 버전 4.14.138로 업그레이드했습니다.
소프트락업 문제를 수정하기 위해 업스트림 쓰기 패치를 백포트했습니다.
cos-73-11647-267-0
날짜: 2019년 8월 8일
Linux 커널이 v4.14.137로 업그레이드되었습니다. 이 업데이트는 CVE-2019-1125를 해결합니다.
cos-73-11647-239-0
날짜: 2019년 7월 12일
Docker를 버전 18.09.7로 업그레이드했습니다. 이 변경사항은 CVE-2018-15664를 해결합니다.
runc를 버전 1.0.0_rc8로 업그레이드했습니다.
docker-proxy를 버전 0.8.0_p20190513으로 업그레이드했습니다.
cos-73-11647-231-0
날짜: 2019년 7월 2일
containerd를 v1.2.7로 업그레이드했습니다.
커널이 버전 v4.14.131로 업데이트되었습니다.
app-arch/bzip2의 취약점이 수정되었습니다 (CVE-2019-12900).
NFLX-2019-001 수정사항으로 인해 발생한 문제를 수정했습니다.
cos-73-11647-217-0
날짜: 2019년 6월 19일
NFLX-2019-001 TCP SACK 취약점을 해결하기 위해 Linux 커널을 버전 4.14.127로 업데이트했습니다.
cos-73-11647-214-0
날짜: 2019년 6월 17일
커널이 버전 v4.14.124로 업데이트되었습니다.
napi-tx의 어피니티 변경사항을 백포트했습니다.
cos-73-11647-192-0
날짜: 2019년 5월 28일
CVE-2018-16890을 수정하기 위해 curl을 v7.64.1로 업그레이드했습니다.
containerd가 버전 1.2.6으로 업그레이드되었습니다.
핵심 시스템 데몬의 안정성을 향상하기 위해 docker.service 및 containerd.service의 OOM 점수를 -999로 설정
containerd.service에 재시작 정책을 추가하고 containerd가 비정상 종료에서 복구할 수 있도록 containerd.service에 대한 docker.service의 종속성을 수정했습니다.
COS에서 napi-tx를 지원하기 위해 어피니티 변경사항을 백포트했습니다.
커널에서 업스트림 패치 https://patchwork.kernel.org/patch/10951403/ 을 선택하여 Linux 커널 v4.14.105에서 커밋 01b79d20008d 'lockd: Show pid of lockd for remote locks'로 도입된 lockd의 버그를 수정합니다.
UEFI 부팅 경로에 서명하고 이를 확인하는 데 UEFI 보안 부트에서 사용하는 순환 키입니다.
cos-73-11647-182-0
날짜: 2019년 5월 16일
마이크로아키텍처 데이터 샘플링 (MDS) 취약점(CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091)을 해결하기 위해 Linux 안정화 커널 'v4.14.119'가 병합되었습니다.
Linux 커널의 마운트 중단 문제가 완화되었습니다.
cos-73-11647-163-0
날짜: 2019년 4월 19일
파일 설명자 제한이 containerd에 제대로 적용되지 않는 문제를 수정하기 위해 containerd.service에서 LimitNOFILE을 1048576으로 설정
cos-73-11647-121-0
날짜: 2019년 4월 1일
이미지에 성능 도구가 포함되었습니다.
containerd.service가 있어도 dockerd가 containerd를 시작할 수 있는 버그를 수정했습니다.
Docker가 실행 시 init 프로세스의 UID/GID를 유지하지 않는 문제가 수정되었습니다.
cos-73-11647-112-0 (마일스톤 69와 비교)
날짜: 2019년 3월 25일
새로운 기능
커널 메모리 비정상 종료 덤프 수집 지원 추가
RAID 및 LVM 지원이 추가되었습니다.
IPv6 지원이 추가되었습니다.
커널에 iscsi 및 멀티 경로 지원 추가
커널 모듈 서명 지원 추가
보안 부팅 모드로 부팅된 적이 없는 보안 VM에서 자동 업데이트를 사용 설정했습니다. 이전에 보안 부팅 모드로 부팅된 보안 VM에서는 자동 업데이트가 계속 사용 중지됩니다.
커널에서 CONFIG_DEVMEM 구성 옵션을 사용 중지하여 시스템 메모리에 대한 권한 액세스를 제한했습니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[[["\u003cp\u003eThis image family, cos-73-lts, was deprecated after June 19, 2020, and runs on Linux kernel 4.14.174, Kubernetes v1.13.3, and Docker v18.09.7.\u003c/p\u003e\n"],["\u003cp\u003eNumerous updates were implemented, including kernel upgrades, security fixes for various CVEs, and enhancements to system components like runc, containerd, and Docker.\u003c/p\u003e\n"],["\u003cp\u003eThe image received several bug fixes, including resolutions for issues in the kernel, systemd, runc, and Docker, as well as improvements to stability and performance, such as resolving CFS quota throttling.\u003c/p\u003e\n"],["\u003cp\u003eNew features were introduced, including kernel memory crash dump collection, RAID and LVM support, IPv6 support, iscsi/multipath kernel support, and kernel module signing, in addition to enhancing the logging of debugging information during boot.\u003c/p\u003e\n"],["\u003cp\u003eSeveral vulnerability fixes have been implemented for issues such as CVE-2020-14386, CVE-2018-15473, CVE-2019-19921, CVE-2019-1125, CVE-2018-15664, CVE-2019-12900, CVE-2018-16890, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, and CVE-2019-11091.\u003c/p\u003e\n"]]],[],null,["# Release Notes: Milestone 73\n\nCurrent Status\n--------------\n\nChangelog\n---------\n\n### cos-73-11647-656-0\n\n*Date: Sep 05, 2020*\n\n- Fixed Linux kernel vulnerability CVE-2020-14386 by fixing an integer overflow issue in tpacket_rcv.\n\n### cos-73-11647-600-0\n\n*Date: July 13, 2020*\n\n- Moved Kernel source to cos.googlesource.com.\n- Mounted /var/lib/containerd with exec option.\n- Fixed incorrect bprm-\\\u003evma_pages prevent capturing all stack pages.\n\n### cos-73-11647-534-0\n\n*Date: May 07, 2020*\n\n- Image rebuild to address an infrastructure issue. No image changes.\n\n### cos-73-11647-510-0\n\n*Date: Apr 13, 2020*\n\n- Disabled \\`accept_ra\\` on all interfaces by default.\n- Upgraded OpenSSH to 7.9_p1 to fix CVE-2018-15473.\n\n### cos-73-11647-501-0\n\n*Date: Apr 05, 2020*\n\n- Upgraded the Linux kernel to v4.14.174.\n- Backported systemd patch ba0d56f55 to address an issue that resulted in leaked mount units.\n\n### cos-73-11647-459-0\n\n*Date: Feb 21, 2020*\n\n- Fixed TCP empty skb at the tail of the write queue bug in kernel.\n- Upgraded the Linux kernel to v4.14.171.\n\n### cos-73-11647-449-0\n\n*Date: Feb 12, 2020*\n\n- Upgraded runc to 1.0.0-rc10. This resolves CVE-2019-19921.\n- Upgraded the Linux kernel to v4.14.170.\n\n### cos-73-11647-415-0\n\n*Date: Jan 07, 2020*\n\n- Fixed CFS quota throttling issue.\n- Increase sysctl net.ipv4.tcp_limit_output_bytes to 1048576.\n- Upgraded the Linux kernel to v4.14.160.\n\n### cos-73-11647-348-0\n\n*Date: Oct 28, 2019*\n\n- Upgraded the Linux kernel to v4.14.150.\n- Fixed the unnecessary creation of two separate test slices (resulting in 4 systemd log messages total + runtime overhead) for every runc execution.\n- Fixed a performance regression in completely fair scheduler (CFS).\n\n### cos-73-11647-338-0\n\n*Date: Oct 21, 2019*\n\n- Fixed an issue in systemd that resulted in unnecessary CPU consumption.\n- Fixed an issue in runc that resulted in unnecessary CPU consumption.\n\n### cos-73-11647-329-0\n\n*Date: Oct 08, 2019*\n\n- Upgraded the Linux kernel to 4.14.145.\n- Backported a kernel patch to ensure the cfs cgroup quota/period ratio always stays the same. This addresses a Kubernetes issue where the pod cgroup could be changed into an inconsistent state.\n\n### cos-73-11647-293-0\n\n*Date: Sep 04, 2019*\n\n- Upgraded containerd to v1.2.8.\n- Upgraded the Linux kernel to version 4.14.138.\n- Backported upstream writeback patches to fix a softlockup issue.\n\n### cos-73-11647-267-0\n\n*Date: Aug 08, 2019*\n\nUpgraded the Linux kernel to v4.14.137. This resolves CVE-2019-1125.\n\n### cos-73-11647-239-0\n\n*Date: Jul 12, 2019*\n\n- Upgraded Docker to version 18.09.7. This resolves CVE-2018-15664.\n- Upgraded runc to version 1.0.0_rc8.\n- Upgraded docker-proxy to version 0.8.0_p20190513.\n\n### cos-73-11647-231-0\n\n*Date: Jul 02, 2019*\n\n- Upgraded containerd to v1.2.7.\n- Updated kernel to version v4.14.131.\n- Fixed vulnerability in app-arch/bzip2 (CVE-2019-12900).\n- Fixed an issue introduced by NFLX-2019-001 fixes.\n\n### cos-73-11647-217-0\n\n*Date: Jun 19, 2019*\n\n- Updated the Linux kernel to version 4.14.127 to resolve the NFLX-2019-001 TCP SACK vulnerabilities.\n\n### cos-73-11647-214-0\n\n*Date: Jun 17, 2019*\n\n- Updated kernel to version v4.14.124.\n- Backported affinity change-set for napi-tx.\n\n### cos-73-11647-192-0\n\n*Date: May 28, 2019*\n\n- Upgraded curl to v7.64.1 to fix CVE-2018-16890.\n- Upgraded containerd to version 1.2.6.\n- Set OOM score to -999 for docker.service and containerd.service to enhance the reliability of core system daemons.\n- Add restart policy in containerd.service, and corrected docker.service's dependency on containerd.service to allow containerd to recover from crashes.\n- Backported affinity changes to support napi-tx in COS.\n- Cherry-picked upstream patch https://patchwork.kernel.org/patch/10951403/ in kernel to fix a bug in lockd introduced by commit 01b79d20008d \"lockd: Show pid of lockd for remote locks\" in Linux kernel v4.14.105.\n- Rotated keys used by UEFI Secure Boot for signing and verifying the UEFI boot path.\n\n### cos-73-11647-182-0\n\n*Date: May 16, 2019*\n\n- Merged Linux Stable Kernel 'v4.14.119' for resolving Microarchitectural Data Sampling (MDS) vulnerabilities (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).\n- Mitigated a mount hang issue in the Linux kernel.\n\n### cos-73-11647-163-0\n\n*Date: Apr 19, 2019*\n\n- Set LimitNOFILE to 1048576 in containerd.service to fix an issue where the file descriptor limit was not being properly applied to containerd.\n\n### cos-73-11647-121-0\n\n*Date: Apr 01, 2019*\n\n- Included perf tool in the image.\n- Fixed a bug that dockerd may start containerd even if containerd.service exists.\n- Fixed an issue where Docker did not preserve the UIDs/GIDs of the init process on exec.\n\n### cos-73-11647-112-0 (vs Milestone 69)\n\n*Date: Mar 25, 2019*\n\n#### New features\n\n- Added support for collecting kernel memory crash dumps.\n- Added support for RAID and LVM.\n- Added support for IPv6.\n- Added support for iscsi and multipath in the kernel.\n- Added support for kernel module signing.\n- Enabled auto updates on Shielded VMs that have never booted in secure boot mode. Auto update is still disabled on Shielded VMs that have previously booted in secure boot mode.\n- Disabled the CONFIG_DEVMEM configuration option in the kernel to restrict privileged access to system memory.\n- Added behavior for logging more debugging information to the serial console during boot.\n\n#### Bug fixes\n\n- Fixed an [issue](https://github.com/opencontainers/runc/issues/1884) observed in Kubernetes liveness probes.\n- Configured docker.service to always restart Docker after 10 seconds.\n- Fixed an issue where a race condition between Docker and containerd resulted in a Docker live restore failure.\n- Increased fs.inotify.max_user_instances to 1024.\n- Configured containerd to run as a standalone systemd service.\n\n#### Package updates\n\n- Upgraded the built-in kubelet to v1.13.3.\n- Upgraded containerd to v1.2.5.\n- Upgraded openssl to 1.0.2q.\n- Upgraded Docker to 18.09.3.\n- Installed the pigz package for faster Docker image downloads.\n- Installed the keyutils package.\n- Installed the sosreport package."]]