Container-Optimized OS – Versionshinweise: Meilenstein 77

cos-77-12371-1109-0

• CVE-2020-29660 im Linux-Kernel wurde behoben.
• CVE-2020-29661 im Linux-Kernel wurde behoben.

cos-77-12371-1105-0

• CVE-2020-15257 in containerd wurde behoben.

cos-77-12371-1096-0

• CVE-2020-14356 wurde behoben.

cos-77-12371-1088-0

• Es wurden wieder ladbare PPP-Module hinzugefügt, die in cos-77-12371-1072-0 entfernt wurden.
• Die Docker-Konfiguration „registry-mirrors“ wurde in die dockerd-Befehlszeile verschoben, um Fehler bei der Bereitstellung von Kubernetes-Clustern zu beheben.

cos-77-12371-1086-0

• Die Konfiguration der Docker-Option „registry-mirrors“ wurde von der dockerd-Befehlszeile nach /etc/docker/daemon.json verschoben. Dadurch sollten Nutzer einen benutzerdefinierten Registry-Spiegel konfigurieren können, was als Reaktion auf die jüngsten Änderungen am kostenlosen Docker Hub-Tarif nützlich sein kann.
• CVE-2020-15157 in containerd wurde behoben.

cos-77-12371-1079-0

• Die Linux-Kernel-Sicherheitslücke CVE-2020-14386 wurde behoben, indem ein Problem mit einem Ganzzahlüberlauf in tpacket_rcv behoben wurde.

cos-77-12371-1073-0

• utmp in systemd aktiviert, um das Erstellen von utmp-Dateien zu ermöglichen.

cos-77-12371-1072-0

• CONFIG_PPP wurde deaktiviert, um die Linux-Kernel-Sicherheitslücke CVE-2020-14416 zu beheben.
• CVE-2020-15705 in GRUB wurde behoben.

cos-77-12371-1064-0

• Der Metrics-Daemon wurde entfernt, um ein Problem zu beheben, das in einigen Fällen regelmäßig zu Spitzen bei der CPU-Auslastung führte.

cos-77-12371-326-0

• rsync wurde wieder in das Image aufgenommen, nachdem es in cos-dev-77-12293-0-0 entfernt worden war.
• Stellen Sie /var/lib/containerd mit der Option „exec“ bereit.
• Der Kernel-Quellcode wurde zu cos.googlesource.com verschoben.
• CVE-2019-9169 wurde behoben.

cos-77-12371-296-0

• Das Basis-Container-Image der Toolbox wurde aktualisiert, um Sicherheitspatches zu enthalten.

cos-77-12371-274-0

• Einige CVEs für die Betriebssystemanmeldung wurden behoben: CVE-2020-8903, CVE-2020-8907, CVE-2020-8933.

cos-77-12371-273-0

• Ein Fehler im Stackdriver Monitoring-Agent wurde behoben, bei dem die Nutzung nicht aller eingebundenen Festplattenpartitionen gemeldet wurde.

cos-77-12371-251-0

• Ein Kernel-Fehler wurde behoben, bei dem eBPF-Programme Softlockups verursachen konnten.

cos-77-12371-233-0

• `accept_ra` ist standardmäßig auf allen Schnittstellen deaktiviert.

cos-77-12371-227-0

• Der Linux-Kernel wurde auf Version 4.19.112 aktualisiert.
• Der systemd-Patch ba0d56f55 wurde rückportiert, um ein Problem zu beheben, das zu nicht freigegebenen Mount-Einheiten führte.

cos-77-12371-208-0

• NETFILTER_XT_MATCH_SOCKET aktiviert.
• Ein Fehler wurde behoben, durch den DHCP nach Link-Flaps nicht gestartet wurde.
• Die Größenbeschränkung für /etc/ wurde entfernt, um Fehler bei der Clustererstellung aufgrund einer großen Anzahl von Add-ons zu beheben.
• Der Linux-Kernel wurde auf v4.19.109 aktualisiert.

cos-77-12371-183-0

• Der Linux-Kernel wurde auf v4.19.104 aktualisiert.
• Der Fehler im Kernel wurde behoben, der dazu führte, dass leere TCP-SKBs am Ende der Schreibwarteschlange auftraten.

cos-77-12371-175-0

• Einige QoS- und Fair Queuing-Optionen im Linux-Kernel wurden aktiviert.
• Der Linux-Kernel wurde auf v4.19.102 aktualisiert.
• runc wurde auf 1.0.0-rc10 aktualisiert. Dadurch wird CVE-2019-19921 behoben.

cos-77-12371-141-0

• Die Behebung für den Linux-Kernel CVE-2019-19072 wurde rückportiert.
• Ein Problem mit der Drosselung des CFS-Kontingents wurde behoben.
• Der Linux-Kernel wurde auf v4.19.91 aktualisiert.

cos-77-12371-114-0

• Der Sysctl-Wert net.ipv4.tcp_limit_output_bytes wurde auf 1.048.576 erhöht.
• Das Problem, dass für jeden Exec-Vorgang in containerd acht runc-Statusprozesse erstellt wurden, wurde behoben. Dies führte zu einer hohen CPU-Auslastung.
• Es wurde ein Fehler behoben, durch den bei jeder runc-Ausführung unnötigerweise zwei separate Test-Slices erstellt wurden, was zu insgesamt vier systemd-Logeinträgen und zusätzlichem Laufzeitaufwand führte.
• Ein Problem in runc wurde behoben, das zu unnötiger CPU-Auslastung führte. Der Linux-Kernel wurde auf Version 4.19.80 aktualisiert.
• Eine Leistungseinbuße im Completely Fair Scheduler (CFS) wurde behoben.

cos-77-12371-89-0

• Der Linux-Kernel wurde auf 4.19.76 aktualisiert.
• Ein Kernel-Patch wurde zurückportiert, um sicherzustellen, dass das Verhältnis von Kontingent und Zeitraum der cfs-Cgroup immer gleich bleibt. Damit wird ein Kubernetes-Problem behoben, bei dem die Cgroup des Pods in einen inkonsistenten Zustand versetzt werden konnte.
• Ein Kernel-Patch wurde rückportiert, um eine Leistungsbeeinträchtigung beim Hoch- und Herunterskalieren von wbt zu beheben.

cos-77-12371-76-0 (im Vergleich zu Meilenstein 73)

Neue Funktionen

• Shielded VM ist standardmäßig aktiviert. Secure Boot ist standardmäßig nicht aktiviert.
• Der cgroup v2-Hybridmodus wurde in systemd aktiviert.
• Unterstützung für den Virtio-Balloon-Treiber hinzugefügt.
• Das Paket „node-problem-detector“ wurde hinzugefügt.
• Das Paket „conntrack-tools“ wurde hinzugefügt.
• Das xfsprogs-Paket wurde hinzugefügt.

Paket-Updates

• systemd wurde auf Version 239 aktualisiert.
• Der Linux-Kernel wurde auf Version 4.19 aktualisiert.
• Docker wurde auf Version 19.03 aktualisiert.
• Kubelet wurde auf Version 1.15 aktualisiert.
• Die compute-image-packages wurden auf Version 20190304 aktualisiert.
• openssl wurde auf Version 1.0.2r aktualisiert.
• openssh wurde auf Version 7.9p1 aktualisiert.
• Der Kernel-Compiler wurde von gcc zu clang geändert.