Notas de la versión de Container-Optimized OS: Milestone 77

cos-77-12371-1109-0

• Se ha corregido la vulnerabilidad CVE-2020-29660 en el kernel de Linux.
• Se ha corregido la vulnerabilidad CVE-2020-29661 en el kernel de Linux.

cos-77-12371-1105-0

• Se ha corregido CVE-2020-15257 en containerd.

cos-77-12371-1096-0

• Se ha corregido CVE-2020-14356.

cos-77-12371-1088-0

• Se han vuelto a añadir los módulos cargables de PPP, que se habían quitado en cos-77-12371-1072-0.
• Se ha movido la configuración "registry-mirrors" de Docker a la línea de comandos de dockerd para solucionar los errores de aprovisionamiento de clústeres de Kubernetes.

cos-77-12371-1086-0

• Se ha movido la configuración de la opción "registry-mirrors" de Docker de la línea de comandos de dockerd a /etc/docker/daemon.json. De esta forma, los usuarios podrán configurar un mirror de registro personalizado, lo que puede ser útil para responder a los cambios recientes del nivel gratuito de Docker Hub.
• Se ha corregido CVE-2020-15157 en containerd.

cos-77-12371-1079-0

• Se ha corregido la vulnerabilidad CVE-2020-14386 del kernel de Linux solucionando un problema de desbordamiento de enteros en tpacket_rcv.

cos-77-12371-1073-0

• Se ha habilitado utmp en systemd para permitir la creación de archivos utmp.

cos-77-12371-1072-0

• Se ha inhabilitado CONFIG_PPP para mitigar la vulnerabilidad CVE-2020-14416 del kernel de Linux.
• Se ha corregido la vulnerabilidad CVE-2020-15705 en grub.

cos-77-12371-1064-0

• Se ha eliminado el daemon de métricas para solucionar un problema que provocaba que, en algunos casos, se produjeran picos de uso de la CPU periódicamente.

cos-77-12371-326-0

• Se ha vuelto a añadir rsync a la imagen, que se había eliminado en cos-dev-77-12293-0-0.
• Monta /var/lib/containerd con la opción exec.
• Se ha movido la fuente del kernel a cos.googlesource.com.
• Se ha corregido CVE-2019-9169.

cos-77-12371-296-0

• Se ha actualizado la imagen de contenedor base de la caja de herramientas para incluir parches de seguridad.

cos-77-12371-274-0

• Se han corregido algunas CVEs de inicio de sesión del SO: CVE-2020-8903, CVE-2020-8907 y CVE-2020-8933.

cos-77-12371-273-0

• Se ha corregido un error del agente de Stackdriver Monitoring que provocaba que no se informara del uso de todas las particiones de disco montadas.

cos-77-12371-251-0

• Se ha corregido un error del kernel que provocaba que los programas eBPF pudieran causar bloqueos de software.

cos-77-12371-233-0

• Se ha inhabilitado `accept_ra` en todas las interfaces de forma predeterminada.

cos-77-12371-227-0

• Se ha actualizado el kernel de Linux a la versión 4.19.112.
• Se ha aplicado la versión anterior del parche ba0d56f55 de systemd para solucionar un problema que provocaba que se filtraran unidades de montaje.

cos-77-12371-208-0

• Habilitado NETFILTER_XT_MATCH_SOCKET.
• Se ha corregido un error que provocaba que DHCP no se iniciara después de que se produjeran fluctuaciones en el enlace.
• Se ha eliminado el límite de tamaño de /etc/ para solucionar el error de creación de clústeres debido a un gran número de complementos.
• Se ha actualizado el kernel de Linux a la versión 4.19.109.

cos-77-12371-183-0

• Se ha actualizado el kernel de Linux a la versión 4.19.104.
• Se ha corregido un error de skb vacío de TCP al final de la cola de escritura en el kernel.

cos-77-12371-175-0

• Se han habilitado algunas opciones de QoS y de colas justas en el kernel de Linux.
• Se ha actualizado el kernel de Linux a la versión 4.19.102.
• Se ha actualizado runc a la versión 1.0.0-rc10. Se ha resuelto la vulnerabilidad CVE-2019-19921.

cos-77-12371-141-0

• Se ha aplicado una corrección a una versión anterior del kernel de Linux para la vulnerabilidad CVE-2019-19072.
• Se ha corregido un problema de limitación de cuota de CFS.
• Se ha actualizado el kernel de Linux a la versión 4.19.91.

cos-77-12371-114-0

• Se ha aumentado sysctl net.ipv4.tcp_limit_output_bytes a 1048576.
• Se ha solucionado el problema de generar 8 procesos de estado de runc por cada ejecución en containerd. Esto provocaba un uso elevado de la CPU.
• Se ha corregido la creación innecesaria de dos segmentos de prueba independientes (lo que daba como resultado un total de 4 mensajes de registro de systemd + sobrecarga de tiempo de ejecución) para cada ejecución de runc.
• Se ha corregido un problema en runc que provocaba un consumo innecesario de CPU. Se ha actualizado el kernel de Linux a la versión 4.19.80.
• Se ha corregido una regresión del rendimiento en el programador completamente justo (CFS).

cos-77-12371-89-0

• Se ha actualizado el kernel de Linux a la versión 4.19.76.
• Se ha aplicado una versión anterior de un parche del kernel para asegurarse de que la relación entre la cuota y el periodo de cgroup de CFS siempre sea la misma. Se ha solucionado un problema de Kubernetes que podía provocar que el cgroup del pod pasara a un estado incoherente.
• Se ha aplicado una versión anterior de un parche del kernel para corregir la regresión del rendimiento en wbt scale_up/scale_down.

cos-77-12371-76-0 (en comparación con Milestone 73)

Nuevas funciones

• Habilitar VM blindada de forma predeterminada. El arranque seguro no está habilitado de forma predeterminada.
• Se ha habilitado el modo híbrido cgroup v2 en systemd.
• Se ha añadido compatibilidad con el controlador de globo virtio.
• Se ha añadido el paquete node-problem-detector.
• Se ha añadido el paquete conntrack-tools.
• Se ha añadido el paquete xfsprogs.

Actualizaciones de paquetes

• Se ha actualizado systemd a la versión 239.
• Se ha actualizado el kernel de Linux a la versión 4.19.
• Se ha actualizado Docker a la versión 19.03.
• Se ha actualizado Kubelet a la versión 1.15.
• Se ha actualizado compute-image-packages a la versión 20190304.
• Se ha actualizado openssl a la versión 1.0.2r.
• Se ha actualizado openssh a la versión 7.9p1.
• Se ha cambiado el compilador del kernel de gcc a clang.