Notes de version de Container-Optimized OS : jalon 77

cos-77-12371-1109-0

• Correction de la faille CVE-2020-29660 dans le noyau Linux.
• Correction de la faille CVE-2020-29661 dans le noyau Linux.

cos-77-12371-1105-0

• Correction de la faille CVE-2020-15257 dans containerd.

cos-77-12371-1096-0

• Correction de la faille CVE-2020-14356.

cos-77-12371-1088-0

• Ajout des modules chargeables PPP qui avaient été supprimés dans cos-77-12371-1072-0.
• La configuration "registry-mirrors" de Docker a été déplacée vers la ligne de commande dockerd pour résoudre les erreurs de provisionnement des clusters Kubernetes.

cos-77-12371-1086-0

• La configuration de l'option "registry-mirrors" de Docker a été déplacée de la ligne de commande dockerd vers /etc/docker/daemon.json. Cela devrait permettre aux utilisateurs de configurer un miroir de registre personnalisé, ce qui peut être utile pour répondre aux récents changements apportés au forfait gratuit Docker Hub.
• Correction de la faille CVE-2020-15157 dans containerd.

cos-77-12371-1079-0

• Correction de la faille CVE-2020-14386 du noyau Linux en corrigeant un problème de dépassement d'entier dans tpacket_rcv.

cos-77-12371-1073-0

• Activez utmp dans systemd pour autoriser la création de fichiers utmp.

cos-77-12371-1072-0

• CONFIG_PPP a été désactivé pour atténuer la faille CVE-2020-14416 du noyau Linux.
• Correction de la faille CVE-2020-15705 dans grub.

cos-77-12371-1064-0

• Suppression du daemon de métriques pour résoudre un problème qui entraînait parfois des pics d'utilisation du processeur.

cos-77-12371-326-0

• Ajout de rsync dans l'image, qui avait été supprimé dans cos-dev-77-12293-0-0.
• Montez /var/lib/containerd avec l'option exec.
• La source du noyau a été déplacée vers cos.googlesource.com.
• Correction de la faille CVE-2019-9169.

cos-77-12371-296-0

• Mise à jour de l'image de conteneur de base de la boîte à outils pour inclure les correctifs de sécurité.

cos-77-12371-274-0

• Correction de plusieurs CVE liées à la connexion OS : CVE-2020-8903, CVE-2020-8907 et CVE-2020-8933.

cos-77-12371-273-0

• Correction d'un bug de l'agent Stackdriver Monitoring qui empêchait de signaler l'utilisation de toutes les partitions de disque montées.

cos-77-12371-251-0

• Correction d'un bug du noyau où les programmes eBPF peuvent provoquer des blocages logiciels.

cos-77-12371-233-0

• Désactivation de `accept_ra` sur toutes les interfaces par défaut.

cos-77-12371-227-0

• Mise à niveau du noyau Linux vers la version v4.19.112.
• Rétroportage du correctif systemd ba0d56f55 pour résoudre un problème qui entraînait la fuite d'unités de montage.

cos-77-12371-208-0

• NETFILTER_XT_MATCH_SOCKET activé.
• Correction d'un bug qui empêchait le démarrage du protocole DHCP après des instabilités de liaison.
• Suppression de la limite de taille sur /etc/ pour corriger l'échec de la création du cluster en raison du grand nombre de modules complémentaires.
• Mise à niveau du noyau Linux vers la version 4.19.109.

cos-77-12371-183-0

• Mise à niveau du noyau Linux vers la version 4.19.104.
• Correction du bug lié à l'empty skb TCP à la fin de la file d'écriture dans le noyau.

cos-77-12371-175-0

• Activation de certaines options de qualité de service et de mise en file d'attente équitable dans le noyau Linux.
• Mise à niveau du noyau Linux vers la version 4.19.102.
• Mise à niveau de runc vers la version 1.0.0-rc10. Cette modification corrige CVE-2019-19921.

cos-77-12371-141-0

• Correctif rétroporté pour le noyau Linux CVE-2019-19072.
• Correction du problème de limitation du quota CFS.
• Mise à niveau du noyau Linux vers la version 4.19.91.

cos-77-12371-114-0

• La valeur de sysctl net.ipv4.tcp_limit_output_bytes a été augmentée à 1 048 576.
• Correction du problème de génération de huit processus d'état runc pour chaque exec sur containerd. Cela entraînait une utilisation élevée du processeur.
• Correction de la création inutile de deux tranches de test distinctes (entraînant un total de quatre messages de journal systemd et une surcharge d'exécution) pour chaque exécution runc.
• Correction d'un problème dans runc qui entraînait une consommation inutile de processeur. Mise à niveau du noyau Linux vers la version 4.19.80.
• Correction d'une régression des performances dans le planificateur complètement équitable (CFS).

cos-77-12371-89-0

• Mise à niveau du noyau Linux vers la version 4.19.76.
• Correction d'un patch du noyau pour s'assurer que le ratio quota/période du cgroup cfs reste toujours le même. Cela résout un problème Kubernetes où le cgroup du pod pouvait passer à un état incohérent.
• Rétroportage d'un correctif du noyau pour résoudre la régression des performances lors de l'augmentation ou de la diminution de l'échelle wbt.

cos-77-12371-76-0 (par rapport au jalon 73)

Nouvelles fonctionnalités

• La VM protégée est activée par défaut. Le démarrage sécurisé n'est pas activé par défaut.
• Le mode hybride cgroup v2 a été activé dans systemd.
• Ajout de la prise en charge du pilote de ballon virtio.
• Ajout du package node-problem-detector.
• Ajout du package conntrack-tools.
• Ajout du package xfsprogs.

Mises à jour des packages

• Mise à niveau de systemd vers la version 239.
• Le noyau Linux a été mis à niveau vers la version 4.19.
• Mise à niveau de Docker vers la version 19.03.
• Mise à niveau de Kubelet vers la version 1.15.
• Mise à niveau des packages compute-image vers la version 20190304.
• Mise à niveau d'openssl vers la version 1.0.2r.
• Mise à niveau d'openssh vers la version 7.9p1.
• Le compilateur de noyau est passé de gcc à clang.