Notas da versão do Container-Optimized OS: marco 77

Status atual

Família de imagens cos-77-lts
Obsoleto após 11 de janeiro de 2021
Kernel 4.19.112
Kubernetes v1.15.3
Docker v19.03.1

Registro de alterações

cos-77-12371-1109-0

Data: 11 de janeiro de 2021
  • Corrigida a CVE-2020-29660 no kernel do Linux.
  • Foi corrigida a CVE-2020-29661 no kernel do Linux.

cos-77-12371-1105-0

Data: 02 de dezembro de 2020
  • Foi corrigida a CVE-2020-15257 no containerd.

cos-77-12371-1096-0

Data: 26 de outubro de 2020
  • Foi corrigida a CVE-2020-14356.

cos-77-12371-1088-0

Data: 12 de outubro de 2020
  • Adição de volta dos módulos carregáveis do PPP, que foram removidos no cos-77-12371-1072-0.
  • Movemos a configuração "registry-mirrors" do Docker para a linha de comando do dockerd para resolver erros de provisionamento de cluster do Kubernetes.

cos-77-12371-1086-0

Data: 8 de outubro de 2020
  • Movemos a configuração da opção "registry-mirrors" do Docker da linha de comando dockerd para /etc/docker/daemon.json. Isso permite que os usuários configurem um espelho de registro personalizado, o que pode ser útil ao responder às mudanças recentes no nível gratuito do Docker Hub.
  • Foi corrigida a CVE-2020-15157 no containerd.

cos-77-12371-1079-0

Data: 05 de setembro de 2020
  • A vulnerabilidade CVE-2020-14386 do kernel do Linux foi corrigida com a solução de um problema de estouro de números inteiros em tpacket_rcv.

cos-77-12371-1073-0

Data: 21 de agosto de 2020
  • Ativou o utmp no systemd para permitir a criação de arquivos utmp.

cos-77-12371-1072-0

Data: 10 de agosto de 2020
  • Desativamos o CONFIG_PPP para mitigar a CVE-2020-14416 do kernel do Linux.
  • Foi corrigida a CVE-2020-15705 no grub.

cos-77-12371-1064-0

Data: 30 de julho de 2020
  • Removemos o daemon de métricas para resolver um problema que causava picos periódicos de uso da CPU em alguns casos.

cos-77-12371-326-0

Data: 13 de julho de 2020
  • O rsync foi adicionado de volta à imagem, que foi removida em cos-dev-77-12293-0-0.
  • Monte /var/lib/containerd com a opção exec.
  • O código-fonte do kernel foi movido para cos.googlesource.com.
  • Foi corrigida a CVE-2019-9169.

cos-77-12371-296-0

Data: 16 de junho de 2020
  • Atualizamos a imagem do contêiner de base da caixa de ferramentas para incluir patches de segurança.

cos-77-12371-274-0

Data: 26 de maio de 2020
  • Foram corrigidas algumas CVEs do login do SO: CVE-2020-8903, CVE-2020-8907 e CVE-2020-8933.

cos-77-12371-273-0

Data: 21 de maio de 2020
  • Corrigido um bug do agente do Stackdriver Monitoring em que nem todas as partições de disco montadas tinham o uso informado.

cos-77-12371-251-0

Data: 29 de abril de 2020
  • Correção de um bug do kernel em que programas eBPF podem causar softlockups.

cos-77-12371-233-0

Data: 29 de abril de 2020
  • Desativamos o `accept_ra` em todas as interfaces por padrão.

cos-77-12371-227-0

Data: 05 de abril de 2020
  • Upgrade do kernel do Linux para v4.19.112.
  • O patch do systemd ba0d56f55 foi recompilado para resolver um problema que resultava em unidades de montagem vazadas.

cos-77-12371-208-0

Data: 17 de março de 2020
  • NETFILTER_XT_MATCH_SOCKET ativado.
  • Correção de um bug em que o DHCP não era iniciado após oscilações de link.
  • Removido o limite de tamanho em /etc/ para corrigir a falha na criação do cluster devido ao grande número de complementos.
  • Upgrade do kernel do Linux para a v4.19.109.

cos-77-12371-183-0

Data: 21 de fevereiro de 2020
  • Upgrade do kernel do Linux para a v4.19.104.
  • Correção do bug de skb vazio do TCP na parte final da fila de gravação no kernel.

cos-77-12371-175-0

Data: 12 de fevereiro de 2020
  • Ativamos algumas opções de QoS e de enfileiramento justo no kernel do Linux.
  • Upgrade do kernel do Linux para a versão 4.19.102.
  • O runc foi atualizado para a versão 1.0.0-rc10. Isso resolve o CVE-2019-19921.

cos-77-12371-141-0

Data: 7 de janeiro de 2020
  • Correção com backport para o kernel do Linux CVE-2019-19072.
  • Correção do problema de limitação de cota do CFS.
  • Upgrade do kernel do Linux para a v4.19.91.

cos-77-12371-114-0

Data: 31 de outubro de 2019
  • Aumentamos sysctl net.ipv4.tcp_limit_output_bytes para 1048576.
  • Correção do problema de geração de oito processos de estado do runc para cada execução no containerd. Isso estava causando alta utilização da CPU.
  • Corrigida a criação desnecessária de duas partições de teste separadas (resultando em 4 mensagens de registro do systemd no total + sobrecarga de tempo de execução) para cada execução do runc.
  • Foi corrigido um problema no runc que resultava em consumo desnecessário de CPU. Upgrade do kernel do Linux para a v4.19.80.
  • Correção de uma regressão de desempenho no Completely Fair Scheduler (CFS).

cos-77-12371-89-0

Data: 9 de outubro de 2019
  • Upgrade do kernel do Linux para 4.19.76.
  • Fiz um backport de um patch do kernel para garantir que a proporção de cota/período do cgroup cfs sempre permaneça a mesma. Isso resolve um problema do Kubernetes em que o cgroup do pod podia ser alterado para um estado inconsistente.
  • Aplicamos retroativamente um patch do kernel para corrigir a regressão de desempenho no wbt scale_up/scale_down.

cos-77-12371-76-0 (em comparação com o marco 73)

Data: 27 de setembro de 2019

Novos recursos

  • Ativamos a VM protegida por padrão. A inicialização segura não está ativada por padrão.
  • Ativamos o modo híbrido cgroup v2 no systemd.
  • Adicionamos suporte ao driver de balão virtio.
  • Adição do pacote node-problem-detector.
  • Adição do pacote conntrack-tools.
  • Adição do pacote xfsprogs.

Atualizações de pacotes

  • Atualizamos o systemd para a versão 239.
  • O kernel do Linux foi atualizado para a versão 4.19.
  • Atualização do Docker para a versão 19.03.
  • Kubelet atualizado para a versão 1.15.
  • Atualizamos o compute-image-packages para a versão 20190304.
  • Atualizamos o openssl para a versão 1.0.2r.
  • O openssh foi atualizado para a versão 7.9p1.
  • Mudança do compilador de kernel de gcc para clang.