版本说明:里程碑 69

当前状态

映像系列 cos-69-lts
已在此日期之后弃用 2019 年 12 月 11 日
内核 4.14.145
Kubernetes v1.11.8
Docker v17.03.2

更新日志(与里程碑 68 相比)

cos-69-10895-385-0

日期:2019 年 10 月 8 日
  • 将 Linux 内核升级到了 4.14.145。
  • 反向移植了一个内核补丁,以确保 cfs cgroup 配额/周期比始终保持不变。此问题修复了 Kubernetes 中 pod cgroup 可能更改为不一致状态的问题。

cos-69-10895-348-0

日期:2019 年 8 月 30 日
  • 反向移植了上游回写补丁,以修复 Docker 挂起问题。

cos-69-10895-329-0

日期:2019 年 8 月 8 日
  • 将 Linux 内核升级到了 v4.14.137。此版本解决了 CVE-2019-1125。

cos-69-10895-299-0

日期:2019 年 7 月 12 日
  • 修复了 app-arch/bzip2 中的漏洞 (CVE-2019-12900)。
  • 将内核更新到了版本 v4.14.132。
  • 修复了 NFLX-2019-001 修复引入的问题。

cos-69-10895-277-0

日期:2019 年 6 月 19 日
  • 已将 Linux 内核更新到版本 4.14.127,以解决 NFLX-2019-001 TCP SACK 漏洞。

cos-69-10895-273-0

日期:2019 年 6 月 17 日
  • 将内核更新到了版本 v4.14.124。

cos-69-10895-255-0

日期:2019 年 5 月 28 日
  • 将 curl 升级到 v7.64.1,以修复 CVE-2018-16890。
  • 在内核中挑选了上游补丁 https://patchwork.kernel.org/patch/10951403/,以修复 Linux 内核 v4.14.105 中由提交 01b79d20008d“lockd:显示远程锁的 lockd 的 PID”引入的 lockd 中的 bug。
  • 由 UEFI 安全启动用于对 UEFI 启动路径进行签名和验证的轮换密钥。

cos-69-10895-242-0

日期:2019 年 5 月 15 日
  • 合并了 Linux 稳定内核“v4.14.119”,以解决微架构数据采样 (MDS) 漏洞(CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091)。
  • 缓解了 Linux 内核中的装载挂起问题。

cos-69-10895-211-0

日期:2019 年 4 月 11 日
  • 修复了对 /sys/fs/cgroup/memory/memory.stat 的访问速度缓慢的问题。这解决了 kubelet 性能下降的问题。

cos-69-10895-201-0

日期:2019 年 4 月 1 日
  • 在映像中添加了性能工具。
  • 在映像中添加了 sosreport。
  • 将内置 kubelet 更新为 1.11.8。
  • 修复了安全强化型虚拟机完整性衡量结果未正确记录的问题。
  • 合并了 Linux 稳定版内核“v4.14.106”。

cos-69-10895-172-0

日期:2019 年 2 月 28 日
  • 启用了 kernel.softlockup_all_cpu_backtrace。之前,为了缓解内核死锁问题,此功能被停用,但现在该问题已解决。
  • 通过将 RestartSecs 设置为 10 来配置 docker.service,以便始终在 10 秒后重启 Docker。

cos-69-10895-138-0

日期:2019 年 1 月 24 日
  • 向后移植了针对内核崩溃中的死锁问题的修复。
  • 合并了 Linux 稳定版内核“v4.14.91”。

cos-69-10895-123-0

日期:2019 年 1 月 10 日
  • 将 CONFIG_BLK_WBT_MQ 设置为 y,以提高永久性磁盘的性能隔离。此版本修复了以下 bug:SSD 永久性磁盘上的写入操作可能会影响标准永久性启动磁盘的性能。
  • 挑选了 Ext4 提交,这些提交解决了在特定条件下 NFS CREATE 操作期间中断导致的 FS 不一致问题。
  • 合并了 Linux 稳定版内核“v4.14.89”。

cos-69-10895-102-0

日期:2018 年 12 月 20 日
  • 停用了受屏蔽映像的自动更新。cos-cloud 中的映像不受此变更的影响。
  • 在有状态分区上启用了“metadata_csum”ext4 功能。 这也有助于提升启动磁盘调整大小操作的性能。
  • 仅在明确运行 cloud-audit-setup.service 时应用 IMA 政策。

cos-69-10895-93-0

日期:2018 年 11 月 16 日
  • 将内核更新为 v4.14.79。
  • 修复了 cloud-init 无法写入 gzip 压缩文件的 bug。

cos-69-10895-91-0

日期:2018 年 10 月 29 日
  • 修复了 IMA 与 NFS 之间的交互可能导致死锁的问题。
  • 修复了在 Compute Engine 上的容器中观察到的 stackdriver-logging.service 问题。
  • 现在,如果 CPU 平台具有相应支持,PCID 会默认启用。

cos-69-10895-85-0

日期:2018 年 10 月 11 日
  • 将 softlockup_all_cpu_backtrace 重置为“0”,以避免在某些条件下高 CPU 机器类型上出现内核死锁。

cos-69-10895-71-0

日期:2018 年 10 月 1 日
  • 从内核标头软件工件中删除了用户空间标头。

cos-69-10895-62-0

日期:2018 年 9 月 18 日
  • 升级至稳定版。
  • 反向移植了 一项修复,以确保在运行旋转设备时,SCSI 有助于提高随机性。 此问题已得到解决:由于标准 PD 上自 v4.14.63 合并以来的熵较低,导致 Docker 启动缓慢。
  • 启用 CONFIG_RANDOM_TRUST_CPU 以解决 PD-SSD 启动磁盘上的熵饥饿问题。
  • 将 OpenSSL 升级到了 1.0.2p。
  • 合并了 Linux 稳定版 v4.14.65。
  • 针对 write_files 可以处理 ASCII 内容但无法处理其他内容的 bug,反向移植了相应修复
  • 针对内核警告“WARNING: fs/overlayfs/readdir.c:393 ovl_iterate+0x25c/0x260 WARN_ON(!cache->refcount)”向后移植了修复。
  • 修复了 Linux 内核 CVE-2018-12232。
  • 反向移植了 L1 终端故障 (L1TF) 问题(CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646)的修复。
  • 修复了 CVE-2018-5391。
  • 修复了使用 FUSE 文件系统时在单 VCPU 虚拟机上发生的 softlockup 问题。
  • 将 Kubernetes 更新为 v1.11.1
  • 修复了 CVE-2018-5390。
  • 将默认 kernel.pid_max 增加到 2^22。
  • 将 Linux 稳定版 v4.14.54 合并到内核中。
  • 移除了 SCSI CD-ROM 支持。这解决了 CVE-2018-11506。
  • 将内置 kubelet 升级到 v1.11.0
  • 将 docker-credential-gcr 更新为 1.5.0
  • 更新了 /etc/os-release 中的 BUG_REPORT_URL。
  • 在内核中启用了 NFS 调试配置。
  • 启用了 tcp_bbr 内核模块以实现 TCP 拥塞控制。
  • 将 Git 升级到版本 2.16.4 以修复 CVE 2018-11235。
  • 默认将 --disable-legacy-registry Docker 配置设置为 true。
  • 将 Kubernetes 更新为 1.10.4。
  • 更新了 sshd_config 以删除基于 cbc 的加密。
  • 更新了根 CA 证书以匹配 Mozilla NSS 3.36.1。
  • 将 OpenSSL 更新为 1.0.2o。