Notas de lançamento: marco 69

cos-69-10895-385-0

• Upgrade do kernel do Linux para 4.14.145.
• Fiz um backport de um patch do kernel para garantir que a proporção de cota/período do cgroup cfs sempre permaneça a mesma. Isso resolve um problema do Kubernetes em que o cgroup do pod podia ser alterado para um estado inconsistente.

cos-69-10895-348-0

• Aplicamos retroativamente patches de writeback upstream para corrigir um problema de bloqueio do Docker.

cos-69-10895-329-0

• Upgrade do kernel do Linux para a v4.14.137. Isso resolve o CVE-2019-1125.

cos-69-10895-299-0

• Vulnerabilidade corrigida em app-arch/bzip2 (CVE-2019-12900).
• Atualização do kernel para a versão v4.14.132.
• Correção de um problema introduzido pelas correções do NFLX-2019-001.

cos-69-10895-277-0

• Atualizamos o kernel do Linux para a versão 4.14.127 para resolver as vulnerabilidades do TCP SACK NFLX-2019-001.

cos-69-10895-273-0

• Atualização do kernel para a versão v4.14.124.

cos-69-10895-255-0

• O curl foi atualizado para a v7.64.1 para corrigir a CVE-2018-16890.
• Patch upstream escolhido a dedo https://patchwork.kernel.org/patch/10951403/ no kernel para corrigir um bug no lockd introduzido pelo commit 01b79d20008d "lockd: Show pid of lockd for remote locks" no kernel do Linux v4.14.105.
• Chaves rotacionadas usadas pela inicialização segura do UEFI para assinar e verificar o caminho de inicialização do UEFI.

cos-69-10895-242-0

• Kernel estável do Linux 'v4.14.119' mesclado para resolver vulnerabilidades de amostragem de dados microarquiteturais (MDS, na sigla em inglês) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).
• Mitigamos um problema de espera de montagem no kernel do Linux.

cos-69-10895-211-0

• Corrigido o acesso lento a /sys/fs/cgroup/memory/memory.stat. Isso resolve a degradação da performance do kubelet.

cos-69-10895-201-0

• Incluímos a ferramenta de desempenho na imagem.
• Incluído o sosreport na imagem.
• O kubelet integrado foi atualizado para a versão 1.11.8.
• Correção de um problema em que as medições de integridade da VM protegida não estavam sendo registradas corretamente.
• Versão estável do Linux Kernel "v4.14.106" mesclada.

cos-69-10895-172-0

• Ativação do kernel.softlockup_all_cpu_backtrace. Isso foi desativado anteriormente para atenuar um problema de impasse do kernel, que agora está resolvido.
• Configuração do docker.service ao definir o RestartSecs = 10 para sempre reiniciar o Docker após 10 segundos.

cos-69-10895-138-0

• Correção aplicada retroativamente a um problema de impasse na falha do kernel.
• Versão estável do Linux Kernel 'v4.14.91' mesclada.

cos-69-10895-123-0

• Configuração do CONFIG_BLK_WBT_MQ=y para melhorar o desempenho do isolamento em discos permanentes. Isso corrige um erro em que as gravações em um disco permanente SSD podem afetar o desempenho no disco de inicialização permanente padrão.
• Seleção criteriosa de confirmações Ext4 que gerencia inconsistências causadas por interrupções da operação NFS CREATE em determinadas condições
• Versão estável do Linux Kernel "v4.14.89" mesclada.

cos-69-10895-102-0

• Atualização automática desativada em imagens protegidas. Imagens no cos-cloud não são afetadas por essa mudança.
• Ativação do recurso ext4 "metadata_csum" na partição com estado. O que também melhora o desempenho da operação de redimensionamento do disco de inicialização.
• Aplicação da Política IMA apenas quando o cloud-audit-setup.service for explicitamente executado.

cos-69-10895-93-0

• Atualização do Kernel para v4.14.79.
• Correção do erro em que o cloud-init não grava arquivos com gzip.

cos-69-10895-91-0

• Correção de um problema em que uma interação entre o IMA e o NFS poderia causar um impasse.
• Correção de um problema do "stackdriver-logging.service" observado em contêineres no Compute Engine.
• O PCID agora é ativado por padrão quando compatível com a plataforma da CPU.

cos-69-10895-85-0

• softlockup_all_cpu_backtrace redefinido para "0" para evitar o impasse do kernel em máquinas de alta CPU em certas circunstâncias.

cos-69-10895-71-0

• Remoção dos cabeçalhos de espaço do usuário do artefato de cabeçalho do kernel.

cos-69-10895-62-0

• Promoção para canal Stable.
• Backport de uma correção para garantir que o SCSI contribua para a aleatoriedade ao executar o dispositivo rotacional. Isso resolve um problema em que o docker demora para iniciar devido à baixa entropia em PDs padrão desde a mesclagem da v4.14.63.
• CONFIG_RANDOM_TRUST_CPU ativado para resolver a privação de entropia em discos de inicialização PD-SSD.
• OpenSSL atualizado para 1.0.2p.
• Versão estável do Linux v4.14.65 mesclada.
• Backport da correção para um bug que write_files podia processar para conteúdo ASCII, mas não para outros conteúdos.
• Correção de backport para um aviso de kernel "WARNING: fs/overlayfs/readdir.c:393 ovl_iterate+0x25c/0x260 WARN_ON(!cache->refcount)".
• Correção para o kernel do Linux CVE-2018-12232.
• Correções de backport para o problema "L1 Terminal Fault" (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646).
• Correções para CVE-2018-5391.
• Corrigido um problema de softlockup que ocorria em VMs VCPU únicas ao usar sistemas de arquivos FUSE.
• Kubernetes atualizado para v1.11.1.
• Correções para CVE-2018-5390
• kernel.pid_max padrão aumentado para 2^22.
• Versão estável do Linux v4.14.54 mesclada no kernel.
• Removido o suporte a CD-ROM SCSI. Isso resolve o CVE-2018-11506.
• Kubelet integrado atualizado para v1.11.0.
• docker-credential-gcr atualizado para 1.5.0
• BUG_REPORT_URL atualizado em /etc/os-release.
• Configurações de depuração NFS ativadas no kernel.
• Módulo de kernel tcp_bbr ativado para controle de congestionamento TCP.
• Git atualizado para a versão 2.16.4 para corrigir o CVE 2018-11235.
• Defina a configuração do Docker --disable-legacy-registry como "true" por padrão.
• Kubernetes atualizado para 1.10.4.
• Sshd_config atualizado para descartar criptografias baseadas em cbc.
• Certificados de CA raiz atualizados para corresponder ao Mozilla NSS 3.36.1.
• OpenSSL atualizado para 1.0.2o.