Mirantis製品リリース最新情報（2022年8月）#Mirantis

Mirantis製品のリリース情報をお届けします。

本記事は2022年8月にお送りしたメール内容を編集し掲載しています。
Mirantis製品リリース情報と、Mirantis & Kubernetesニュースレターへのご登録はこちらです。
また、本記事に掲載している情報はリリースノートからの抜粋になりますので、必ずリリースノート全文をご確認ください。

MKE（Mirantis Kubernetes Engine／旧Docker Enterprise ＆ Universal Control Plane）

MKE 3.5.4 (2022-06-21)

• リリースノート：https://docs.mirantis.com/mke/3.5/release-notes/3-5-4.html
• MKE3.5のパッチリリース／3.5.4の主な特徴：
  • LDAP と SAML の同時使用をサポート
  • MKEのWeb UIにダークモードを追加
  • アンインストール時のsecrets削除を防止
  • MKEのweb UIにおけるイメージプルーニングのサポート
  • etcdクラスタのデフラグ
  • GCPのサポート（テクニカルプレビュー版）
• WindowsノードにおけるgMSAサポートと、Compose on Kubernetes
  は、このリリースでMKEから削除されました。

MKE 3.4.10 (2022-06-21)

• リリースノート：https://docs.mirantis.com/mke/3.4/release-notes/3-4-10.html
  • Kubernetesバージョン1.20.15に更新
  • Calicoバージョン3.19.3に更新
  • WindowsノードにおけるgMSAサポートと、Compose on Kubernetesは、このリリースでMKEから削除されました。
  • Istio Ingressは非推奨になりました。

MKE 3.3.17 (2022-06-21)　※サポート終了バージョン

【重要】MKE 3.3.xは、今回リリースされた3.3.17も含めて2022-05-27 にすべてのサポートが終了しており、MKE 3.3.17が最後のパッチリリースとなります。

• リリースノート：https://docs.mirantis.com/mke/3.3/release-notes/3-3-17.html
  • Kubernetesバージョン1.18.20に更新
  • Calicoバージョン3.18.4
  • WindowsノードにおけるgMSAサポートと、Compose on Kubernetesは、このリリースでMKEから削除されました。

MSR（Mirantis Secure Registry／旧Docker Trusted Registry）

MSR 3.0.3 (2022-06-22)　

• リリースノート：ttps://docs.mirantis.com/msr/3.0/release-notes/3-0-2.html
• MSR3.0のパッチリリース
• セキュリティ情報：
  • Synopsys scannerを2022.3.1リリースに更新。
  • zlibのバージョン1.2.12より前のバージョンでは、位置の離れた一致点が入力に多数ある場合、展開時にメモリ破壊を起こすことがあった。
    （修正済み）：CVE-2018-25032

  • BusyBoxのバージョン1.35.0より前のバージョンでは、netstat を使用して DNS PTR レコードの値を VT 互換ターミナルに出力すると、リモート攻撃者が任意のコードを実行することができ、また攻撃者はターミナルの色を変更することもできた。
    （修正済み）：CVE-2022-28391

  • GORMのバージョン1.9.10より前のバージョンでは、不完全な括弧による、SQLインジェクションを許していた。[注意] GORMは信頼できるSQLフラグメントの入力を期待しているにも関わらず、信頼できないユーザ入力を渡してしまうのはGORMの間違った使い方であり、GORMではなくアプリケーションの脆弱性である。
    （修正済み）：CVE-2019-15562

  • jwt-goのバージョン4.0.0-preview1より前のバージョンでは、仕様上許可されているm["aud"] に []string{} を指定した場合、攻撃者がアクセス制限を回避できた。audの値は、型アサーションに失敗するため、""となる。これは、JWTトークンが独自のオーディエンスチェックを持たないサービスに提示された場合、セキュリティ上の問題となっていた。
    （修正済み／誤検知）：CVE-2020-26160

  • このCVEはJobRunnerイメージに対するものであるが、JobRunnerで実行されるコンポーネントの必須の依存関係にあるopenldapの脆弱性であり、またopenldapは実行されないため脆弱性ではない。
    （脆弱性ではない）：CVE-2022-29155

  • Alpine Linuxは、このCVEの対象であるOpenSSLのバージョンを含んでいるが、c_rehashスクリプトはCバイナリに置き換えられているため、誤検出である。
    （誤検出）：CVE-2022-1292

  • NumPyのバージョン1.16.0より前のバージョンでは、pickle Python モジュールを安全でない方法で使用している。そのため、リモート攻撃者が細工したシリアル化されたオブジェクトを介して任意のコードが実行されうることが numpy.load の呼び出しで実証済み。
    [注意]この問題は、例えば信頼され認証されたソースからシリアル化されたPythonオブジェクト配列をロードする際は、正当なアプリケーションが取りうる動作であるとして、第三者が異議を申し立てている。
    （誤検出）：CVE-2019-6446

MSR 2.9.8 (2022-06-22)　

• リリースノート：https://docs.mirantis.com/msr/2.9/release-notes/2-9-8.html

• セキュリティ情報：
  • Synopsys scannerを2022.3.1リリースに更新。
  • zlibのバージョン1.2.12より前のバージョンでは、位置の離れた一致点が入力に多数ある場合、展開時にメモリ破壊を起こすことがあった。
    （修正済み）：CVE-2018-25032

  • BusyBoxのバージョン1.35.0より前のバージョンでは、netstat を使用して DNS PTR レコードの値を VT 互換ターミナルに出力すると、リモート攻撃者が任意のコードを実行することができ、また攻撃者はターミナルの色を変更することもできた。
    （修正）：CVE-2022-28391

  • GORMのバージョン1.9.10より前のバージョンでは、不完全な括弧による、SQLインジェクションを許していた。[注意] GORMは信頼できるSQLフラグメントの入力を期待しているにも関わらず、信頼できないユーザ入力を渡してしまうのはGORMの間違った使い方であり、GORMではなくアプリケーションの脆弱性である。
    （修正済み）：CVE-2019-15562

  • containerdのバージョン1.6.1／1.5.10／1.14.12より前のバージョンでは、特殊に細工したイメージ設定でLinux上のcontainerdのCRIを通じて起動したコンテナが、ホスト上の読み込み専用の任意のファイルやディレクトリのコピーにアクセスできるバグがあった。
    （修正済み）：CVE-2022-23648

  • このCVEはJobRunnerイメージに対するものであるが、JobRunnerで実行されるコンポーネントの必須の依存関係にあるopenldapの脆弱性であり、またopenldapは実行されないため脆弱性ではない。
    （脆弱性ではない）：CVE-2022-29155

  • Alpine LinuxはこのCVEの対象であるOpenSSLのバージョンを含んでいるが、c_rehashスクリプトはCバイナリに置き換えられているため、誤検出である。
    （誤検出）：CVE-2022-1292

  • NumPyのバージョン1.16.0より前のバージョンでは、pickle Python モジュールを安全でない方法で使用している。そのため、リモート攻撃者が細工したシリアル化されたオブジェクトを介して任意のコードが実行されうることが numpy.load の呼び出しで実証済み。
    [注意] 例えば、信頼され認証されているソースからシリアル化されたPythonオブジェクト配列をロードする際、正当なアプリケーションの動作でもあるとして、第三者がこの問題に異議を申し立てている。（誤検出）：CVE-2019-6446

MSR 2.8.13 (2022-06-22)　※サポート終了バージョン

【重要】MSR 2.8.xは、今回リリースされた2.8.13も含めて2022-05-27 にすべてのサポートが終了しており、MSR2.8.13が最後のパッチリリースとなります。

• リリースノート：https://docs.mirantis.com/msr/2.8/release-notes/2-8-13.html
  • セキュリティ情報：
    • zlibのバージョン1.2.12より前のバージョンでは、位置の離れた一致点が入力に多数ある場合、展開時にメモリ破壊を起こすことがあった。
      （修正済み）：CVE-2018-25032

    • BusyBoxのバージョン1.35.0より前のバージョンでは、netstat を使用して DNS PTR レコードの値を VT 互換ターミナルに出力すると、リモート攻撃者が任意のコードを実行することができ、また攻撃者はターミナルの色を変更することもできた。
      （修正済み）：CVE-2022-28391

    • GORMのバージョン1.9.10より前のバージョンでは、不完全な括弧による、SQLインジェクションを許していた。
      [注意] GORMは信頼できるSQLフラグメントの入力を期待しているにも関わらず、信頼できないユーザ入力を渡してしまうのはGORMの間違った使い方であり、GORMではなくアプリケーションの脆弱性である。
      （修正済み）：CVE-2019-15562

    • jwt-goのバージョン4.0.0-preview1 より前のバージョンでは、仕様上許可されているm["aud"] に []string{} を指定した場合、攻撃者がアクセス制限を回避できた。audの値は、型アサーションに失敗するため、""となる。これは、JWTトークンが独自のオーディエンスチェックを持たないサービスに提示された場合、セキュリティ上の問題となっていた。
      （修正済み／誤検知）：CVE-2020-26160

    • containerdのバージョン1.6.1, 1.5.10, 1.14.12より前のバージョンでは、特殊に細工したイメージ設定でLinux上のcontainerdのCRIを通じて起動したコンテナが、ホスト上の任意のファイルやディレクトリの読み取り専用コピーにアクセスできるバグあり。
      （修正済み）：CVE-2022-23648

    • この CVE はJobRunnerイメージに対するものであるが、JobRunnerで実行されるコンポーネントの必須の依存関係にあるopenldapの脆弱性であり、またopenldapは実行されないため脆弱性ではない。
      （脆弱性ではない）：CVE-2022-29155

    • Alpine Linuxは、このCVEの対象であるOpenSSLのバージョンを含んでいるが、c_rehashスクリプトはCバイナリに置き換えられているため、誤検出である。
      （誤検出）：CVE-2022-1292

    • NumPyのバージョン1.16.0より前のバージョンでは、pickle Python モジュールを安全でない方法で使用している。そのため、リモート攻撃者が細工したシリアル化されたオブジェクトを介して任意のコードが実行されうることが numpy.load の呼び出しで実証済み。
      [注意] 例えば、信頼され認証されているソースからシリアル化されたPythonオブジェクト配列をロードする際、正当なアプリケーションの動作でもあるとして、第三者がこの問題に異議を申し立てている。
      （誤検出）：CVE-2019-6446

  MCR（Mirantis Container Runtime／旧Docker Enterprise Engine）

  

  20.10.12 (2022-06-21)

  • リリースノート：https://docs.mirantis.com/mcr/20.10/release-notes/20-10-12.html
  • セキュリティ修正：
    • sysモジュール - golang.org/x/sys - pkg.go.devの依存関係を更新：CVE-2022-29526

  MCR 19.03.23 (2022-06-21)※サポート終了バージョン

  【重要】MCR 19.03.xは、今回リリースされた19.03.23も含めて2022-05-27 にすべてのサポートが終了しており、MCR 19.03.23が最後のパッチリリースとなります。

  • リリースノート：https://docs.mirantis.com/mcr/19.03/release-notes/19-03-23.html
  • セキュリティ修正：
    • containerd を 1.6.6 に更新：CVE-2022-31030

  EOL情報

  EOLとはEnd of Lifeの略で、ベンダーによるサポート期間が終了する状態を指し、重大なバグや脆弱性が発見されても、パッチリリースや修正が行われない状態を指します。
  Mirantis製品のライフサイクルは2年です。そのため、定期的かつ計画的なバージョンアップメンテナンスが運用上の必須事項となっております。
  詳細はMirantis社のメンテナンスライフサイクルページをご参照ください。
  参照：https://docs.mirantis.com/mcr/20.10/compat-matrix/maintenance-lifecycle.html

  ※MCRはバージョンアップに伴い、古いバージョンのOSはサポートがなくなる場合がございますので、OSの定期的なバージョンアップも必要となります。
  詳細はリリースノート内のcompatibility matrixページをご参照ください。
  参照：https://docs.mirantis.com/mcr/20.10/compat-matrix/mcr-20.10-compatibility-matrix.html

  現在サポートが終了している（EOL）バージョン

• MKEのEOLバージョンはこちら
• MSRのEOLバージョンはこちら
• MCRのEOLバージョンはこちら

次にサポートが終了するバージョン

• MKE3.4.z (2023-04-11)
• MSR2.9.z (2023-04-11)
• MCR20.10.z (2023-03-10)

バージョンアップをサポートします

Mirantis社とクリエーションラインサポートチームは、お客様のバージョンアップを積極的にサポートしています。
バージョンアップ実行前に、事前に起こり得る問題を調査しお知らせするサービス（プロアクティブケース：無料）を実施しています。詳しくは下記をご参照のうえぜひご利用ください。

• MKE／MCRのバージョンアップの注意点を事前に知る方法

※クリエーションラインサポートポータルにログインしてご覧ください。
※ご不明点はサポートチケットにてご質問ください。