fbpx

CL LAB

HOME > CL LAB > Mirantis製品リリース最新情報(2022年12月)#Mirantis

Mirantis製品リリース最新情報(2022年12月)#Mirantis

 ★ 2

Mirantis製品のリリース情報をお届けします

本稿は2022年12月にお送りしたメール内容を掲載しており、リリースノートからの抜粋となります。最新のリリース情報についてはMirantis社の公開するリリースノート全文をご確認ください。

Mirantis製品リリース情報と、Mirantis & Kubernetesニュースレターへのご登録はこちらです。

 

重要

Mirantis Container Runtime(MCR) 20.10.xと、Mirantis Secure Registry(MSR)2.9.x のサポート期間が延長され、下記の通りサポート終了予定日が変更されました。

  • MCR 20.10.x:当初2023年3月10日⇒現在2023年12月10日
  • MSR 2.9.x:当初2023年4月12日⇒現在2023年12月11日

詳細:https://docs.mirantis.com/mcr/20.10/compat-matrix/maintenance-lifecycle.html

 


MCR(Mirantis Container Runtime/旧Docker Enterprise Engine)

MCR  20.10.14 (2022-11-17)

 


MKE(Mirantis Kubernetes Engine/旧Docker Enterprise & Universal Control Plane)

MKE 3.6.1 (2022-11-17)

    • MKE3.6のパッチリリース/3.6.1の主な特徴
      • NVIDIAの設定の無効化が可能に
      • サポートバンドルにAPIエンドポイントを追加
      • Web UIにアカウント権限ページを追加
      • Web UIにおけるイメージPruningセクションの表示を改善
    • セキュリティ情報
      • Kube Ingress Controllerをバージョン1.4.0に更新
      • OPA Gatekeeperをバージョン3.9.2に更新
      • OpenSSLをバージョン3.0.7に更新(CVE-2022-3602、CVE-2022-3786に対応)

MKE3.5.6 (2022-11-17)

    • MKE3.5のパッチリリース/3.5.6の主な特徴
      • Interlockをバージョン3.3.7に更新
      • NVIDIAの設定の無効化が可能に
      • サポートバンドルにAPIエンドポイントを追加
      • Web UIにおけるイメージPruningセクションの表示を改善
    • セキュリティ情報
      • MKE内の脆弱性に対処するために次のミドルウェアコンポーネントのバージョンを更新
        • Interlockをバージョン3.3.7に更新
        • CoreDNSをバージョン1.9.4に更新
        • Calicoをバージョン3.23.3に更新
        • OpenSSLをバージョン3.0.7に更新(CVE-2022-3358、CVE-2022-3602、CVE-2022-3786に対応)

MKE3.4.12 (2022-11-17)

 


MSR(Mirantis Secure Registry/旧Docker Trusted Registry)

MSR3.0.5 (2022-11-21) 

  • リリースノート:https://docs.mirantis.com/msr/3.0/release-notes/3-0-5.html
      • Synopsys scannerをバージョン2022.9.1へアップグレード可能
      • CVE修正に重点を置いたMSR3.0のパッチリリース
      • セキュリティ情報(以下抜粋)
        • SQLiteバージョン1.0.12 から3.39.2より前の3.39.x で、C APIの文字列引数に数十億バイトを使用した場合、配列のオーバーフローが発生することがありました。
          (修正済み):CVE-2022-35737
          https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35737
        • Djangoバージョン3.2.15 より前の3.2、およびバージョン4.07より前の4.0のHTTP FileResponseクラスで発見された問題。FileResponse の Content-Disposition ヘッダを設定する Reflected File Download (RFD) に対するアプリケーションの脆弱性。
          (修正済み):CVE-2022-36359
          https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36359
        • curlバージョン7.84.0より前のバージョンでは、cookie、alt-svc、hstsデータをローカルファイルに保存する際、一時的なファイル名から最終的なターゲットファイル名へのリネームで操作を確定することによって、アトミック操作としています。このリネーム操作では、ターゲットファイルの権限を誤って広げてしまい、更新されたファイルに意図したよりも多くのユーザがアクセスできる状態になってしまう可能性があります。
          (修正済み):CVE-2022-32207
          https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32207
        • libexpatのバージョン2.4.9より前のバージョンには xmlparse.c の doContent 関数に use-after-freeを受ける問題がありました。
          (修正済み):CVE-2022-40674
          https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40674
        • OpenSSL は、レガシーな EVP_CIPHER_meth_new() 関数と関連する関数呼び出しによるカスタム暗号の作成をサポートしています。この関数は OpenSSL 3.0 では非推奨となり、アプリケーションの製作者はカスタム暗号を実装するために新しいプロバイダメカニズムを使用することが推奨されています。OpenSSL バージョン 3.0.0 から 3.0.5 では、EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2(), EVP_CipherInit_ex2() 関数(同様な名前の暗号化および復号初期化関数)に渡すレガシーなカスタム暗号の扱いを誤っていました。カスタム暗号を直接使用するのではなく、利用可能なプロバイダから同等の暗号を誤って取得しようとしました。同等の暗号はEVP_CIPHER_meth_new() 関数に NIDを渡すことで見つかります。このNIDは、与えられた暗号に対してユニークなNIDに替わるはずです。しかし、アプリケーションがEVP_CIPHER_meth_new()の呼び出しで誤ってNID_undefを渡す可能性があります。NID_undef がこのように使われると、OpenSSL の暗号化/復号初期化関数は NULL 暗号と同等であると判断し、利用可能なプロバイダからこれを取得します。これは、デフォルトのプロバイダがロードされている場合(または、この暗号を提供するサードパーティのプロバイダがロードされている場合)に成功します。NULL 暗号を使用すると、平文が暗号文として発行されることになります。アプリケーションは、NID_undef を使用して EVP_CIPHER_meth_new() を呼び出し、その後、暗号化/復号初期化関数の呼び出しでそれを使用した場合にのみ、この問題の影響を受けることになります。SSL/TLSのみを使用するアプリケーションは、この問題の影響を受けません。OpenSSL 3.0.6 で修正されました (3.0.0-3.0.5 は影響を受けます)。
          (修正済み):CVE-2022-3358
          https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3358
        • X.509証明書の検証、特に名前の制約のチェックにおいて、バッファオーバーランが発生する可能性があります。これは証明書チェーン署名検証の後に悪意のある証明書に署名したCAか、信頼できる発行者へのパスを構築できないにもかかわらず、アプリケーションが証明書検証を継続することで発生することに注意してください。攻撃者は、悪意のある電子メールアドレスを細工して、スタック上の攻撃者が制御する4バイトをオーバーフローさせることができます。このバッファオーバーフローは、サービス拒否を引き起こすクラッシュ、またはリモートでのコード実行につながる可能性があります。多くのプラットフォームでは、リモートコード実行のリスクを軽減するスタックオーバーフローの保護機能が実装されています。 このリスクは、任意のプラットフォーム/コンパイラのスタックレイアウトに基づいて、さらに軽減される可能性があります。ユーザは、できるだけ早く新しいバージョンにアップグレードすることが推奨されます。TLSクライアントでは、悪意のあるサーバーに接続することで発生する可能性があります。 TLSサーバーでは、サーバーがクライアント認証を要求し、悪意のあるクライアントが接続した場合に発生する可能性があります。OpenSSL 3.0.7 で修正されました ( 3.0.0、3.0.1、3.0.2、3.0.3、3.0.4、3.0.5、3.0.6は影響を受けます)。
          (修正済み):CVE-2022-3602
          https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3602
        • X.509証明書の検証、特に名前の制約のチェックにおいて、バッファオーバーランが発生する可能性があります。これは証明書チェーン署名検証の後に悪意のある証明書に署名したCAか、信頼できる発行者へのパスを構築できないにもかかわらず、アプリケーションが証明書検証を継続することで発生することに注意してください。攻撃者は、証明書に含まれる不正な電子メールアドレスを細工し、スタック上の「.」文字(10進数で46)を含む任意の数のバイトをオーバーフローさせることができます。 このバッファオーバーフローにより、サービス拒否を引き起こすクラッシュの可能性があります。TLSクライアントでは、悪意のあるサーバーに接続することで発生する可能性があります。TLSサーバーでは、サーバーがクライアント認証を要求し、悪意のあるクライアントが接続した場合に発生する可能性があります。
          (修正済み):CVE-2022-3786
          https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786

MSR2.9.10 (2022-11-21)

  • リリースノート:https://docs.mirantis.com/msr/2.9/release-notes/2-9-10.html
    • Synopsys scannerをバージョン 2022.9.1 に更新
    • セキュリティ情報
      • containerd CRI 実装で、ExecSync API の呼び出し時にコンテナ内のプログラムが containerd デーモンに無制限にメモリを消費させるバグが発見されました。 このため、containerdがコンピューター上で利用可能なすべてのメモリを消費し、他の正当なワークロードのサービスの拒否を引き起こす可能性があります。 Kubernetesとcrictlは、いずれもcontainerd CRI 実装を使用するように設定できます。ExecSyncは、プローブの実行時やexec機能によるプロセスの実行時に使用することができます。このバグは、containerdのバージョン1.6.6 および 1.5.13 で修正されています。ユーザはこれらのバージョンにアップデートすることでこの問題を解決できます。 アップグレードできないユーザは、信頼できるイメージとコマンドのみを使用するようにする必要があります。
        (修正済み):CVE-2022-31030
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31030
      • emicklei/go-restfulバージョン3.8.0 より前のバージョンには、の GitHub リポジトリ emicklei/go-restful のユーザ制御キーによる認証バイパス。
        (修正済み):CVE-2022-1996
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1996
      • SQLiteバージョン1.0.12 から3.39.2より前の3.39.x で、C APIの文字列引数に数十億バイトを使用した場合、配列のオーバーフローが発生することがありました。
        (修正済み):CVE-2022-35737
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35737
      • Djangoバージョン3.2.15 より前の3.2、およびバージョン4.07より前の4.0のHTTP FileResponseクラスで発見された問題。FileResponse の Content-Disposition ヘッダを設定する Reflected File Download (RFD) に対するアプリケーションの脆弱性。
        (修正済み):CVE-2022-36359
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36359
      • curlバージョン7.84.0より前のバージョンでは、cookie、alt-svc、hstsデータをローカルファイルに保存する際、一時的なファイル名から最終的なターゲットファイル名へのリネームで操作を確定することによって、アトミック操作としています。このリネーム操作では、ターゲットファイルの権限を誤って広げてしまい、更新されたファイルに意図したよりも多くのユーザがアクセスできる状態になってしまう可能性があります。
        (修正済み):CVE-2022-32207
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32207
      • libexpatのバージョン2.4.9より前のバージョンには xmlparse.c の doContent 関数に use-after-freeを受ける問題がありました。
        (修正済み):CVE-2022-40674
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40674
      • OpenSSL は、レガシーな EVP_CIPHER_meth_new() 関数と関連する関数呼び出しによるカスタム暗号の作成をサポートしています。この関数は OpenSSL 3.0 では非推奨となり、アプリケーションの製作者はカスタム暗号を実装するために新しいプロバイダメカニズムを使用することが推奨されています。OpenSSL バージョン 3.0.0 から 3.0.5 では、EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2(), EVP_CipherInit_ex2() 関数(同様な名前の暗号化および復号初期化関数)に渡すレガシーなカスタム暗号の扱いを誤っていました。カスタム暗号を直接使用するのではなく、利用可能なプロバイダから同等の暗号を誤って取得しようとしました。同等の暗号はEVP_CIPHER_meth_new() 関数に NIDを渡すことで見つかります。このNIDは、与えられた暗号に対してユニークなNIDに替わるはずです。しかし、アプリケーションがEVP_CIPHER_meth_new()の呼び出しで誤ってNID_undefを渡す可能性があります。NID_undef がこのように使われると、OpenSSL の暗号化/復号初期化関数は NULL 暗号と同等であると判断し、利用可能なプロバイダからこれを取得します。これは、デフォルトのプロバイダがロードされている場合(または、この暗号を提供するサードパーティのプロバイダがロードされている場合)に成功します。NULL 暗号を使用すると、平文が暗号文として発行されることになります。アプリケーションは、NID_undef を使用して EVP_CIPHER_meth_new() を呼び出し、その後、暗号化/復号初期化関数の呼び出しでそれを使用した場合にのみ、この問題の影響を受けることになります。SSL/TLSのみを使用するアプリケーションは、この問題の影響を受けません。OpenSSL 3.0.6 で修正されました (3.0.0-3.0.5 は影響を受けます)。
        (修正済み):CVE-2022-3358
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3358
      • X.509証明書の検証、特に名前の制約のチェックにおいて、バッファオーバーランが発生する可能性があります。これは証明書チェーン署名検証の後に悪意のある証明書に署名したCAか、信頼できる発行者へのパスを構築できないにもかかわらず、アプリケーションが証明書検証を継続することで発生することに注意してください。攻撃者は、悪意のある電子メールアドレスを細工して、スタック上の攻撃者が制御する4バイトをオーバーフローさせることができます。このバッファオーバーフローは、サービス拒否を引き起こすクラッシュ、またはリモートでのコード実行につながる可能性があります。多くのプラットフォームでは、リモートコード実行のリスクを軽減するスタックオーバーフローの保護機能が実装されています。 このリスクは、任意のプラットフォーム/コンパイラのスタックレイアウトに基づいて、さらに軽減される可能性があります。ユーザは、できるだけ早く新しいバージョンにアップグレードすることが推奨されます。TLSクライアントでは、悪意のあるサーバーに接続することで発生する可能性があります。 TLSサーバーでは、サーバーがクライアント認証を要求し、悪意のあるクライアントが接続した場合に発生する可能性があります。OpenSSL 3.0.7 で修正されました ( 3.0.0、3.0.1、3.0.2、3.0.3、3.0.4、3.0.5、3.0.6は影響を受けます)。
        (修正済み):CVE-2022-3602
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3602
      • X.509証明書の検証、特に名前の制約のチェックにおいて、バッファオーバーランが発生する可能性があります。これは証明書チェーン署名検証の後に悪意のある証明書に署名したCAか、信頼できる発行者へのパスを構築できないにもかかわらず、アプリケーションが証明書検証を継続することで発生することに注意してください。攻撃者は、証明書に含まれる不正な電子メールアドレスを細工し、スタック上の「.」文字(10進数で46)を含む任意の数のバイトをオーバーフローさせることができます。 このバッファオーバーフローにより、サービス拒否を引き起こすクラッシュの可能性があります。TLSクライアントでは、悪意のあるサーバーに接続することで発生する可能性があります。TLSサーバーでは、サーバーがクライアント認証を要求し、悪意のあるクライアントが接続した場合に発生する可能性があります。
        (修正済み):CVE-2022-3786
        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786

 


EOL情報

EOLとはEnd of Lifeの略で、ベンダーによるサポート期間が終了する状態を指し、重大なバグや脆弱性が発見されても、パッチリリースや修正が行われない状態を指します。Mirantis製品のライフサイクルは2年です。そのため、定期的かつ計画的なバージョンアップメンテナンスが運用上の必須事項となっております。

詳細はMirantis社のメンテナンスライフサイクルページをご参照ください。
https://docs.mirantis.com/mcr/20.10/compat-matrix/maintenance-lifecycle.html

※MCRはバージョンアップに伴い、古いバージョンのOSはサポートがなくなる場合がございますので、OSの定期的なバージョンアップも必要となります。

詳細はリリースノート内のcompatibility matrixページをご参照ください。
https://docs.mirantis.com/mcr/20.10/compat-matrix/mcr-20.10-compatibility-matrix.html

現在サポートが終了している(EOL)バージョン

次にサポートが終了するバージョン

バージョンアップをサポートします

Mirantis社とクリエーションラインサポートチームは、お客様のバージョンアップを積極的にサポートしています。バージョンアップ実行前に、事前に起こり得る問題を調査しお知らせするサービス(プロアクティブケース:無料)を実施しています。詳しくは下記をご参照のうえぜひご利用ください。
MKE/MCRのバージョンアップの注意点を事前に知る方法
※顧客用サポートポータルにログインしてご覧ください。


製品のご購入に関するお問い合わせはこちらへどうぞ。

CL LAB Mail Magazine

CL LABの情報を逃さずチェックしよう!

メールアドレスを登録すると記事が投稿されるとメールで通知します。

メールアドレス: 登録

※登録後メールに記載しているリンクをクリックして認証してください。

Related post

Kubernetes vs Swarm_whitepaper