[和訳] Chef Server 12.0.6 リリース #getchef

本稿は Chef Server 12.0.6 Released (2015/03/19) の和訳です。

本日Chef Server 12.0.6をリリースできたことを嬉しく思います。この更新は最新のOpenSSL 1.0.1mに加えてバグ修正とAPIの改善を含みます。

OpenSSL 1.0.1m

Chef Serverと他のChefプロダクトが同梱しているOpenSSLはCVE-2015-0291の脆弱性はありません(Charles Johnsonの先の投稿(訳注:和訳)を見てください)。それでも本日のリリースに1.0.1系の最新バージョンを含みました。このOpenSSLの更新は次のセキュリティ修正を含みます。

• CVE-2015-0286: ASN1_TYPE_cmpでのセグメンテーション違反
• CVE-2015-0287: ASN.1構造体が壊れたメモリを再利用する
• CVE-2015-0289: PKCS7のヌルポインタ間接参照
• CVE-2015-0293: SSLv2サーバでassertに到達することによるDoS
• CVE-2015-0209: d2i_ECPrivatekeyエラーに伴う解放後済メモリの利用
• CVE-2015-0288: X509_to_X509_REQヌルポインタ間接参照

バグ修正

次はChef Server 12.0.5から修正されたバグです。

• chef-server#119: external_authentication_uidに特殊文字を含むLDAPユーザがログインできない
• chef-server#97: org-user-addの-aフラグがbilling-admin権限を付与しない
• chef-server#17: chef-server-ctl add-userコマンドで--filenameオプションに不正なパスを指定してユーザを作成した際、ファイルシステムに鍵が書かれない
• opscode-omnibus#648: JMXのセキュリティに関する問題

キーローテーションとポリシーファイル

最新リリースにおいて、キーローテーションとポリシーファイル機能はまだ絶賛開発中で、徐々にお届けしているところです。あるマイルストーンに到達したら、これらの機能について個別に詳しく説明する予定です。最新リリースで何が追加されたのか詳しく知りたい方は変更履歴を参照してください。