fbpx

Mirantis製品リリース最新情報(2023年6月)#Mirantis

Mirantis

Mirantis製品のリリース情報をお届けします

本稿は2023年6月にお送りしたメール内容を掲載しており、リリースノートからの抜粋となります。最新のリリース情報についてはMirantis社の公開するリリースノート全文をご確認ください。

Mirantis製品リリース情報と、Mirantis & Kubernetesニュースレターへのご登録はこちらです。

 

MCR(Mirantis Container Runtime/旧Docker Enterprise Engine)

MCR 23.0.3 (2023-04-23)

  • リリースノート: https://docs.mirantis.com/mcr/23.0/release-notes/23-0-3.html
    • MCR 23.0.3では、Moby 23.0.2とMoby 23.0.3のアップストリームリリースの両者を含む。
    • MCR固有の変更: 次のバージョンのコンポーネントを含む
  • セキュリティ情報:
    • https://github.com/moby/moby/pull/45110
      BuildKitのbuildinfo生成の際に、GitのURLから認証情報が隠ぺいされるようになった。
      (修正済み)CVE-2023-26054
    • Swarm暗号化オーバーレイネットワークがその安全性を維持できない原因となる多くの問題を修正。
      (修正済みCVE-2023-28841CVE-2023-28840CVE-2023-28842

      • 暗号化オーバーレイネットワークに対するカーネルサポートの欠如が、エラーとして報告されるようになった。
      • 暗号化オーバーレイネットワークは、複数のノードがアタッチするのを待たずに先行して設定する。
      • xt_bpf カーネルモジュールの使用により、Red Hat Enterprise Linux 9 で暗号化オーバーレイネットワークが使用可能に。
    • Swarmオーバーレイネットワークのユーザは、https://github.com/moby/moby/security/advisories/GHSA-vwm3-crmr-xfxw を確認し、意図しない情報漏洩が発生していないことを確認するべきである。

MCR 23.0.5 (2023-05-16)

MCR 23.0.5 (2023-05-16)

MCR 20.10.16 (2023-04-04)

  • リリースノート: https://docs.mirantis.com/mcr/20.10/release-notes/20-10-16.html
  • 主要コンポーネントのバージョン詳細:Componentsを参照
  • セキュリティ情報:
    • Swarm暗号化オーバーレイネットワークがその安全性を維持できない原因となる多くの問題を修正。CVE-2023-28841CVE-2023-28840CVE-2023-28842
      • 暗号化オーバーレイネットワークに対するカーネルサポートの欠如が、エラーとして報告される。
      • 暗号化オーバーレイネットワークは、複数のノードがアタッチするのを待たずに先行して設定する。
      • 暗号化オーバーレイネットワークは、xt_bpf カーネルモジュールの使用によって Red Hat Enterprise Linux 9 で使用可能に。
    • Swarm オーバーレイネットワークのユーザーは、https://github.com/moby/moby/security/advisories/GHSA-vwm3-crmr-xfxw を確認して、意図しない情報漏洩が発生していないことを確認すべきである。

MCR 20.10.17 (2023-05-16)

【重要】Mirantis Container Runtime 20.10のバージョンナンバーは、MobyおよびDocker CLIプロジェクトからは独立しており異なります。そのためMCR 20.10パッチのリリースノートを参照して、Mirantis固有の変更点や改善点をご確認ください。

 

MKE(Mirantis Kubernetes Engine/旧Docker Enterprise & Universal Control Plane)

MKE 3.6.3 (2023-03-23)

  • リリースノート: https://docs.mirantis.com/mke/3.6/release-notes/3-6-3.html
  • 主要コンポーネントのバージョン詳細:Major component versionsを参照
    • Kubernetesバージョン1.24.6
    • Calicoバージョン3.24.1
  • MKE 3.6.3には、MCR 20.10.13以降が必要。
  • MKE3.6のパッチリリース/3.6.3の主な特徴
    • 一部のMKEコンテナで読み取り専用のルートファイルシステムを有効化。
    • ucp-sf-notifierコンテナへのヘルスチェックの追加。
    • ucp-kube-ingress-controllerコンテナが非ルート化として実行されるようになった。
    • ucp-sf-notifier コンテナが非ルートとして実行されるようになった。
    • ucp-hardware-info コンテナが 非ルートとして実行されるようになった。
    • k8s コンポーネントを非ルート化。
    • コンテナディスク使用量メトリクスのデリバリ。
  • セキュリティ情報
    • Golangバージョン1.19.6
    • Containerdバージョン1.6.18
    • Prometheusバージョン2.37.6

MKE 3.6.4 (2023-05-16)

  • リリースノート: https://docs.mirantis.com/mke/3.6/release-notes/3-6-4.html
  • 主要コンポーネントのバージョン詳細:Major component versionsを参照
    • Kubernetesバージョン1.24.6
    • Calicoバージョン3.25.1
  • MKE3.6のパッチリリース/3.6.4の主な特徴
    • 一部のMKEコンテナで読み取り専用のルートファイルシステムを有効化。
    • Interlock バージョン3.3.10でカーネル機能を制限するオプションを追加
    • Calico コンポーネントのメトリクス収集
    • MKE Web UI の認証設定に SAML プロキシ設定を追加
    • LDAP参照URLの追跡を無効にするオプションを追加
  • MCRの必要バージョンなどはCopatibility Matlixを参照
  • セキュリティ情報
    • Interlock をバージョン 3.3.10に更新。これによって脆弱性を軽減。また次を実施。
      • Golangをバージョン1.19.8に更新。
      • NGNXをバージョン1.23.4に更新。
      • Alpineをバージョン3.16.5に更新。
      • containerdをバージョン1.6.19に更新。

MKE3.5.8 (2023-03-23)

  • リリースノート:https://docs.mirantis.com/mke/3.5/release-notes/3-5-8.html
    • MKE 3.6.xにアップグレードする場合、MKE 3.6.0はMKE 3.5.8のetcdバージョンよりも古いetcdバージョンを実行することに注意。つまりMKE 3.5.8はMKE 3.6.1以上にのみアップグレード可能。etcdコンポーネントは設計上、ダウングレード不可。
  • MKE 3.5のパッチリリース/3.5.8の主な特徴:
    • 一部のMKEコンテナで読み取り専用のルートファイルシステムを有効化。
    • ucp-sf-notifierコンテナへのヘルスチェックの追加。
    • ucp-kube-ingress-controllerコンテナが非ルートとして実行されるようになった。
    • ucp-sf-notifier コンテナが 非ルートとして実行されるようになった。
    • ucp-hardware-info コンテナが 非ルートとして実行されるようになった。
    • k8s コンポーネントを非ルート化。

MKE3.5.9 (2023-05-16)

    • MKE 3.6.xにアップグレードする場合、MKE 3.6.0はMKE 3.5.8のetcdバージョンよりも古いetcdバージョンを実行することに注意。つまりMKE 3.5.8はMKE 3.6.1以上にのみアップグレード可能。etcdコンポーネントは設計上、ダウングレード不可。
  • 主要コンポーネントのバージョン詳細:Major component versionsを参照
    • Kubernetesバージョン1.21.12
    • Calicoバージョン3.23.4
  • MKE3.5のパッチリリース/3.5.9の主な特徴
    • 一部のMKEコンテナで読み取り専用のルートファイルシステムを有効化。
    • Interlock バージョン3.3.10でカーネル機能を制限するオプションを追加
    • Calico コンポーネントのメトリクス収集
    • MKE Web UI の認証設定に SAML プロキシ設定を追加
    • LDAP参照URLの追跡を無効にするオプションを追加
  • セキュリティ情報
    • Interlock をバージョン 3.3.10に更新。これによって脆弱性を軽減。また次を実施。
      • Golangをバージョン1.19.8に更新。
      • NGNXをバージョン1.23.4に更新。
      • Alpineをバージョン3.16.5に更新。
      • containerdをバージョン1.6.19に更新
  • MKE 3.4.14 (2023-03-23)※サポート終了バージョン
    • リリースノート: https://docs.mirantis.com/mke/3.4/release-notes/3-4-14.html
      • MKE 3.5.xにアップグレードする場合、MKEバージョン3.5.0-3.5.5は、MKE 3.4.14で提供するバージョンより古いetcdを実行していることに注意。そのためMKE 3.4.14はMKE 3.5.6以降にのみアップグレードすることが可能。同様にMKE 3.5.6以降を3.6.xにアップグレードする場合は、MKE 3.6.1以降にのみアップグレードが可能。etcdコンポーネントは設計上、ダウングレード不可。
    • 主要コンポーネントのバージョン詳細:Major component versionsを参照
      • Kubernetesバージョン1.20.15
      • Calicoバージョン3.22.4

    MKE 3.4.15 (2023-05-16)※サポート終了バージョン

    【重要】MKE 3.4.xは、今回リリースされた3.4.15も含めて2022-04-11 にすべてのサポートが終了しており、MKE 3.4.15が最後のパッチリリースとなります。

      • MKE 3.5.xにアップグレードする場合、MKEバージョン3.5.0-3.5.5は、MKE 3.4.14で提供するバージョンより古いetcdを実行していることに注意。そのためMKE 3.4.15はMKE 3.5.6以降にのみアップグレードすることが可能。同様にMKE 3.5.6以降を3.6.xにアップグレードする場合は、MKE 3.6.1以降にのみアップグレードが可能。etcdコンポーネントは設計上、ダウングレード不可。
    • 主要コンポーネントのバージョン詳細:Major component versionsを参照
      • Kubernetesバージョン1.20.15
      • Calicoバージョン3.22.4
    • セキュリティ情報
      • Interlock をバージョン 3.3.10に更新。これによって脆弱性を軽減。また次を実施。
        • etcd をバージョン 3.5.8 に更新。
        • Golangをバージョン1.19.8に更新。
        • NGNXをバージョン1.23.4に更新。
        • Alpineをバージョン3.16.5に更新。
        • containerdをバージョン1.6.19に更新。

 

MSR(Mirantis Secure Registry/旧Docker Trusted Registry)

MSR 3.0.7 (2023-05-15)

  • リリースノート: https://docs.mirantis.com/msr/3.0/release-notes/3-0-7.html
    • CVE の修正を中心とした MSR 3.0 のパッチリリース。
    • Goのバージョン1.20.3 へのアップグレードを含む。
  • セキュリティ情報
    • PKCS7 signed または signedAndEnveoloed データの署名を検証する際、NULL ポインタのデリファレンスが可能。署名に使用されるハッシュアルゴリズムが、OpenSSLライブラリでは既知だがそのハッシュアルゴリズムの実装が無効の場合、ダイジェストの初期化に失敗する。初期化関数の戻り値の確認が不十分のため、後にダイジェストAPIを不正に使用することになり、クラッシュする可能性が高い。プロバイダのFIPSが有効な構成を使用した場合、またはより一般的にレガシーなプロバイダをロードしなかった場合にアルゴリズムの利用不可状態が発生する。PKCS7データは、SMIMEライブラリコールと、タイムスタンプ(TS)ライブラリコールで処理される。OpenSSL の TLS 実装がこれらの関数を呼び出さない場合でもサードパーティアプリケーションが信頼できないデータの署名を検証するためにこれらの関数を呼び出した場合に影響があった。(修正済み)CVE-2023-0401
    • アプリケーションがEVP_PKEY_public_check()関数で不正なDSA公開鍵を確認する際、読み取り時に不正なポインタがデリファレンスされることがあり、アプリケーションのクラッシュを引き起こす。この関数は、信頼できないソースから提供された公開鍵で呼び出すことができ、サービス拒否攻撃を誘発する可能性があった。OpenSSLのTLS実装ではこの関数は呼び出されないが、FIPS140-3などの規格で追加のセキュリティ要件が課されている場合、アプリケーションがこの関数を呼び出すことがある。(修正済み)CVE-2023-0217
    • d2i_PKCS7(), d2i_PKCS7_bio(), d2i_PKCS7_fp() 関数で不正な PKCS7 データを読み込もうとすると、読み込み時に不正なポインタのデリファレンスを誘発する場合がある。このデリファレンスによりアプリケーションがクラッシュし、サービス拒否攻撃につながる可能性がある。OpenSSLのTLS実装ではこの関数は呼び出されないが、サードパーティーのアプリケーションでは信頼できないデータに対してこの関数を呼び出すことがある。(修正済み)CVE-2023-0216
    • PostgreSQLでは、変更された未認証のサーバーが、Kerberosトランスポート暗号化の確立中に、不完全な文字列を送信する場合がある。特定の条件下でサーバーが libpq クライアントをオーバーリードし、初期化されていないバイトを含むエラーメッセージを報告することがある。(修正済み)CVE-2022-41862
    • X.509証明書に不正なポリシー制約が含まれ、ポリシー処理が有効な場合、書き込みロックは再帰的に2度行われる。一部のOSシステム(最も一般的なケースはWindows)で、影響を受けるプロセスがハングアップするため、サービス拒否を誘発する。公開されているサーバーにおけるポリシー処理の有効化は一般的な設定とは考えられない。ポリシー処理は、コマンドラインユーティリティに -policy 引数を渡すか、X509_VERIFY_PARAM_set1_policies() 関数を呼び出すことで有効化される。(修正済み)CVE-2022-3996 

MSR 2.9.12 (2023-05-15)

  • リリースノート: https://docs.mirantis.com/msr/2.9/release-notes/2-9-12.html
    • Goをバージョン1.20.3に更新。
  • セキュリティ情報
    • PKCS7 signed または signedAndEnveoloed データの署名を検証する際、NULL ポインタのデリファレンスが可能。署名に使用されるハッシュアルゴリズムが、OpenSSLライブラリでは既知だがそのハッシュアルゴリズムの実装が無効の場合、ダイジェストの初期化に失敗する。初期化関数の戻り値の確認が不十分のため、後にダイジェストAPIを不正に使用することになり、クラッシュする可能性が高い。プロバイダのFIPSが有効な構成を使用した場合、またはより一般的にレガシーなプロバイダをロードしなかった場合にアルゴリズムの利用不可状態が発生する。PKCS7データは、SMIMEライブラリコールと、タイムスタンプ(TS)ライブラリコールで処理される。OpenSSL の TLS 実装がこれらの関数を呼び出さない場合でもサードパーティアプリケーションが信頼できないデータの署名を検証するためにこれらの関数を呼び出した場合に影響があった。(修正済み)CVE-2023-0401
    • アプリケーションがEVP_PKEY_public_check()関数で不正なDSA公開鍵を確認する際、読み取り時に不正なポインタがデリファレンスされることがあり、アプリケーションのクラッシュを引き起こす。この関数は、信頼できないソースから提供された公開鍵で呼び出すことができ、サービス拒否攻撃を誘発する可能性があった。OpenSSLのTLS実装ではこの関数は呼び出されないが、FIPS140-3などの規格で追加のセキュリティ要件が課されている場合、アプリケーションがこの関数を呼び出すことがある。(修正済み)CVE-2023-0217
    • d2i_PKCS7(), d2i_PKCS7_bio(), d2i_PKCS7_fp() 関数で不正な PKCS7 データを読み込もうとすると、読み込み時に不正なポインタのデリファレンスを誘発する場合がある。このデリファレンスによりアプリケーションがクラッシュし、サービス拒否攻撃につながる可能性がある。OpenSSLのTLS実装ではこの関数は呼び出されないが、サードパーティーのアプリケーションでは信頼できないデータに対してこの関数を呼び出すことがある。(修正済み)CVE-2023-0216
    • PostgreSQLでは、変更された未認証のサーバーが、Kerberosトランスポート暗号化の確立中に、不完全な文字列を送信する場合がある。特定の条件下でサーバーが libpq クライアントをオーバーリードし、初期化されていないバイトを含むエラーメッセージを報告することがある。(修正済み)CVE-2022-41862
    • X.509証明書に不正なポリシー制約が含まれ、ポリシー処理が有効な場合、書き込みロックは再帰的に2度行われる。一部のOSシステム(最も一般的なケースはWindows)で、影響を受けるプロセスがハングアップするため、サービス拒否を誘発する。公開されているサーバーにおけるポリシー処理の有効化は一般的な設定とは考えられない。ポリシー処理は、コマンドラインユーティリティに -policy 引数を渡すか、X509_VERIFY_PARAM_set1_policies() 関数を呼び出すことで有効化される。(修正済み)CVE-2022-3996
    • Oniguruma 6.2.0に問題。正規表現のコンパイル時に onigenc_unicode_get_case_fold_codes_by_str() でスタック・アウト・オブ・バウンドの書き込みが発生する。コードポイント0xFFFFFFFは、unicode_unfold_key()で適切に処理されない。不正な正規表現により、onigenc_unicode_get_case_fold_codes_by_str() の呼び出し中に expand_case_fold_string() のスタックバッファの最後から4バイトが書き出され、典型的なスタックバッファのオーバーフローとなる場合がある。Oniguruma 6.2.0はRubyバージョン2.4.1までのOniguruma-modや、PHP 7.1.5までのmbstringで利用されている。(誤検知)CVE-2017-9225

 

EOL情報

EOLとはEnd of Lifeの略で、ベンダーによるサポート期間が終了する状態を指し、重大なバグや脆弱性が発見されても、パッチリリースや修正が行われない状態を指します。Mirantis製品のライフサイクルは2年です。そのため、定期的かつ計画的なバージョンアップメンテナンスが運用上の必須事項となっております。

詳細はMirantis社のメンテナンスライフサイクルページをご参照ください。

※MCRはバージョンアップに伴い、古いバージョンのOSはサポートがなくなる場合がございますので、OSの定期的なバージョンアップも必要となります。詳細はリリースノート内のCompatibility Matrixページをご参照ください。

次にサポートが終了するバージョン

  • MKE3.5.z (2023-11-22)
  • MSR2.9.z (2023-12-11)
  • MCR20.10.z (2023-12-10)

バージョンアップをサポートします

Mirantis社とクリエーションラインサポートチームは、お客様のバージョンアップを積極的にサポートしています。バージョンアップ実行前に、事前に起こり得る問題を調査しお知らせするサービス(プロアクティブケース:無料)を実施しています。詳しくは下記をご参照のうえぜひご利用ください。
MKE/MCRのバージョンアップの注意点を事前に知る方法
顧客用サポートポータルにログインしてご覧ください。

製品のご購入に関するお問い合わせはこちらへどうぞ。

新規CTA