fbpx

Mirantis製品リリース最新情報(2022年9月)#Mirantis

DockerMirantis

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

Mirantis製品のリリース情報をお届けします。


本記事は2022年9月にお送りしたメール内容を編集し掲載しています。
Mirantis製品リリース情報と、Mirantis & Kubernetesニュースレターへのご登録はこちらです。
また、本記事に掲載している情報はリリースノートからの抜粋になりますので、必ずリリースノート全文をご確認ください。


MKE(Mirantis Kubernetes Engine/旧Docker Enterprise & Universal Control Plane)

MKE 3.5.5 (2022-08-18)

  • リリースノート:https://docs.mirantis.com/mke/3.5/release-notes/3-5-5.html
  • MKE3.5のパッチリリース/3.5.5の主な特徴:
    • Web UI画面で「Create Ingress Object」にポート名の表示を追加
    • サポートバンドルにネットワーク情報を追加
      ※訳注:MKE v3.3.x以降、「サポートダンプ」は「サポートバンドル」と呼称が変更されました。それらが指す意味は同じです。

    • バックアップコマンドのログを改善
    • etcdストレージサイズのパラメータを追加

MKE 3.4.11 (2022-08-18)

【重要】MKE 3.3.xは、2022-05-27 にすべてのサポートが終了しており、今後パッチリリースは行われません。

MSR(Mirantis Secure Registry/旧Docker Trusted Registry)

Mirantis Secure Registry Logo

MSR 3.0.4 (2022-08-11) 

  • リリースノート:https://docs.mirantis.com/msr/3.0/release-notes/3-0-4.html
  • CVE修正に重点を置いたMSR3.0のパッチリリース
  • Synopsys scannerを2022.6.0に更新し、コマンドラインログを改善
  • セキュリティ情報(以下抜粋)
    • ncursesのパッチ20220416 より前のバージョン6.3には、terminfo ライブラリの tinfo/read_entry.c の convert_strings に領域外読み取りおよびセグメンテーション違反がある。
      (修正済み):CVE-2022-29458

    • OpenLDAPバージョン2.x 2.5.12 より前と 2.6.2より前の2.6.x にはslapdの実験的なバックエンドである back-sql に、LDAP クエリ内の SQL 文による SQL インジェクションの脆弱性が存在する。この脆弱性は、LDAP の検索操作において、検索フィルターが処理される際に、適切なエスケープが行われていないために発生する可能性がある。
      (修正済み):CVE-2022-29155

    • Djangoバージョン3.2.14より前の3.2.xおよび4.0.6より前の4.0.x で脆弱性が発見された。データベースの関数 Trunc() および Extract() において、kind/lookup_name の値として信頼できないデータが使用された場合、SQL インジェクションの対象となる。既知の安全なリストに対するlookup_nameとkindの選択を制限するアプリケーションには影響なし。
      (修正済み):CVE-2022-34265

    • emicklei/go-restful バージョン3.8.0 より前のバージョンには、ユーザが細工したキーによって認証をバイパスできる脆弱性がある。
      (修正済み):CVE-2022-1996

    • OpenSSLバージョン3.0.4に、AVX512IFMA命令をサポートしているX86_64CPUでのRSA実装に重大なバグが存在する。この問題により、2048ビットRSA秘密鍵が不正なものになり計算中にメモリ破壊が発生する可能性がある。このメモリ破壊が、リモートマシン上で攻撃者のコード実行を可能にしてしまう。AVX512IFM命令をX86_64アーキテクチャでサポートしているマシン上で、2048ビットRSA秘密鍵を使用しているSSL/TLSサーバやその他のサーバでは、この問題の影響を受ける可能性がある。
      (修正済み):CVE-2022-2274

    • Python (CPython) バージョン3.10.4より前のバージョンでは、mailcap モジュールは、システム mailcap ファイルで発見されたコマンドにエスケープ文字を追加しない。これにより攻撃者が、信頼できない入力で mailcap.findmatch を呼び出すアプリケーションにシェルコマンドを注入する可能性がある (ユーザー指定のファイル名または引数の検証がない場合)。
      (修正済み):CVE-2015-20107

    • Busyboxバージョン1.35-xのawk アプレットにおけるuse-after-free攻撃により、copyvar 関数で巧妙に細工された awk パターンを処理する際に、サービスが拒否され、コードを実行される可能性がある。
      (修正済み):CVE-2022-30065

    • その他の修正済みCVE報告は、セキュリティ情報を参照。

MSR 2.9.9 (2022-08-11) 

  • リリースノート:https://docs.mirantis.com/msr/2.9/release-notes/2-9-9.html
  • Synopsys scannerを2022.6.0リリースに更新
  • セキュリティ情報(以下抜粋)
    • Golang をバージョン 1.17.13 に更新し、脆弱性を修正。詳しくは、バージョン 1.17.121.17.13 を参照。
    • ncursesのパッチ20220416 より前の バージョン6.3には、terminfo ライブラリの tinfo/read_entry.c の convert_strings に領域外読み取りおよびセグメンテーション違反がある。
      (修正済み):CVE-2022-29458

    • OpenLDAPバージョン2.x 2.5.12 より前と 2.6.2より前の2.6.x にはslapdの実験的なバックエンドである back-sql に、LDAP クエリ内の SQL 文による SQL インジェクションの脆弱性が存在する。この脆弱性は、LDAP の検索操作において、検索フィルターが処理される際に、適切なエスケープが行われていないために発生する可能性がある。
      (修正済み):CVE-2022-29155

    • Djangoバージョン3.2.14より前の3.2.xおよび4.0.6より前の4.0.x で脆弱性が発見された。データベースの関数 Trunc() および Extract() において、kind/lookup_name の値として信頼できないデータが使用された場合、SQL インジェクションの対象となる。既知の安全なリストに対するlookup_nameとkindの選択を制限するアプリケーションには影響なし。
      (修正済み):CVE-2022-34265

    • OpenSSLバージョン3.0.4に、AVX512IFMA命令をサポートしているX86_64CPUでのRSA実装に重大なバグが存在する。この問題により、2048ビットRSA秘密鍵が不正なものになり計算中にメモリ破壊が発生する可能性がある。このメモリ破壊が、リモートマシン上で攻撃者のコード実行を可能にしてしまう。AVX512IFM命令をX86_64アーキテクチャでサポートしているマシン上で、2048ビットRSA秘密鍵を使用しているSSL/TLSサーバやその他のサーバでは、この問題の影響を受ける可能性がある。
      (修正済み):CVE-2022-2274

    • Python (CPython) バージョン3.10.4より前では、mailcap モジュールは、システム mailcap ファイルで発見されたコマンドにエスケープ文字を追加しない。これにより攻撃者が、信頼できない入力で mailcap.findmatch を呼び出すアプリケーションにシェルコマンドを注入する可能性がある(ユーザー指定のファイル名または引数の検証がない場合)。
      (修正済み):CVE-2015-20107

    • Busyboxバージョン1.35-xのawk アプレットにおけるuse-after-free攻撃により、copyvar 関数で巧妙に細工された awk パターンを処理する際に、サービスが拒否され、コードを実行される可能性がある。
      (修正済み):CVE-2022-30065

    • libcurlが、以前から作成されていた接続をTLSやSSH関連のオプションが変更され再利用禁止となっても使用する場合がある。libcurlは以前使用した接続を接続プールに保持し、そのうちの1つが設定と一致すれば、その後の転送で再利用できるようにする。しかし複数のTLSとSSHの設定が一致性チェックから漏れていたため、本来よりも容易に一致するようになっていた。
      (修正済み):CVE-2022-27782

    • libcurlはCURLOPT_CERTINFOオプションを備えており、アプリケーションがサーバの証明書チェーンに関する詳細を返すよう要求できる。誤った関数により、悪意のあるサーバがその情報を取得しようとすると、NSSでビルドされたlibcurlが終わりのないビジーループに陥る可能性がある。
      (修正済み):CVE-2022-27781

    • emicklei/go-restful バージョン3.8.0より前のバージョンには、ユーザが細工したキーによって認証をバイパスできる脆弱性がある。
      (MSRでは該当せず※1):CVE-2022-1996
      ※1:この問題はCORSフィルタを使用しているソフトウェア内で発生する可能性が高いが、MSRでは該当しないため。

    • Squirrelバージョン2.2.5 および 3.x から 3.1 までの sqclass.cpp は、コアインタプリタにおいて領域外の読み取りが可能で、コードを実行される可能性がある。被害者が、攻撃者に制御されたsquirrelスクリプトを実行した場合、ファイルシステム機能などの危険な機能がすべて無効化されていても、攻撃者がsquirrelスクリプトのサンドボックスから抜け出すことが可能となる。攻撃者はこのバグを悪用し、例えばsquirrelスクリプトでカスタマイズが可能なクラウドサービスを狙ったり、squirrelエンジンを組み込んだビデオゲームを通じてマルウェアを配布したりするなどの可能性がある。
      (誤検出):CVE-2021-41556

    • その他の修正済みCVE報告は、セキュリティ情報を参照。

【重要】MSR 2.8.xは、2022-05-27 にすべてのサポートが終了しており、今後パッチリリースは行われません。

MCR(Mirantis Container Runtime/旧Docker Enterprise Engine)

MCR 20.10.13 (2022-08-11)

  • リリースノート:https://docs.mirantis.com/mcr/20.10/release-notes/20-10-13.html
  • セキュリティ修正:

    【重要】MCR 19.03.xは、2022-05-27 にすべてのサポートが終了しており、今後パッチリリースは行われません。

    EOL情報

    EOLとはEnd of Lifeの略で、ベンダーによるサポート期間が終了する状態を指し、重大なバグや脆弱性が発見されても、パッチリリースや修正が行われない状態を指します。
    Mirantis製品のライフサイクルは2年です。そのため、定期的かつ計画的なバージョンアップメンテナンスが運用上の必須事項となっております。
    詳細はMirantis社のメンテナンスライフサイクルページをご参照ください。
    参照:https://docs.mirantis.com/mcr/20.10/compat-matrix/maintenance-lifecycle.html

    ※MCRはバージョンアップに伴い、古いバージョンのOSはサポートがなくなる場合がございますので、OSの定期的なバージョンアップも必要となります。
    詳細はリリースノート内のcompatibility matrixページをご参照ください。
    参照:https://docs.mirantis.com/mcr/20.10/compat-matrix/mcr-20.10-compatibility-matrix.html

    現在サポートが終了している(EOL)バージョン

    次にサポートが終了するバージョン

    バージョンアップをサポートします

    Mirantis社とクリエーションラインサポートチームは、お客様のバージョンアップを積極的にサポートしています。
    バージョンアップ実行前に、事前に起こり得る問題を調査しお知らせするサービス(プロアクティブケース:無料)を実施しています。詳しくは下記をご参照のうえぜひご利用ください。

    ※クリエーションラインサポートポータルにログインしてご覧ください。
    ※ご不明点はサポートチケットにてご質問ください。

新規CTA