1.4. 解決した問題
このリリースでは、次の問題が解決されています。
Observable Discrepancy に対して脆弱な jsrsasign パッケージに不具合が見つかる
MTV の以前のリリースで使用されていたパッケージ jsrsasign
11.0.0 より前のバージョンは、RSA PKCS1.5 または RSA-OAEP 復号化プロセスにおける Observable Discrepancy に対して脆弱です。この矛盾は、攻撃者がこの脆弱性を悪用して暗号文を解読できる可能性があることを意味します。ただし、この脆弱性を悪用するには、攻撃者は同じ鍵で暗号化された多数の暗号文にアクセスできる必要があります。この問題は、パッケージ jsrasign
をバージョン 11.0.0 にアップグレードすることで、MTV 2.5.5 で解決されました。
詳細は、CVE-2024-21484 を参照してください。
複数の HTTP/2 対応 Web サーバーが DDoS 攻撃 (Rapid Reset Attack) に対して脆弱である
HTTP/2 プロトコルでの多重化ストリームの処理に欠陥が見つかりました。以前の MTV リリースでは、リクエストのキャンセルにより複数のストリームがすぐにリセットされる可能性があるため、HTTP/2 プロトコルによりサービス妨害 (サーバーリソースの消費) が許可されていました。サーバーは、接続ごとのアクティブなストリームの最大数に関するサーバー側の制限に達しないようにしながら、ストリームのセットアップと破棄を行う必要があり、その結果、サーバーのリソース消費によるサービス妨害が発生していました。
この問題は、MTV 2.5.2 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-44487 (Rapid Reset Attack) および CVE-2023-39325 (Rapid Reset Attack) を参照してください。
Gin Web Framework が Context.FileAttachment
関数のファイル名パラメーターを適切にサニタイズしない
MTV で使用されている Gin-Gonic Gin Web Framework に欠陥が見つかりました。Context.FileAttachment
関数のファイル名パラメーターが適切にサニタイズされませんでした。パッケージに存在するこの欠陥により、Context.FileAttachment
関数のファイル名パラメーターによる不適切な入力検証が誘引するセキュリティー制限を、リモート攻撃者が回避できる可能性がありました。悪意を持って作成されたファイル名により、Content-Disposition
ヘッダーが予期しないファイル名値で送信されたり、Content-Disposition
ヘッダーが変更されたりする可能性がありました。
この問題は、MTV 2.5.2 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-29401 (Gin-Gonic Gin Web Framework) および CVE-2023-26125 を参照してください。
CVE-2023-26144: mtv-console-plugin-container:graphql: OverlappingFieldsCanBeMergedRule.ts のチェックが不十分である
16.3.0 以降、16.8.1 より前の GraphQL パッケージに欠陥が見つかりました。この欠陥は、MTV 2.5.2 より前のバージョンの MTV が、大規模なクエリーを解析する際の OverlappingFieldsCanBeMergedRule.ts
ファイルのチェックが不十分なため、サービス拒否 (DoS) に対して脆弱であることを意味します。この問題により、攻撃者がシステムのパフォーマンスを低下させる可能性があります。(MTV-712)
この問題は、MTV 2.5.2 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-26144 を参照してください。
CVE-2023-45142: open-telemetry の otelhttp ハンドラーでメモリーリークが見つかる
OpenTelemetry-Go の otelhttp handler
に欠陥が見つかりました。この欠陥は、MTV 2.5.3 より前のバージョンの MTV が、バインドされていないカーディナリティーを持つ http.user_agent
と http.method
によって引き起こされるメモリーリークに対して脆弱であることを意味します。これにより、リモートの認証されていない攻撃者が悪意のあるリクエストを多数送信してサーバーのメモリーを使い果たし、可用性に影響を及ぼします。(MTV-795)
この問題は MTV 2.5.3 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-45142 を参照してください。
CVE-2023-39322: QUIC 接続では、ポストハンドシェイクメッセージを読み取るときに、バッファーされるデータ量に上限が設定されない
Golang に欠陥が見つかりました。この欠陥は、MTV 2.5.3 より前のバージョンの MTV が、ポストハンドシェイクメッセージを読み取るときにバッファーされるデータ量の上限を設定していない QUIC 接続に対して脆弱であることを意味し、悪意のある QUIC 接続によって無制限のメモリー増加を引き起こします。この修正により、接続はサイズが 65KiB を超えるメッセージを一貫して拒否するようになりました。(MTV-708)
この問題は MTV 2.5.3 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-39322 を参照してください。
CVE-2023-39321: QUIC 接続の不完全なポストハンドシェイクメッセージを処理するとパニックが発生する可能性がある
Golang に欠陥が見つかりました。この欠陥は、MTV 2.5.3 より前のバージョンの MTV が、QUIC 接続の不完全なポストハンドシェイクメッセージの処理に対して脆弱であり、パニックを引き起こすことを意味します。(MTV-693)
この問題は MTV 2.5.3 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-39321 を参照してください。
CVE-2023-39319: html/テンプレートパッケージの欠陥
MTV で使用される Golang html/template
パッケージに欠陥が見つかりました。この欠陥は、html/template
パッケージが <script>
コンテキストの JavaScript リテラル内の <script
、<!--
、および </script
の出現を適切に処理しなかったため、MTV 2.5.3 より前の MTV バージョンが脆弱であることを意味します。この欠陥により、テンプレートパーサーはスクリプトコンテキストが早期に終了するものと誤って認識し、アクションが不適切にエスケープされ、XSS
攻撃を実行するために悪用される可能性があります。(MTV-693)
この問題は MTV 2.5.3 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-39319 を参照してください。
CVE-2023-39318: html/テンプレートパッケージの欠陥
MTV で使用される Golang html/template
パッケージに欠陥が見つかりました。この欠陥は、html/template
パッケージが HMTL のような ""
コメントトークンや hashbang \#!
コメントトークンを適切に処理しなかったため、MTV 2.5.3 より前のバージョンの MTV が脆弱であることを意味します。この欠陥により、テンプレートパーサーが <script>
コンテキストの内容を不適切に解釈し、アクションが不適切にエスケープされ、これを利用して XSS
攻撃が実行される可能性があります。(MTV-693)
この問題は MTV 2.5.3 で解決されました。MTV をこのバージョン以降に更新することが推奨されます。
詳細は、CVE-2023-39318 を参照してください。
UI からダウンロードされたログアーカイブファイルには、削除された移行計画/仮想マシンに関連するログが含まれる
MTV 2.5 の以前のリリースでは、UI からダウンロードされたログファイルに、以前の移行計画に関連するログが含まれる可能性がありました。(MTV-783)
この問題は MTV 2.5.3 で解決されました。
RHV での仮想マシンディスクの拡張が MTV インベントリーに反映されない
MTV 2.5 の以前のリリースでは、RHV で拡張されたディスクのサイズは適切に監視されていませんでした。その結果、RHV プロバイダーからの拡張ディスクを備えた仮想マシンを移行できなくなりました。(MTV-830)
この問題は MTV 2.5.3 で解決されました。
ファイルシステムのオーバーヘッドは設定可能
MTV 2.5 の以前のリリースでは、新しい永続ボリュームのファイルシステムのオーバーヘッドは 10% にハードコードされていました。特定のファイルシステムタイプではオーバーヘッドが不十分であったため、RHV および OSP から MTV がデプロイされているクラスターへのコールドマイグレーション中にエラーが発生しました。他のファイルシステムのタイプでは、ハードコードされたオーバーヘッドが大きすぎて、過剰なストレージ消費が発生しました。
MTV 2.5.3 では、ファイルシステムのオーバーヘッドがハードコードされなくなったため、オーバーヘッドを設定できます。移行で CDI を使用せずに永続ボリュームを割り当てる場合は、ファイルシステムのオーバーヘッドを調整できます。ファイルシステムのオーバーヘッドを調整するには、forklift-controller
CR の spec
部分に次のラベルと値を追加します。
spec:
`controller_filesystem_overhead: <percentage>` 1
プロバイダーの作成および更新フォームに最新のデータが表示されていることを確認する
MTV の以前のリリースでは、プロバイダーの作成フォームと更新フォームで古いデータが表示される可能性がありました。
この問題は MTV 2.5 で解決され、プロバイダーの作成および更新の新しい形式ではプロバイダーの最新のプロパティーが表示されます。(MTV-603)
OpenStack での移行中に作成されたスナップショットが削除されない
MTV の以前のリリースでは、Migration Controller
サービスは、OpenStack 内のソース仮想マシンの移行中に作成されたスナップショットを自動的に削除しませんでした。
この問題は MTV 2.5 で解決され、移行中に作成されたすべてのスナップショットは移行の完了後に削除されます。(MTV-620)
移行の成功後に RHV スナップショットが削除されない
MTV の以前のリリースでは、RHV からの仮想マシンのウォーム移行が成功した後、Migration Controller
サービスはスナップショットを自動的に削除しませんでした。
この問題は MTV 2.5 で解決され、移行中に生成されたスナップショットは移行の成功後に削除されますが、元のスナップショットは移行の成功後に削除されません。(MTV-349)
カットオーバーがプレコピーと競合するとウォームマイグレーションが失敗する
MTV の以前のリリースでは、プレコピーの実行中にカットオーバー操作がトリガーされると失敗していました。仮想マシンは RHV でロックされていたため、ovirt-engine
はスナップショットの作成またはディスク転送の操作を拒否しました。
この問題は MTV 2.5 で解決され、カットオーバー操作がトリガーされますが、VM がロックされているため、その時点では実行されません。プレコピー操作が完了すると、カットオーバー操作がトリガーされます。(MTV-686)
仮想マシンがロックされている場合、ウォーム移行が失敗する
MTV の以前のリリースでは、RHV で仮想マシンをロックする操作の進行中にウォーム移行をトリガーすると、スナップショットの作成をトリガーできなかったため、移行が失敗していました。
この問題は MTV 2.5 で解決されており、仮想マシンをロックする操作が RHV で実行されてもウォーム移行は失敗しません。移行は失敗しませんが、仮想マシンのロックが解除されると開始されます。(MTV-687)
移行した仮想マシンを削除しても PVC と PV は削除されない
MTV の以前のリリースでは、移行した仮想マシンを削除するときに、その永続ボリューム要求 (PVC) と物理ボリューム (PV) は削除されませんでした。
この問題は MTV 2.5 で解決され、移行された仮想マシンを削除すると PVC と PV が削除されます。(MTV-492)
移行計画をアーカイブして削除した後に PVC の削除がハングする
MTV の以前のリリースでは、移行が失敗した場合、移行計画がアーカイブおよび削除されたときに、PVC と PV が期待どおりに削除されませんでした。
この問題は MTV 2.5 で解決され、移行計画のアーカイブおよび削除時に PVC が削除されます。(MTV-493)
仮想マシンにディスクが複数ある場合は移行後に起動不可能なディスクから起動することがある
MTV の以前のリリースでは、複数のディスクが含まれた仮想マシンが移行された場合に、移行先の Red Hat OpenShift クラスター上で起動できない可能性がありました。
この問題は MTV 2.5 で解決され、複数のディスクが含まれる仮想マシンを移行しても、移行先の Red Hat OpenShift クラスターで起動できるようになりました。(MTV-433)
vSphere からのコールド移行では転送ネットワークが考慮されない
MTV リリース 2.4.0 - 2.5.3 では、vSphere から MTV がデプロイされているローカルクラスターへのコールド移行では、指定された転送ネットワークが考慮されませんでした。この問題は MTV 2.5.4 で解決されています。(MTV-846)
マルチブートゲストオペレーティングシステムを使用した仮想マシンの vSphere からの移行を修正
MTV 2.5.6 では、virt-v2v 引数に -root first
が含まれます。これにより、Pod が失敗するマルチブート仮想マシンの問題が軽減されます。これは、MTV 2.4 で導入されたリグレッション (--root 引数の削除) に対する修正です。(MTV-987)
ポピュレーター Pod に記録されるエラーが改善される
MTV 2.5 の以前のリリースでは、ポピュレーター Pod は障害時に常に再起動されていました。このため、障害が発生した Pod からログを収集することが困難になりました。MTV 2.5.3 では、ポピュレーター Pod の再起動回数は 3 回に制限されています。最後の 3 回目では、ポピュレーター Pod は障害ステータスのままになり、そのログは、must-gather
および forklift-controller
によって簡単に収集され、この手順が失敗したことを把握できます。(MTV-818)
npm IP パッケージの脆弱性
Node.js パッケージマネージャー (npm) IP パッケージに見つかった脆弱性により、攻撃者が機密情報を入手し、通常はアクセスできないリソースにアクセスできる可能性があります。MTV-941
この問題は MTV 2.5.6 で解決されました。
詳細は、CVE-2023-42282 を参照してください。
Golang の net/http/internal パッケージに不具合が見つかる
MTV の以前のリリースで使用されていた Golang net/http/internal
パッケージのバージョンに不具合が見つかりました。この不具合により、悪意のあるユーザーが HTTP リクエストを送信し、受信者に本文よりも多くのバイト数 (最大 1 GiB) をネットワークから読み取らせる可能性がありました。その結果、受信者が応答を読み取ることができず、サービス妨害 (DoS) につながる可能性がありました。この問題は MTV 2.5.6 で解決されました。
詳細は、CVE-2023-39326 を参照してください。
このリリースで解決されたすべての問題の完全なリストは、Jira の Resolved Issues のリストを参照してください。