第2章 MTC リリースノート

OADP 1.3 がサポートされるようになりました

MTC 1.8.3 では、MTC 1.8.z の依存関係として OpenShift API for Data Protection (OADP) のサポートが追加されました。

CVE-2024-24786: Golang protobuf モジュールの不具合により、unmarshal 関数が無限ループに入ります

MTC の以前のリリースで、Golang の protobuf モジュールに脆弱性が発見されました。この脆弱性では、unmarshal 関数が、特定の無効な入力を処理する際に無限ループに入っていました。その結果、攻撃者が慎重に構築した無効な入力を提供することで、関数が無限ループに入っていました。

CVE-2023-45857: Axios のクロスサイトリクエストフォージェリーの脆弱性

MTC の以前のリリースで、Axios 1.5.1 に脆弱性が発見されました。この脆弱性により、ホストに対するすべてのリクエストの HTTP ヘッダー X-XSRF-TOKEN で、cookie に保存されている機密の XSRF-TOKEN が誤って公開されていました。結果として、攻撃者が機密情報を閲覧できる状態になっていました。

ソースワークロードが休止していない場合、Restic バックアップが正常に動作しません

MTC の以前のリリースでは、ルートを使用してアプリケーションをデプロイするときに、一部のファイルが移行されませんでした。ソースワークロードの休止オプションがオフになっている場合、Restic バックアップは期待どおりに機能しませんでした。

Velero でサポートされていない値のエラーにより、Migration Controller のインストールに失敗します

Velero でサポートされていない値のエラーにより、MigrationController のインストールに失敗していました。OADP 1.3.0 を OADP 1.3.1 に更新すると、この問題は解決されます。詳細は、BZ#2267018 を参照してください。

サービスアカウントに関連付けられた SCC は、OpenShift Container Platform 4.12 では移行できません

OpenShift Container Platform バージョン 4.12 のサービスアカウントに関連付けられた Security Context Constraints (SCC) は移行できません。この問題は、MTC の今後のリリースで解決される予定です。(MIG-1454)

カスタム CA レプリケーションリポジトリーの設定後にバックアップフェーズが失敗します

以前の Migration Toolkit for Containers (MTC) リリースでは、レプリケーションリポジトリーを編集し、カスタム CA 証明書を追加し、リポジトリーに正常に接続して移行をトリガーした後、バックアップフェーズ中にエラーが発生しました。

CVE-2023-26136: 4.1.3 より前の tough-cookie パッケージはプロトタイプ汚染に対して脆弱です

以前の (MTC) リリースでは、MTC で使用される tough-cookie パッケージの 4.1.3 より前のバージョンは、プロトタイプ汚染に対して脆弱でした。この脆弱性は、rejectPublicSuffixes の値が false に設定されている場合に CookieJar が cookie を適切に処理しないために発生しました。

CVE-2022-25883 openshift-migration-ui-container: nodejs-semver: 正規表現によるサービス拒否

以前の (MTC) リリースでは、MTC で使用されている semver パッケージの 7.5.2 より前のバージョンは、信頼できないユーザーデータが範囲として指定された場合、関数 newRange からの Regular Expression Denial of Service (ReDoS) に対して脆弱でした。

CVE-2023-39325: golang: net/http、x/net/http2: 急速なストリームリセットにより過剰な作業が発生する可能性があります

Migration Toolkit for Containers (MTC) で使用される HTTP/2 プロトコルでの多重化ストリームの処理に欠陥が見つかりました。 クライアントは、新しい多重化ストリームの要求を繰り返し行い、すぐに RST_STREAM フレームを送信してそれをキャンセルする可能性があります。これにより、接続ごとのアクティブなストリームの最大数に関するサーバー側の制限を回避しながら、ストリームのセットアップと削除に関してサーバーに追加のワークロードが発生し、サーバーリソースの消費によるサービス拒否が発生します。(BZ#2245079)

間接的な移行がバックアップ段階で停止する

以前のリリースでは、InvalidImageName エラーが原因で、間接的な移行がバックアップ段階で停止していました。(BZ#2233097)

PodVolumeRestore は In Progress のままになり、移行が Stage Restore で停止する

以前のリリースでは、間接的な移行を実行すると、移行は Stage Restore ステップで停止し、podvolumerestore が 完了するまで待機していました。(BZ#2233868)

移行されたアプリケーションが、ターゲットクラスターの内部レジストリーからイメージをプルできない

以前のリリースでは、アプリケーションをターゲットクラスターに移行する際に、移行されたアプリケーションが内部イメージレジストリーからイメージをプルできず、その結果 application failure が発生していました。(BZ#2233103)

認可の問題により Azure で移行が失敗する

以前のリリースでは、Azure クラスター上で Azure ストレージにバックアップする際に、Backup 段階で移行が失敗していました。(BZ#2238974)

MTC 1.7.x から 1.8.x にアップグレードしても古い Restic Pod が削除されない

このリリースでは、MTC Operator を 1.7.x から 1.8.x にアップグレードする際に、古い Restic Pod は削除されません。そのため、アップグレードした後に Restic Pod とノードエージェント Pod の両方が namespace に表示されます。(BZ#2236829)

移行されたビルダー Pod がイメージレジストリーにプッシュできない

このリリースでは、BuildConfig を含むアプリケーションをソースクラスターからターゲットクラスターに移行すると、ビルダー Pod で error が発生し、イメージをイメージレジストリーにプッシュできません。(BZ#2234781)

[UI] CA バンドルファイルのフィールドが適切にクリアされない

このリリースでは、Require SSL verification を有効にし、MigStorage 内の MCG NooBaa バケットの CA バンドルファイルにコンテンツを追加すると、想定どおり接続が失敗します。しかし、CA バンドルのコンテンツを削除し、Require SSL verification をオフにしてこれらの変更を元に戻しても、接続は依然として失敗します。この問題は、リポジトリーを削除して再追加しなければ解決できません。(BZ#2240052)

カスタム CA レプリケーションリポジトリーの設定後にバックアップフェーズが失敗します

(MTC) では、レプリケーションリポジトリーを編集し、カスタム CA 証明書を追加し、リポジトリーに正常に接続して移行をトリガーした後、バックアップフェーズ中にエラーが発生しました。

CVE-2023-26136: 4.1.3 より前の tough-cookie パッケージはプロトタイプ汚染に対して脆弱です

MTC で使用される tough-cookie パッケージの 4.1.3 より前のバージョンは、プロトタイプ汚染に対して脆弱です。この脆弱性は、rejectPublicSuffixes の値が false に設定されている場合に CookieJar が cookie を適切に処理しないために発生します。

CVE-2022-25883 openshift-migration-ui-container: nodejs-semver: 正規表現によるサービス拒否

以前の (MTC) リリースでは、MTC で使用されている semver パッケージの 7.5.2 より前のバージョンは、信頼できないユーザーデータが範囲として指定された場合、関数 newRange からの Regular Expression Denial of Service (ReDoS) に対して脆弱です。