2장. MTC 릴리스 노트

OADP 1.3 지원

MTC 1.8.3은 MTC 1.8.z의 종속성으로 OADP(OpenShift API for Data Protection)에 대한 지원을 추가합니다.

CVE-2024-24786: Golang protobuf 모듈의 Flaw로 인해 unmarshal 함수가 무한 루프에 들어갑니다.

이전 MTC 릴리스에서는 Golang의 protobuf 모듈에서 취약점이 발견되었습니다. 여기서 unmarshal 함수가 특정 잘못된 입력을 처리하는 동안 무한 루프를 입력했습니다. 결과적으로 공격자는 잘못된 입력을 신중하게 구성하여 함수가 무한 루프에 진입했습니다.

CVE-2023-45857: Axios Cross-Site Request Forgery Vulnerability

이전 MTC 릴리스에서는 Axios 1.5.1에서 취약점이 발견되었으며, Axios 1.5.1에서는 공격자가 중요한 정보를 볼 수 있도록 HTTP 헤더 X- XSRF-TOKEN 을 포함하여 템플릿에 저장된 기밀 XSRF-TOKEN을 공개했습니다.

소스 워크로드가 quiesced되지 않으면 Restic 백업이 제대로 작동하지 않습니다.

이전 MTC 릴리스에서는 경로를 사용하여 애플리케이션을 배포할 때 일부 파일이 마이그레이션되지 않았습니다. 소스 워크로드에 대해 quiesce 옵션을 선택하지 않은 경우 Restic 백업이 예상대로 작동하지 않았습니다.

Velero에서 지원되지 않는 값 오류로 인해 Migration Controller 를 설치하지 못했습니다

Velero에서 지원되지 않는 값 오류로 인해 MigrationController 를 설치하지 못했습니다. OADP 1.3.0을 OADP 1.3.1로 업데이트하면 이 문제가 해결됩니다. 자세한 내용은 BZ#2267018 에서 참조하십시오.

서비스 계정에 연결된 SCC는 OpenShift Container Platform 4.12에서 마이그레이션할 수 없습니다.

OpenShift Container Platform 버전 4.12의 서비스 계정에 대한 관련 SCC(보안 컨텍스트 제약 조건)는 마이그레이션할 수 없습니다. 이 문제는 향후 MTC 릴리스에서 해결될 예정입니다. (MIG-1454).

사용자 정의 CA 복제 리포지토리를 설정한 후 백업 단계가 실패합니다.

이전 릴리스의 MTC(Migration Toolkit for Containers)에서는 복제 리포지토리를 편집하고, 사용자 정의 CA 인증서를 추가하고, 리포지토리를 성공적으로 연결하며, 마이그레이션을 트리거하면 백업 단계에서 오류가 발생했습니다.

CVE-2023-26136: 4.1.3 이전의 hard-cookie 패키지는 Prototype Pollution에 취약합니다.

이전 (MTC) 릴리스에서는 MTC에서 사용되는 hard-cookie 패키지의 4.1.3 이전 버전에서는 프로토타입의 오염에 취약합니다. 이 취약점은 rejectPublicSuffixes 의 값이 false 로 설정되었을 때ieJar가 쿠키를 올바르게 처리하지 않았기 때문에 발생했습니다.

CVE-2022-25883 openshift-migration-ui-container: nodejs-semver: 정규식 서비스 거부

이전 릴리스 (MTC)에서 MTC에서 사용되는 7.5.2 이전의 semver 패키지 버전은 신뢰할 수 없는 사용자 데이터가 범위로 제공된 경우 newRange 함수의 정규식 서비스 거부 (ReDoS)에 취약했습니다.

CVE-2023-39325: golang: net/http, x/net/http2: 빠른 스트림 재설정으로 인해 과도한 작업이 발생할 수 있습니다.

MTC(Migration Toolkit for Containers)에서 사용하는 HTTP/2 프로토콜에서 멀티플렉싱된 스트림을 처리하는 데 취약점이 발견되었습니다. 클라이언트는 반복적으로 새로운 멀티플렉싱 스트림을 요청하고 이를 취소하기 위해 RST_STREAM 프레임을 즉시 보낼 수 있습니다. 이렇게 하면 스트림 설정 및 해제 측면에서 서버에 대한 추가 워크로드가 생성되는 반면 연결당 최대 활성 스트림 수에 대한 서버 측 제한을 방지하여 서버 리소스 사용량으로 인해 서비스 거부가 발생합니다. (BZ#2245079)

간접 마이그레이션은 백업 단계에 있습니다.

이전 릴리스에서는 InvalidImageName 오류로 인해 간접 마이그레이션이 백업 단계에서 중단되었습니다. (BZ#2233097)

PodVolumeRestore는 마이그레이션이 복원 단계에서 중단되도록 계속 진행 중 상태로 유지됩니다.

이전 릴리스에서는 간접 마이그레이션을 수행할 때 Podvolumerestore가 완료될 때까지의 복원 단계에서 마이그레이션이 중단되었습니다. (BZ#2233868)

마이그레이션된 애플리케이션이 대상 클러스터의 내부 레지스트리에서 이미지를 가져올 수 없음

이전 릴리스에서는 애플리케이션을 대상 클러스터로 마이그레이션할 때 마이그레이션된 애플리케이션이 내부 이미지 레지스트리에서 이미지를 가져오지 못했습니다. (BZ#2233103)

권한 부여 문제로 인해 Azure에서 마이그레이션 실패

이전 릴리스에서는 Azure 스토리지로 백업할 때 백업 단계에서 마이그레이션이 실패했습니다. (BZ#2238974)

이전 Restic Pod는 MTC 1.7.x 1.8.x 업그레이드에서 제거되지 않습니다.

이번 릴리스에서는 MTC Operator를 1.7.x에서 1.8.x로 업그레이드할 때 이전 Restic Pod가 제거되지 않습니다. 따라서 업그레이드 후 Restic 및 node-agent Pod가 네임스페이스에 표시됩니다. (BZ#2236829)

마이그레이션된 빌더 Pod가 이미지 레지스트리로 푸시되지 않음

이번 릴리스에서는 소스에서 대상 클러스터로 BuildConfig 를 포함한 애플리케이션을 마이그레이션할 때 빌더 Pod가 오류가 발생하여 이미지를 이미지 레지스트리로 내보내지 못합니다. (BZ#2234781)

[UI] CA 번들 파일 필드가 올바르게 지워지지 않음

이번 릴리스에서는 MigStorage의 MCG NooBaa 버킷에 대한 SSL 확인 필요 및 CA 번들 파일에 콘텐츠를 추가한 후 예상대로 연결이 실패합니다. 그러나 CA 번들 콘텐츠를 제거하고 SSL 확인 필요 를 지워 이러한 변경 사항을 되돌릴 때 여전히 연결에 실패합니다. 이 문제는 리포지토리를 삭제하고 다시 추가하여 해결할 수 있습니다. (BZ#2240052)

사용자 정의 CA 복제 리포지토리를 설정한 후 백업 단계가 실패합니다.

(MTC)에서 복제 리포지토리를 편집하고 사용자 정의 CA 인증서를 추가하고 리포지토리를 성공적으로 연결한 후 마이그레이션을 트리거하면 백업 단계에서 오류가 발생합니다.

CVE-2023-26136: 4.1.3 이전의 hard-cookie 패키지는 Prototype Pollution에 취약합니다.

MTC에 사용되는 hard-cookie 패키지의 4.1.3 이전 버전은 프로토타입 문제 해결에 취약합니다. 이 취약점은 rejectPublicSuffixes 의 값이 false 로 설정된 경우 CryostatJar가 쿠키를 올바르게 처리하지 않기 때문에 발생합니다.

CVE-2022-25883 openshift-migration-ui-container: nodejs-semver: 정규식 서비스 거부

이전 릴리스 (MTC)에서 MTC에서 사용되는 7.5.2 이전의 semver 패키지 버전은 신뢰할 수 없는 사용자 데이터가 범위로 제공되는 경우 newRange 함수의 정규식 서비스 거부 (ReDoS)에 취약합니다.