2.2. Migration Toolkit for Containers 1.7 릴리스 노트

CVE-2023-45290: Golang: net/http: Request.ParseMultipartForm 메서드의 메모리 소진

이전 MTC 버전에 영향을 미치는 net/http Golang 표준 라이브러리 패키지에서 취약점이 발견되었습니다. Request.ParseMulti partForm 을 사용하여 명시적으로 또는 Request.FormValue,Request.PostFormValue 또는 Request.FormFile 메서드를 사용하여 명시적으로 다중 파트 양식을 구문 분석할 때 구문 분석 양식의 총 크기에 대한 제한은 단일 양식 줄을 읽는 동안 사용되는 메모리에 적용되지 않습니다. 이렇게 하면 긴 줄이 포함된 악의적인 입력으로 인해 임의로 많은 양의 메모리를 할당하여 메모리 소모가 발생할 수 있습니다.

CVE-2024-24783: Golang: crypto/x509: 알 수 없는 공개 키 알고리즘이 있는 인증서의 패닉 확인

이전 MTC 버전에 영향을 미치는 crypto/x509 Golang 표준 라이브러리 패키지에서 취약점이 발견되었습니다. 알 수 없는 공개 키 알고리즘이 포함된 인증서 체인을 확인하면 Certificate.Verify 에 패닉 상태가 됩니다. 이는 Config.ClientAuth를 VerifyClientCertIfGiven 또는 RequireAndVerifyClientCert로 설정하는 모든 crypto/tls 클라이언트 및 서버에 영향을 미칩니다. 기본 동작은 TLS 서버가 클라이언트 인증서를 확인하지 않는 것입니다.

CVE-2024-24784: Golang: net/mail: 표시 이름의 댓글이 잘못 처리됨

net/mail Golang 표준 라이브러리 패키지에서 취약점이 발견되었으며 이전 버전의 MTC에 영향을 미칩니다. ParseAddressList 함수는 주석을 잘못 처리하고, 괄호 안의 텍스트, 이름을 표시합니다. 이는 주소 구문 분석기를 따르는 잘못된 정렬이므로 다른 구문 분석을 사용하는 프로그램에서 서로 다른 신뢰 결정을 내릴 수 있습니다.

CVE-2024-24785: Golang: html/template: MarshalJSON 메서드에서 반환된 오류는 템플릿을 이스케이프할 수 있습니다.

이전 MTC 버전에 영향을 미치는 html/template Golang 표준 라이브러리 패키지에서 취약점이 발견되었습니다. MarshalJSON 메서드에서 반환된 오류에 사용자 제어 데이터가 포함된 경우 html/template 패키지의 컨텍스트 자동 이스케이프 동작을 분할하는 데 사용할 수 있으므로 후속 작업이 예기치 않은 콘텐츠를 템플릿에 삽입할 수 있습니다.

CVE-2024-29180: webpack-dev-middleware: URL 유효성 검사로 인해 파일 누출이 발생할 수 있습니다.

이전 MTC 버전에 영향을 미치는 webpack-dev-middleware 패키지에서 취약점이 발견되었습니다. 이 취약점은 로컬 파일을 반환하기 전에 제공된 URL 주소를 충분히 검증하지 못하므로 공격자가 URL을 작성하여 개발자의 시스템에서 임의의 로컬 파일을 반환할 수 있습니다.

CVE-2024-30255: envoy: CONTINUATION 프레임 플러드로 인한 HTTP/2 CPU 소진

envoy 프록시가 이전 MTC 버전에 영향을 미치는 HTTP/2 codec를 구현하는 방식에서 취약점이 발견되었습니다. envoy 의 헤더 맵 제한을 초과한 후에도 단일 스트림 내에서 전송할 수 있는 CONTINUATION 프레임 수에 제한이 충분하지 않습니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 패킷을 취약한 서버로 보낼 수 있습니다. 이러한 패킷은 컴퓨팅 리소스를 사용하고 서비스 거부(DoS)를 유발할 수 있습니다.

소스 클러스터의 Rsync Pod가 Error 상태가 되면 직접 볼륨 마이그레이션이 실패합니다.

PVC(영구 볼륨 클레임)가 있는 애플리케이션을 마이그레이션할 때 단계 마이그레이션 작업은 경고와 함께 성공하지만, 직접 볼륨 마이그레이션(DVM)은 오류 상태로 전환되는 소스 네임스페이스의 rsync Pod와 함께 실패합니다. (BZ#2256141)

충돌 조건이 생성된 후 간단히 지워집니다.

충돌 오류 메시지를 반환하는 새 상태 마이그레이션 계획을 생성할 때 오류 메시지가 표시된 직후에 삭제됩니다. (BZ#2144299)

클러스터에 구성된 다양한 공급자 유형의 볼륨 스냅샷 위치가 여러 개 있는 경우 마이그레이션이 실패합니다.

다른 공급자 유형이 있는 클러스터에 VSL( Volume Snapshot Locations)이 여러 개 있지만 기본 VSL로 설정하지 않은 경우 Velero로 인해 마이그레이션 작업이 실패하는 검증 오류가 발생합니다. (BZ#2180565)

CVE-2024-24786: Golang의 protobuf 모듈에서 취약점이 발견되었으며, 여기서 unmarshal 함수가 무한 루프를 입력할 수 있습니다.

protojson.Unmarshal 함수에서 특정 형식의 잘못된 JSON 메시지를 정리하지 못할 때 함수가 무한 루프가 입력될 수 있는 취약점이 발견되었습니다. 이 조건은 Google.protobuf.Any 값이 포함된 메시지 또는 UnmarshalOptions. DiscardUnknown 옵션이 JSON 형식의 메시지에 설정된 경우 발생할 수 있습니다.

CVE-2024-28180: jose-go 로 고도의 압축 데이터를 부적절하게 처리

고도로 압축 된 데이터를 부적절하게 처리하여 Jose에서 취약점이 발견되었습니다. 공격자는 Decrypt 또는 DecryptMulti 함수에 의해 압축 해제될 때 많은 양의 메모리와 CPU를 사용하는 압축된 데이터를 포함하는 JWE(JSON Web Encryption) 암호화된 메시지를 보낼 수 있습니다. 

소스 클러스터의 Rsync Pod가 Error 상태가 되면 직접 볼륨 마이그레이션이 실패합니다.

PVC(영구 볼륨 클레임)를 사용하여 애플리케이션을 마이그레이션할 때 단계 마이그레이션 작업은 경고와 함께 성공하고, 직접 볼륨 마이그레이션(DVM)은 소스 네임스페이스의 rsync Pod가 오류 상태로 전환되어 실패합니다. (BZ#2256141)

충돌 조건이 생성된 후 간단히 지워집니다.

충돌 오류 메시지가 표시되는 새 상태 마이그레이션 계획을 생성할 때 오류 메시지가 표시된 직후에 삭제됩니다. (BZ#2144299)

기본 VSL이 지정되지 않은 클러스터에 구성된 다양한 공급자 유형의 VSL(볼륨 스냅샷 위치)이 여러 개 있는 경우 마이그레이션이 실패합니다.

다른 공급자 유형이 있는 클러스터에 여러 VSL이 있고 기본 VSL로 설정하지 않으면 Velero에서 마이그레이션 작업이 실패하는 검증 오류가 발생합니다. (BZ#2180565)

CVE-2023-39325 CVE-2023-44487: 다양한 취약점

MTC(Migration Toolkit for Containers)에서 사용하는 HTTP/2 프로토콜의 멀티플렉싱 스트림을 처리하는 데 취약점이 발견되었습니다. 클라이언트는 반복적으로 새로운 멀티플렉싱 스트림을 요청한 다음 즉시 해당 요청을 취소하기 위해 RST_STREAM 프레임을 보낼 수 있습니다. 이 활동을 통해 스트림 설정 및 해제 측면에서 서버에 대한 추가 워크로드가 생성되었지만 연결당 최대 활성 스트림 수에 대한 서버 측 제한을 피할 수 있었습니다. 이로 인해 서버 리소스 사용량으로 인해 서비스 거부가 발생했습니다.

마이그레이션 세부 정보 페이지에 오류 코드 504가 표시됩니다.

마이그레이션 세부 정보 페이지에서 처음에는 마이그레이션 세부 정보가 문제 없이 표시됩니다. 그러나 경우에 따라 세부 정보가 사라지고 504 오류가 반환됩니다. (BZ#2231106)

MTC 1.7.x를 MTC 1.8로 업그레이드할 때 이전 restic Pod가 제거되지 않습니다.

MTC Operator를 1.7.x에서 1.8.x로 업그레이드할 때 이전 restic Pod는 제거되지 않습니다. 업그레이드 후 restic 및 node-agent Pod가 네임스페이스에 표시됩니다. (BZ#2236829)

DVM에서 rsync 옵션 조정

이번 릴리스에서는 직접 볼륨 마이그레이션(DVM) 과정에서 Rsync에서 절대 심볼릭 링크가 조작되는 것을 방지할 수 있습니다. 권한 있는 모드에서 DVM을 실행하면 PVC(영구 볼륨 클레임) 내부의 절대 심볼릭 링크가 유지됩니다. privileged 모드로 전환하려면 MigrationController CR에서 migration_rsync_privileged 사양을 true 로 설정합니다. (BZ#2204461)

DVM에서 rsync 옵션 조정

이번 릴리스에서는 DVM(직접 볼륨 마이그레이션) 중에 rsync에 의해 절대 심볼릭 링크가 조작되지 않도록 할 수 없습니다. (BZ#2204461)

MTC Operator에서 Velero 이미지를 덮어쓸 수 없습니다

이전 릴리스에서는 MigrationController CR(사용자 정의 리소스)에서 velero_image_fqin 매개변수를 사용하여 velero 이미지를 재정의할 수 없었습니다. (BZ#2143389)

도메인 이름에 6자를 초과하면 UI에서 MigCluster를 추가할 수 없습니다.

이전 릴리스에서는 도메인 이름에 6자를 초과하면 UI에서 MigCluster를 추가할 수 없습니다. UI 코드에는 2~6자 사이의 도메인 이름이 예상되었습니다. (BZ#2152149)

UI가 마이그레이션 ' 페이지를 렌더링하지 못했습니다: 정의되지 않은 속성을 읽을 수 없습니다 ( '이름' 읽기)

이전 릴리스에서는 UI가 마이그레이션' 페이지를 렌더링 하지 못하고 정의되지 않은 속성( '이름' 읽기)의 속성을 반환하지 못했습니다. (BZ#2163485)

Red Hat OpenShift Container Platform 4.6 클러스터에서 DPA 리소스 생성 실패

이전 릴리스에서는 OpenShift Container Platform 4.6 클러스터에 MTC를 배포할 때 로그에 따라 DPA를 생성하지 않아 일부 Pod가 누락되었습니다. OCP 4.6 클러스터의 migration-controller 로그에서 예기치 않은 null 값이 전달되어 오류가 발생했습니다. (BZ#2173742)

Red Hat OpenShift Container Platform 4.12의 PSA를 사용하여 DVM 지원에 대해 제안된 변경 사항을 구현합니다.

OpenShift Container Platform 4.12에서 PSA(Pod Security Admission)가 적용되면 기본 Pod는 제한된 프로필로 실행됩니다. 이 제한된 프로필은 마이그레이션해야 하는 워크로드가 이 정책을 위반하여 더 이상 작동하지 않음을 의미합니다. 다음 개선 사항에서는 OCP 4.12와 계속 호환되는 데 필요한 변경 사항을 간략하게 설명합니다. (MIG-1240)

Red Hat OpenShift Platform 4.12에서 cronjob 오류가 누락되어 스토리지 클래스 변환 계획을 생성할 수 없음

이전 릴리스에서는 영구 볼륨 페이지에서 버전 batch/v1beta1 에서 CronJob을 사용할 수 없는 오류가 발생하며 취소를 클릭하면 migplan이 Not ready 상태로 생성됩니다. (BZ#2143628)

충돌 조건이 생성되면 잠시 후에 지워집니다.

충돌 오류가 발생하는 새 상태 마이그레이션 계획을 생성하면 해당 오류가 표시된 후 해당 오류가 지워집니다. (BZ#2144299)

소스 클러스터에서 rsync Pod가 오류 상태로 전환되어 직접 볼륨 마이그레이션이 실패합니다.

이전 릴리스에서 마이그레이션은 경고와 함께 성공했지만 소스 네임스페이스의 rsync Pod에서 직접 볼륨 마이그레이션에 실패했습니다. (*BZ#2132978)

MTC Operator에서 Velero 이미지를 덮어쓸 수 없습니다

이전 릴리스에서는 MigrationController CR(사용자 정의 리소스)에서 velero_image_fqin 매개변수를 사용하여 velero 이미지를 재정의할 수 없었습니다. (BZ#2143389)

UI에서 MigHook를 편집할 때 페이지가 다시 로드되지 않을 수 있습니다.

네트워크 연결 문제가 있는 경우 후크를 편집할 때 UI가 다시 로드되지 않을 수 있습니다. 네트워크 연결이 복원되면 캐시가 지워질 때까지 페이지가 다시 로드되지 않습니다. (BZ#2140208)

대상 클러스터에서 일부 리소스 삭제 누락된 롤백

MTC UI에서 애플리케이션 롤백을 수행할 때 일부 리소스는 대상 클러스터에서 삭제되지 않고 롤백에 상태가 성공적으로 완료된 것으로 표시됩니다. (BZ#2126880)

대상 네임스페이스에 대한 올바른 DNS 검증

이전 릴리스에서는 대상 네임스페이스가 알파벳이 아닌 문자로 시작된 경우 MigPlan을 검증할 수 없습니다. (BZ#2102231)

UI에서 모든 PVC를 선택 해제하면 시도된 PVC 전송이 발생합니다.

이전 릴리스에서는 전체 마이그레이션을 수행하는 동안 PVC(영구 볼륨 클레임) 선택을 생략하지 않고 PVC 선택을 건너뛰지 않고 마이그레이션을 시도합니다. (BZ#2106073)

대상 네임스페이스에 대한 잘못된 DNS 검증

이전 릴리스에서는 대상 네임스페이스가 알파벳이 아닌 문자로 시작했기 때문에 MigPlan을 검증할 수 없었습니다. (BZ#2102231)

MTC UI가 로그를 올바르게 표시하지 않음

이전 릴리스에서는 MTC UI가 로그를 올바르게 표시하지 않았습니다. (BZ#2062266)

migplan에서 migstorage 참조 추가 StorageClass 변환 계획

이전 릴리스에서는 StorageClass 변환 계획에 사용되지 않은 경우에도 migstorage 참조가 있었습니다. (BZ#2078459)

다운로드한 로그에서 Velero Pod 로그 누락

이전 릴리스에서는 모든 로그에 대해 압축(.zip) 폴더를 다운로드할 때 velero Pod가 누락되었습니다. (BZ#2076599)

UI 드롭다운에서 Velero Pod 로그 누락

이전 릴리스에서는 마이그레이션이 수행된 후 드롭다운 목록에 제공된 로그에 velero Pod 로그가 포함되지 않았습니다. (BZ#2076593)

Rsync 옵션 로그가 log-reader Pod에 표시되지 않음

이전 릴리스에서는 마이그레이션 컨트롤러에서 유효한 rsync 옵션을 설정하려고 할 때 log-reader에서 유효하지 않은 옵션 또는 rsync 명령에 대한 로그를 표시하지 않았습니다. (BZ#2079252)

Velero/Restic의 기본 CPU 요청은 너무 까다롭고 특정 환경에서 실패합니다.

이전 릴리스에서는 Velero/Restic에 대한 기본 CPU 요청이 너무 부족하여 특정 환경에서 실패했습니다. Velero 및 Restic 포드에 대한 기본 CPU 요청은 500m로 설정됩니다. 이 값은 높았습니다. (BZ#2088022)

UI에서 복제 리포지토리를 다른 스토리지 공급자 유형으로 업데이트하는 것은 지원되지 않습니다.

복제 리포지토리를 다른 유형으로 업데이트하고 Update Repository 를 클릭하면 연결이 성공적으로 표시되지만 UI가 올바른 세부 정보로 업데이트되지 않습니다. 편집 버튼을 다시 클릭하면 이전 복제 리포지토리 정보가 계속 표시됩니다.

백업을 찾을 수 없기 때문에 마이그레이션이 실패합니다.

초기 백업이 발견되지 않았기 때문에 복원 단계에서 마이그레이션이 실패합니다. (BZ#2104874)

Azure 리소스 그룹을 업데이트할 때 클러스터 업데이트 버튼이 활성화되지 않음

원격 클러스터를 업데이트할 때 Azure 리소스 그룹 확인란을 선택하고 리소스 그룹을 추가하면 클러스터 업데이트 옵션이 활성화되지 않습니다. (BZ#2098594)

migstorage 리소스를 삭제할 때 UI에서 오류 발생

OpenShift Container Platform에서 backupStorage 인증 정보 시크릿을 생성할 때 migstorage 가 UI에서 제거되면 404 오류가 반환되고 기본 보안이 제거되지 않습니다. (BZ#2100828)

UI에서 리소스 수를 0으로 표시하는 MigAnalytic 리소스

백엔드에서 migplan을 생성하면 Miganalytic 리소스에서 리소스 수를 UI에서 0 으로 표시합니다. (BZ#2102139)

이미지 레지스트리에 노출된 경로 호스트에 두 개의 후행 슬래시가 추가되면 레지스트리 검증이 실패합니다.

노출된 레지스트리 경로에 후행 슬래시 두 개를 추가하면 MigCluster 리소스가 연결된 상태를 표시합니다. DIM을 사용하여 백엔드에서 migplan을 생성할 때 계획이 준비되지 않은 상태로 이동합니다. (BZ#2104864)

소스 클러스터를 편집하는 동안 서비스 계정 토큰이 표시되지 않음

추가되었으며 연결된 상태인 소스 클러스터를 편집할 때 UI에서 서비스 계정 토큰이 필드에 표시되지 않습니다. 마법사를 저장하려면 토큰을 다시 가져와서 필드 내에 세부 정보를 제공해야 합니다. (BZ#2097668)

대상 네임스페이스에 대한 잘못된 DNS 검증

대상 네임스페이스가 알파벳이 아닌 문자로 시작되므로 MigPlan을 검증할 수 없습니다. (BZ#2102231)

Velero Pod에서 라벨이 누락되어 마이그레이션 컨트롤러의 클라우드 전파 단계가 작동하지 않습니다.

Velero Pod에서 라벨이 누락되어 마이그레이션 컨트롤러의 클라우드 전파 단계는 작동하지 않습니다. 마이그레이션 컨트롤러의 EnsureCloudSecretPropagated 단계는 복제 리포지토리 보안이 양쪽에 전파될 때까지 대기합니다. 이 레이블이 Velero Pod에서 누락되므로 단계가 예상대로 작동하지 않습니다. (BZ#2088026)

특정 환경에서 예약이 실패할 때 Velero/Restic의 기본 CPU 요청이 너무 까다롭습니다.

특정 환경에서 예약이 실패할 때 Velero/Restic의 기본 CPU 요청이 너무 까다롭습니다. Velero 및 Restic 포드에 대한 기본 CPU 요청은 500m로 설정됩니다. 이러한 값은 높습니다. Velero 및 Restic의 podConfig 필드를 사용하여 DPA에서 리소스를 구성할 수 있습니다. 마이그레이션 Operator는 CPU 요청을 100m과 같은 더 낮은 값으로 설정해야 MTC가 자주 작동하는 리소스 제한 환경에서 Velero 및 Restic Pod를 예약할 수 있습니다. (BZ#2088022)

스토리지 클래스 변환 계획을 편집한 후 persistentVolumes 페이지에 경고가 표시됩니다.

스토리지 클래스 변환 계획을 편집한 후 persistentVolumes 페이지에 경고가 표시됩니다. 기존 마이그레이션 계획을 편집할 때 스토리지 클래스 변환을 위해 UI에 하나 이상의 PVC를 선택해야 합니다. (BZ#2079549)

다운로드한 로그에서 Velero Pod 로그 누락

모든 로그에 대해 압축된(.zip) 폴더를 다운로드할 때 velero Pod가 누락됩니다. (BZ#2076599)

UI 드롭다운에서 Velero Pod 로그 누락

마이그레이션이 완료되면 드롭다운 목록에 제공된 로그에 velero Pod 로그가 포함되지 않습니다. (BZ#2076593)