2.2. Migration Toolkit for Containers 1.7 릴리스 노트

CVE-2023-45290: Golang: net/http : Request.ParseMultipartForm 메서드에서 메모리 고갈

MTC의 이전 버전에 영향을 미치는 net/http Golang 표준 라이브러리 패키지에서 결함이 발견되었습니다. Request.ParseMultipartForm 을 사용하여 명시적으로 또는 Request.FormValue , Request.PostFormValue 또는 Request.FormFile 메서드 를 사용하여 암시적으로 다중 파트 양식을 구문 분석하는 경우, 구문 분석된 양식의 총 크기에 대한 제한은 단일 양식 줄을 읽는 동안 사용되는 메모리에 적용되지 않습니다. 악의적으로 작성된 긴 줄이 포함된 입력으로 인해 임의로 많은 양의 메모리가 할당되어 잠재적으로 메모리 고갈이 발생할 수 있습니다.

CVE-2024-24783: Golang: crypto/x509 : 알 수 없는 공개 키 알고리즘을 사용하는 인증서의 패닉 확인

MTC의 이전 버전에 영향을 미치는 crypto/x509 Golang 표준 라이브러리 패키지에서 결함이 발견되었습니다. 알 수 없는 공개 키 알고리즘을 사용하는 인증서가 포함된 인증서 체인을 검증하면 Certificate.Verify가 패닉 상태에 빠집니다. 이는 Config.ClientAuth를 VerifyClientCertIfGiven 또는 RequireAndVerifyClientCert로 설정하는 모든 crypto/tls 클라이언트 및 서버에 영향을 미칩니다. 기본적으로 TLS 서버는 클라이언트 인증서를 확인하지 않습니다.

CVE-2024-24784: Golang: net/mail : 표시 이름의 주석이 잘못 처리됩니다.

MTC의 이전 버전에 영향을 미치는 net/mail Golang 표준 라이브러리 패키지에서 결함이 발견되었습니다. ParseAddressList 함수는 주석, 괄호 안의 텍스트, 표시 이름을 잘못 처리합니다. 이는 적합한 주소 파서와의 불일치로 인해 다른 파서를 사용하는 프로그램에서 서로 다른 신뢰 결정이 내려질 수 있습니다.

CVE-2024-24785: Golang: html/template : MarshalJSON 메서드에서 반환된 오류로 인해 템플릿 이스케이프가 중단될 수 있음

MTC의 이전 버전에 영향을 미치는 Golang 표준 라이브러리 패키지의 html/template 에서 결함이 발견되었습니다. MarshalJSON 메서드에서 반환된 오류에 사용자가 제어하는 데이터가 포함되어 있는 경우, 이를 사용하여 html/template 패키지의 상황에 맞는 자동 이스케이프 동작을 중단하고 후속 작업에서 예기치 않은 콘텐츠를 템플릿에 주입할 수 있습니다.

CVE-2024-29180: webpack-dev-middleware : URL 검증이 부족하여 파일 유출이 발생할 수 있습니다.

MTC의 이전 버전에 영향을 미치는 webpack-dev-middleware 패키지 에서 결함이 발견되었습니다. 이 결함은 로컬 파일을 반환하기 전에 제공된 URL 주소의 유효성을 충분히 검사하지 못하므로 공격자가 개발자의 컴퓨터에서 임의의 로컬 파일을 반환하는 URL을 조작할 수 있습니다.

CVE-2024-30255: envoy : CONTINUATION 프레임 플러딩으로 인한 HTTP/2 CPU 고갈

HTTP/2 코덱을 구현하는 방식에 결함 이 발견되어 이전 버전의 MTC에 영향을 미쳤습니다. envoy 의 헤더 맵 제한을 초과한 후에도 단일 스트림 내에서 전송할 수 있는 CONTINUATION 프레임 수에 대한 제한이 충분하지 않습니다. 이 결함으로 인해 인증되지 않은 원격 공격자가 취약한 서버로 패킷을 보낼 수 있습니다. 이러한 패킷은 컴퓨팅 리소스를 소모하고 서비스 거부(DoS)를 일으킬 수 있습니다.

소스 클러스터의 Rsync 포드가 오류 상태로 전환되어 직접 볼륨 마이그레이션이 실패합니다.

PVC(Persistent Volume Claim)가 있는 애플리케이션을 마이그레이션할 때 스테이지 마이그레이션 작업은 경고와 함께 성공하지만, DVM(Direct Volume Migration)은 소스 네임스페이스의 rsync 포드가 오류 상태로 전환되면서 실패합니다. (BZ#2256141)

충돌 조건은 생성된 후 잠시 해제됩니다.

충돌 오류 메시지를 반환하는 새로운 상태 마이그레이션 계획을 만들 때 오류 메시지는 표시된 후 바로 사라집니다. (BZ#2144299)

클러스터에 다양한 공급자 유형의 여러 볼륨 스냅샷 위치가 구성된 경우 마이그레이션이 실패합니다.

클러스터에 서로 다른 공급자 유형을 포함하는 여러 볼륨 스냅샷 위치(VSL)가 있지만 그 중 아무 것도 기본 VSL로 설정하지 않은 경우, Velero에서 유효성 검사 오류가 발생하여 마이그레이션 작업이 실패합니다. (BZ#2180565)

CVE-2024-24786: Golang의 protobuf 모듈에서 unmarshal 함수가 무한 루프에 들어갈 수 있는 결함이 발견되었습니다.

protojson.Unmarshal 함수에서 결함이 발견되었는데, 이 결함으로 인해 특정 형식의 잘못된 JSON 메시지를 언마샬링할 때 함수가 무한 루프에 빠질 수 있습니다. 이 조건은 Google.protobuf.Any 값이 포함된 메시지 또는 UnmarshalOptions.DiscardUnknown 옵션이 JSON 형식의 메시지에 설정된 경우 발생할 수 있습니다.

CVE-2024-28180: jose-go가 고압축 데이터를 부적절하게 처리함

Jose에서는 고도로 압축된 데이터를 부적절하게 처리하여 취약점이 발견되었습니다. 공격자는 Decrypt 또는 DecryptMulti 함수로 압축을 풀 때 많은 양의 메모리와 CPU를 사용하는 압축 데이터가 포함된 JSON 웹 암호화(JWE) 메시지를 보낼 수 있습니다. 

소스 클러스터의 Rsync 포드가 오류 상태로 전환되어 직접 볼륨 마이그레이션이 실패합니다.

PVC(Persistent Volume Claim)를 사용하여 애플리케이션을 마이그레이션할 때 스테이지 마이그레이션 작업은 경고와 함께 성공하고, DVM(Direct Volume Migration)은 소스 네임스페이스의 rsync 포드가 오류 상태로 전환되면서 실패합니다. (BZ#2256141)

충돌 조건은 생성된 후 잠시 해제됩니다.

충돌 오류 메시지가 발생하는 새로운 상태 마이그레이션 계획을 만들 때, 오류 메시지는 표시된 후 곧바로 사라집니다. (BZ#2144299)

클러스터에 서로 다른 공급자 유형의 여러 볼륨 스냅샷 위치(VSL)가 구성되어 있고 기본 VSL이 지정되지 않은 경우 마이그레이션이 실패합니다.

클러스터에 서로 다른 공급자 유형을 포함하는 여러 VSL이 있고 그 중 아무 것도 기본 VSL로 설정하지 않은 경우, Velero에서 유효성 검사 오류가 발생하여 마이그레이션 작업이 실패합니다. (BZ#2180565)

CVE-2023-39325 CVE-2023-44487: 다양한 결함

컨테이너용 마이그레이션 툴킷(MTC)에서 활용하는 HTTP/2 프로토콜의 다중화 스트림 처리에 결함이 발견되었습니다. 클라이언트는 새로운 멀티플렉스 스트림에 대한 요청을 반복적으로 한 다음, 즉시 RST_STREAM 프레임을 보내 해당 요청을 취소할 수 있습니다. 이 활동으로 인해 스트림을 설정하고 해체하는 측면에서 서버에 추가적인 작업 부하가 발생했지만 연결당 활성 스트림의 최대 수에 대한 서버 측 제한은 발생하지 않았습니다. 이로 인해 서버 리소스 사용량으로 인해 서비스 거부가 발생했습니다.

마이그레이션 세부 정보 페이지에 오류 코드 504가 표시됩니다.

마이그레이션 세부 정보 페이지에서 처음에는 마이그레이션 세부 정보가 문제 없이 표시됩니다. 그러나 경우에 따라 세부 정보가 사라지고 504 오류가 반환됩니다. (BZ#2231106)

Migration Toolkit for Containers 1.7.x를 Migration Toolkit for Containers 1.8로 업그레이드할 때 이전 restic 포드가 제거되지 않습니다.

Migration Toolkit for Containers(MTC) 운영자를 1.7.x에서 1.8.x로 업그레이드해도 이전의 restic 포드가 제거되지 않습니다. 업그레이드 후 잔여 Pod 및 node-agent Pod가 네임스페이스에 표시됩니다. (BZ#2236829)

DVM에서 rsync 옵션 조정

이번 릴리스에서는 직접 볼륨 마이그레이션(DVM) 과정의 Rsync에서 절대 심볼릭 링크가 조작되는 것을 방지할 수 있습니다. 권한 있는 모드에서 DVM을 실행하면 PVC(영구 볼륨 클레임) 내부의 절대 심볼릭 링크가 유지됩니다. 권한 있는 모드로 전환하려면 MigrationController CR에서 migration_rsync_privileged 사양을 true 로 설정합니다. (BZ#2204461)

DVM에서 rsync 옵션 조정

이번 릴리스에서는 사용자가 DVM(직접 볼륨 마이그레이션) 중에 rsync에 의해 절대 심볼릭 링크가 조작되지 않도록 할 수 없습니다. (BZ#2204461)

Velero 이미지는 MTC(컨테이너용 마이그레이션 툴킷) 운영자에서 재정의될 수 없습니다.

이전 릴리스에서는 MigrationController CR(사용자 정의 리소스)에서 velero_image_fqin 매개변수를 사용하여 velero 이미지를 재정의할 수 없었습니다. (BZ#2143389)

도메인 이름에 6자를 초과하면 UI에서 MigCluster를 추가할 수 없습니다.

이전 릴리스에서는 도메인 이름에 6자를 초과하면 UI에서 MigCluster를 추가할 수 없습니다. UI 코드에는 2~6자 사이의 도메인 이름이 예상되었습니다. (BZ#2152149)

UI가 마이그레이션 페이지를 렌더링하지 못했습니다: Cannot read properties of undefined (reading 'name')

이전 릴리스에서는 UI가 마이그레이션' 페이지를 렌더링 Cannot read properties of undefined (reading 'name') 속성을 반환하지 못했습니다. (BZ#2163485)

Red Hat OpenShift Container Platform 4.6 클러스터에서 DPA 리소스 생성 실패

이전 릴리스에서는 OpenShift Container Platform 4.6 클러스터에 MTC를 배포할 때 로그에 따라 DPA를 생성하지 않아 일부 Pod가 누락되었습니다. OpenShift Container Platform 4.6 클러스터의 마이그레이션 컨트롤러 로그에 따르면 예기치 않은 null 값이 전달되어 오류가 발생한 것으로 나타났습니다. (BZ#2173742)

Red Hat OpenShift Container Platform 4.12의 PSA를 사용하여 DVM 지원에 대해 제안된 변경 사항을 구현합니다.

OpenShift Container Platform 4.12에서 PSA(Pod Security Admission)가 적용되면 기본 Pod는 restricted 프로필로 실행됩니다. 이 restricted 프로필은 마이그레이션해야 하는 워크로드가 이 정책을 위반하여 더 이상 작동하지 않음을 의미합니다. 다음 개선 사항에서는 OCP 4.12와 계속 호환되는 데 필요한 변경 사항을 간략하게 설명합니다. (MIG-1240)

Red Hat OpenShift Platform 4.12에서 cronjob 오류가 누락되어 스토리지 클래스 변환 계획을 생성할 수 없음

이전 릴리스에서는 영구 볼륨 페이지에서 버전 batch/v1beta1 에서 CronJob을 사용할 수 없는 오류가 발생하며 취소를 클릭하면 migplan이 Not ready 상태로 생성됩니다. (BZ#2143628)

충돌 조건이 생성되면 잠시 후에 이 조건이 지워짐

충돌 오류가 발생하는 새 상태 마이그레이션 계획을 생성하면 해당 오류가 표시된 후 해당 오류가 지워집니다. (BZ#2144299)

소스 클러스터에서 rsync Pod가 오류 상태로 전환되어 직접 볼륨 마이그레이션이 실패

이전 릴리스에서 마이그레이션은 경고와 함께 성공했지만 소스 네임스페이스의 rsync Pod에서 직접 볼륨 마이그레이션에 실패했습니다. (*BZ#2132978)

Velero 이미지는 MTC(컨테이너용 마이그레이션 툴킷) 운영자에서 재정의될 수 없습니다.

이전 릴리스에서는 MigrationController CR(사용자 정의 리소스)에서 velero_image_fqin 매개변수를 사용하여 velero 이미지를 재정의할 수 없었습니다. (BZ#2143389)

UI에서 MigHook를 편집할 때 페이지가 다시 로드되지 않을 수 있음

네트워크 연결 문제가 있는 경우 후크를 편집할 때 UI가 다시 로드되지 않을 수 있습니다. 네트워크 연결이 복원되면 캐시가 지워질 때까지 페이지가 다시 로드되지 않습니다. (BZ#2140208)

대상 클러스터에서 일부 리소스 삭제 누락된 롤백

MTC(Migration Toolkit for Containers) UI에서 애플리케이션 롤백을 수행할 때 일부 리소스가 대상 클러스터에서 삭제되지 않고 롤백 상태가 성공적으로 완료로 표시됩니다. (BZ#2126880)

대상 네임스페이스에 대한 올바른 DNS 검증

이전 릴리스에서는 대상 네임스페이스가 알파벳이 아닌 문자로 시작된 경우 MigPlan을 검증할 수 없습니다. (BZ#2102231)

UI에서 모든 PVC를 선택 해제하면 시도된 PVC 전송이 발생합니다.

이전 릴리스에서는 전체 마이그레이션을 수행하는 동안 PVC(영구 볼륨 클레임) 선택을 생략하지 않고 PVC 선택을 건너뛰지 않고 마이그레이션을 시도합니다. (BZ#2106073)

대상 네임스페이스에 대한 잘못된 DNS 검증

이전 릴리스에서는 대상 네임스페이스가 알파벳이 아닌 문자로 시작했기 때문에 MigPlan을 검증할 수 없었습니다. (BZ#2102231)

MTC UI가 로그를 올바르게 표시하지 않음

이전 릴리스에서는 MTC(Migration Toolkit for Containers) UI가 로그를 올바르게 표시하지 않았습니다. (BZ#2062266)

migplan에서 migstorage 참조 추가 StorageClass 변환 계획

이전 릴리스에서는 StorageClass 변환 계획에 사용되지 않은 경우에도 migstorage 참조가 있었습니다. (BZ#2078459)

다운로드한 로그에서 Velero Pod 로그 누락

이전 릴리스에서는 모든 로그에 대해 압축(.zip) 폴더를 다운로드할 때 velero Pod가 누락되었습니다. (BZ#2076599)

UI 드롭다운에서 Velero Pod 로그 누락

이전 릴리스에서는 마이그레이션이 수행된 후 드롭다운 목록에 제공된 로그에 velero Pod 로그가 포함되지 않았습니다. (BZ#2076593)

Rsync 옵션 로그가 log-reader Pod에 표시되지 않음

이전 릴리스에서는 migrationcontroller에서 유효한 rsync 옵션을 설정하려고 할 때 log-reader에서 유효하지 않은 옵션 또는 rsync 명령에 대한 로그를 표시하지 않았습니다. (BZ#2079252)

Velero/Restic의 기본 CPU 요청은 너무 까다롭고 특정 환경에서는 실패

이전 릴리스에서는 Velero/Restic에 대한 기본 CPU 요청이 너무 부족하여 특정 환경에서 실패했습니다. Velero 및 Restic Pod에 대한 기본 CPU 요청은 500m로 설정됩니다. 이 값은 높았습니다. (BZ#2088022)

UI에서 복제 리포지토리를 다른 스토리지 공급자 유형으로 업데이트하는 것은 지원되지 않음

복제 리포지토리를 다른 유형으로 업데이트하고 리포지토리를 업데이트를 클릭하면 연결이 성공적으로 표시되지만 UI가 올바른 세부 정보로 업데이트되지 않습니다. 편집 버튼을 다시 클릭하면 이전 복제 리포지토리 정보가 계속 표시됩니다.

백업을 찾을 수 없기 때문에 마이그레이션이 실패

초기 백업이 발견되지 않았기 때문에 복원 단계에서 마이그레이션이 실패합니다. (BZ#2104874)

Azure 리소스 그룹을 업데이트할 때 클러스터 업데이트 버튼이 활성화되지 않음

원격 클러스터를 업데이트할 때 Azure 리소스 그룹 확인란을 선택하고 리소스 그룹을 추가하면 클러스터 업데이트 옵션이 활성화되지 않습니다. (BZ#2098594)

migstorage 리소스를 삭제할 때 UI에서 오류 발생

OpenShift Container Platform에서 backupStorage 인증 정보 시크릿을 생성할 때 migstorage 가 UI에서 제거되면 404 오류가 반환되고 기본 보안이 제거되지 않습니다. (BZ#2100828)

UI에서 리소스 수를 0으로 표시하는 MigAnalytic 리소스

백엔드에서 migplan을 생성하면 Miganalytic 리소스에서 리소스 수를 UI에서 0 으로 표시합니다. (BZ#2102139)

이미지 레지스트리에 노출된 경로 호스트에 두 개의 후행 슬래시가 추가되면 레지스트리 검증이 실패

//를 의미하는 두 개의 후행 슬래시를 노출된 레지스트리 경로에 추가하면 MigCluster 리소스가 상태를 connected으로 표시합니다. DIM을 사용하여 백엔드에서 migplan을 생성할 때 계획이 준비되지 unready 상태로 이동합니다. (BZ#2104864)

소스 클러스터를 편집하는 동안 서비스 계정 토큰이 표시되지 않음

추가되었으며 Connected 상태인 소스 클러스터를 편집할 때 UI에서 서비스 계정 토큰이 필드에 표시되지 않습니다. 마법사를 저장하려면 토큰을 다시 가져와서 필드 내에 세부 정보를 제공해야 합니다. (BZ#2097668)

대상 네임스페이스에 대한 잘못된 DNS 검증

대상 네임스페이스가 알파벳이 아닌 문자로 시작되므로 MigPlan을 검증할 수 없습니다. (BZ#2102231)

Velero Pod에서 라벨이 누락되어 마이그레이션 컨트롤러의 클라우드 전파 단계가 작동하지 않음

Velero Pod에서 라벨이 누락되어 마이그레이션 컨트롤러의 클라우드 전파 단계는 작동하지 않습니다. 마이그레이션 컨트롤러의 EnsureCloudSecretPropagated 단계는 복제 리포지토리 보안이 양쪽에 전파될 때까지 대기합니다. 이 레이블이 Velero Pod에서 누락되므로 단계가 예상대로 작동하지 않습니다. (BZ#2088026)

특정 환경에서 스케줄링을 실패하는 경우 Velero/Restic의 기본 CPU 요청이 너무 까다로움

특정 환경에서 스케줄링을 실패하는 경우 Velero/Restic의 기본 CPU 요청이 너무 까다롭습니다. Velero 및 Restic Pod에 대한 기본 CPU 요청은 500m로 설정됩니다. 이러한 값은 높습니다. Velero 및 Restic의 podConfig 필드를 사용하여 DPA에서 리소스를 구성할 수 있습니다. 마이그레이션 운영자는 Velero 및 Restic 포드가 리소스가 제한된 환경에서 스케줄링될 수 있도록 CPU 요청을 100m과 같은 더 낮은 값으로 설정해야 합니다. 이러한 환경에서 MTC(Migration Toolkit for Containers)는 종종 작동합니다. (BZ#2088022)

스토리지 클래스 변환 계획을 편집한 후 persistentVolumes 페이지에 경고가 표시됨

스토리지 클래스 변환 계획을 편집한 후 persistentVolumes 페이지에 경고가 표시됩니다. 기존 마이그레이션 계획을 편집할 때 UI에 경고가 표시됩니다. At least one PVC must be selected for Storage Class Conversion. (BZ#2079549)

다운로드한 로그에서 Velero Pod 로그 누락

모든 로그에 대해 압축된(.zip) 폴더를 다운로드할 때 velero Pod가 누락됩니다. (BZ#2076599)

UI 드롭다운에서 Velero Pod 로그 누락

마이그레이션이 완료되면 드롭다운 목록에 제공된 로그에 velero Pod 로그가 포함되지 않습니다. (BZ#2076593)