8장. 비동기 업데이트
8.1. RPM 릴리스
에라타 권고 | 구성 요소 버전 |
---|---|
RHSA-2024:3781 |
|
8.1.1. RHSA-2024:3781 - 보안 권고 - 2024년 6월 10일
8.1.1.1. 일반
-
ansible-developer
RPM 리포지토리(AAP-23368)에automation-controller-cli
패키지를 추가했습니다.
이번 업데이트를 통해 다음 CVE가 해결되었습니다.
CVE-2023-45288 - 무제한의 CONTINUATION 프레임으로 인해 서비스 거부(DoS)가 발생합니다.
-
패키지 업데이트:
수신기: golang: net/http, x/net/http2
.
-
패키지 업데이트:
CVE-2023-45290 -
Request.ParseMultipartForm
의 메모리 소진입니다.-
패키지 업데이트:
수신기: golang: net/http
.
-
패키지 업데이트:
CVE-2023-49083 - PKCS7 인증서를 로드할 때 null-pointer 역참조.
-
패키지 업데이트:
python3-cryptography
및python39-cryptography
.
-
패키지 업데이트:
CVE-2023-50447 - 환경 매개 변수를 사용한 임의의 코드 실행.
-
패키지 업데이트:
python3-pillow
및python39-pillow
.
-
패키지 업데이트:
CVE-2024-1135 - Transfer-Encoding 헤더의 잘못된 검증으로 인해 HTTP 요청 Smuggling입니다.
-
패키지 업데이트:
python3-gunicorn
및python39-gunicorn
.
-
패키지 업데이트:
CVE-2024-21503 -
strings.py
파일 내에서lines_with_leading_tabs_expanded()
함수가 있는 정규식 서비스 거부(ReDoS)입니다.-
패키지 업데이트:
python3-black
및python39-black
.
-
패키지 업데이트:
CVE-2024-24783 - 알 수 없는 공개 키 알고리즘이 있는 인증서에서 패닉을 확인합니다.
-
패키지 업데이트:
수신기: golang: crypto/x509
.
-
패키지 업데이트:
CVE-2024-26130 - 일치하는 인증서 및 개인 키로 호출할 때
pkcs12.serialize_key_and_certificates
를 역참조하고hmac_hash
재정의를 설정합니다.-
패키지 업데이트:
python3-cryptography
및python39-cryptography
.
-
패키지 업데이트:
CVE-2024-27306 - 정적 파일 처리를 위해 인덱스 페이지의 XSS(cross-site scripting)입니다.
-
패키지 업데이트:
python3-aiohttp
및python39-aiohttp
.
-
패키지 업데이트:
CVE-2024-27351 - Django
.utils.text.Truncator. wordss()
의 잠재적인 ReDoS입니다.-
패키지 업데이트:
automation-controller: Django
.
-
패키지 업데이트:
CVE-2024-28219 -
_imagingcms.c
의 버퍼 오버플로-
패키지 업데이트:
python3-pillow
및python39-pillow
.
-
패키지 업데이트:
CVE-2024-28849 - 가능한 인증 정보 누출.
-
패키지 업데이트:
python3-galaxy-ng: follow-redirects
,python39-galaxy-ng: follow-redirects
,automation-hub: follow-redirects
.
-
패키지 업데이트:
CVE-2024-30251 - 잘못된 형식의 POST 요청을 구문 분석하려고 할 때 DoS입니다.
-
패키지 업데이트:
python3-aiohttp
,python39-aiohttp
,automation-controller: aiohttp
.
-
패키지 업데이트:
CVE-2024-32879 -
social-auth-app-django
에서 대소문자 민감도를 잘못 처리합니다.-
패키지 업데이트:
python3-social-auth-app-django
및python39-social-auth-app-django
.
-
패키지 업데이트:
CVE-2024-34064 -
xmlattr
필터는 non-attribute 문자가 포함된 키를 허용합니다.-
패키지 업데이트:
python3-jinja2
및python39-jinja2
.
-
패키지 업데이트:
CVE-2024-35195 - 동일한 호스트에 대한 추가 요청은 인증서 확인을 무시합니다.
-
패키지 업데이트:
python3-requests
및python39-requests
.
-
패키지 업데이트:
CVE-2024-3651 -
idna.encode()
에 특별히 조작된 입력을 통해 리소스 소비 가능성이 있는 DoS입니다.-
패키지 업데이트:
python3-idna
및python39-idna
.
-
패키지 업데이트:
CVE-2024-3772 - 조작된 이메일 문자열이 포함된 ReDoS.
-
패키지 업데이트:
python3-pydantic
,python39-pydantic
,automation-controller: python-pydantic
.
-
패키지 업데이트:
CVE-2024-4340 - 크게 중첩된 목록을 구문 분석하면 DoS가 발생합니다.
-
패키지 업데이트:
python3-sqlparse
및python39-sqlparse
.
-
패키지 업데이트:
CVE-2023-5752 -
pip
를 사용하여 설치할 때 리포지토리 리버전의 Mercurial 구성 삽입입니다.-
패키지 업데이트:
automation-controller: pip
.
-
패키지 업데이트:
8.1.1.2. 자동화 컨트롤러
- 자동화 컨트롤러 버전 4.5.6(AAP-24286)에 대한 Redis 연결 누수를 수정했습니다.
-
Python
uwsgitop
스크립트 (AAP-22461)에 대해#!
인터프리터 지시문을 수정했습니다.
8.1.1.3. 자동화 허브
- 이번 업데이트를 통해 네임스페이스의 사용자 목록을 가져오는 데 그룹 멤버(AAH-3121)가 포함되지 않습니다.
- 커뮤니티 리포지토리(AAH-3111)를 동기화할 때 "ECDHEd digest가 다이제스트로 전달되지 않음" 오류가 발생한 문제를 해결했습니다.
- 자동화 허브를 최신 버전 (AAH-3218)으로 업데이트한 후 rh 인증 리포지토리를 동기화하는 문제가 해결되었습니다.
8.1.1.4. 이벤트 기반 Ansible
-
eda-server
의SAFE_PLUGINS_FORWARD
설정에 대한 지원이 설치 프로그램(AAP-21620)에 추가되었습니다. -
이번 업데이트를 통해
eda-server
는 이제 설정에서 해당 플러그인이 허용되는 경우에만 인바운드 연결이 필요한 소스 플러그인이 있는 룰북의 포트를 엽니다(AAP-17416). - 볼륨 정리(AAP-21065)로 인해 2048 Pod 제한에 도달한 후 활성화를 시작할 수 없는 문제를 해결했습니다.
- 볼륨 정리(AAP-22132)로 인해 일부 활성화가 실패한 문제를 해결했습니다.
- 이번 릴리스에서는 활성화-작업자 및 작업자 대상이 다른 필수 이벤트 기반 Ansible 서비스(AAP-23735)와 독립적으로 작업자 서비스를 올바르게 중지합니다.
8.1.2. RHSA-2024:1057 - 보안 권고 - 2024년 3월 01일
8.1.2.1. 자동화 허브
- 자동화 허브의 각 컬렉션에 대한 다운로드 수(AAP-18298)를 표시합니다.
8.1.2.2. 이벤트 기반 Ansible
- 이벤트 기반 Ansible 작업자 서비스(AAP-20672)당 실행 중인 활성화 수를 제어하는 매개변수를 추가했습니다.
-
설치 관리자(AAP-20244)에 의해 결정되는 허용된 호스트 이름을 기반으로 사용자 입력으로 설정하거나 정의할 수 있는
EDA_CSRF_TRUSTED_ORIGINS
가 추가했습니다. - 기존 자동화 컨트롤러 버전이 4.4.0 이상(AAP-20241)인 경우 이벤트 기반 Ansible 설치가 실패합니다.
-
Podman 설치의 최대 로그 크기를 제어하기 위해 containers.conf에
podman_containers_conf_logs_max_size
변수를 추가했습니다. 기본값은 10MiB(AAP-19775)입니다. - Event-Driven Ansible debug 플래그를 false로 설정하면 Django 디버그 모드(AAP-19577)가 올바르게 비활성화됩니다.
-
이제 Podman(AAP-19265)에 대한 이벤트 기반 Ansible 언어 설정을 적용할 때
XDG_RUNTIME_DIR
이 정의됩니다. - 사용자 정의 https 포트(AAP-19137)를 사용할 때 이벤트 기반 Ansible nginx 구성을 수정했습니다.
- 이 릴리스의 일부 기능은 이벤트 기반 Ansible의 LDAP 인증 기능을 포함하여 개발자 프리뷰로 분류됩니다. 이러한 이벤트 기반 Ansible 개발자 프리뷰 기능에 대한 자세한 내용은 이벤트 기반 Ansible - 개발자 프리뷰 를 참조하십시오.
8.1.3. RHSA-2024:0733 - 2024년 2월 7일
8.1.3.1. 자동화 컨트롤러
-
rsyslogd
가 Splunk HTTP Collector(AAP-19069)로 이벤트 전송을 중지한 오류가 수정되었습니다.
8.1.3.2. 자동화 허브
- 자동화 허브는 이제 nginx(AAP-18974)에서 시스템 암호화 정책을 사용합니다.
8.1.3.3. 이벤트 기반 Ansible
- 이벤트 기반 Ansible을 이전 버전(AAP-19399)에 고정할 때 수동 설치에 실패하는 오류가 수정되었습니다.
8.1.4. RHBA-2024:0104 - 버그 수정 권고 - 2024년 1월 11일
8.1.4.1. 일반
- ansible-core 문제 #82295 (AAP-19099)의 변경 사항에 맞게 조건부 코드 문을 수정했습니다.
-
컨트롤러의 실행 노드에 대해
update-ca-trust
처리기를 건너뛰는 문제가 해결되었습니다(AAP-18911). - 자동화 컨트롤러의 오류 페이지 개선(AAP-18840).
-
가져오기 실패 (AAP-18196)에서
uWSGI
코어 덤프를 피하기 위해libffi
수정 사항을 구현합니다. - 이전 불완전한 업그레이드 (AAP-17615)로 인한 업그레이드 후 라이센스 유형을 확인하는 데 문제가 해결되었습니다.
-
이제 Postgres 버전의 SSL 모드 확인
-완전(AAP-15374)을 확인할
때 Postgres 인증서가 일시적으로 복사됩니다.
8.1.5. RHBA-2023:7460 - 버그 수정 권고 - 2023년 11월 21일
8.1.5.1. 일반
- 이벤트 기반 Ansible을 백업에서 복원할 때 잘못된 대상 데이터베이스가 선택되었으며 (AAP-18151) 오류가 수정되었습니다.
-
FIPS 환경에서 사용자를 생성하는 Postgres 작업은 이제 AAP-17516)
scram-sha-256
을 사용합니다. - 모든 이벤트 기반 Ansible 서비스는 설치가 완료된 후 활성화됩니다(AAP-17426).
- 백업 또는 복원을 실행하기 전에 준비된 파일과 디렉터리를 모두 정리해야 합니다. 또한 백업 또는 복원(AAP-16101) 이후에 삭제할 파일을 표시해야 합니다.
- nginx를 1.22(AAP-15962)로 업데이트되었습니다.
-
pg_dump
를 실행하기 전에 이벤트 테이블 파티션을 사전 생성하도록awx-manage
명령을 실행할 VM에 작업을 추가하고 기본 시간 수(AAP-15920)에 변수를 추가했습니다.
8.1.5.2. 이벤트 기반 Ansible
- 컨트롤러 없이 이벤트 기반 Ansible을 설치할 때 자동화 컨트롤러 URL 검사를 수정했습니다(AAP-18169).
- 프로젝트 업데이트(AAP-14743)와 같은 애플리케이션 작업을 방해하지 않도록 이벤트 기반 Ansible 활성화를 위해 별도의 작업자 큐를 추가했습니다.
8.1.6. RHBA-2023:5347 - 버그 수정 권고 - 2023년 9월 25일
8.1.6.1. 일반
-
이제 설치 프로그램에서
-k
옵션(AAP-15565)을 사용하여setup.sh
를 실행할 때 컨트롤러에 대한 새SECRET_KEY
를 올바르게 생성합니다. -
작업 실행 중에
프로세스 오류를 다시 실행할 수
없도록 Podman에 임시 파일 정리가 추가되었습니다(AAP-15248). - 구성 요소당 추가 nginx 구성에 대한 새 변수를 추가했습니다(AAP-15124).
- 이제 설치 프로그램에서 Ansible Automation Platform 설치(AAP-15122)당 하나의 이벤트 기반 Ansible 호스트만 올바르게 적용합니다.
- 이제 자동화 허브의 실행 환경 이미지를 업그레이드 시 자동화 컨트롤러에 동기화할 수 있습니다(AAP-15121).
- awx 사용자 구성은 이제 rootless Podman(AAP-15072)을 지원합니다.
-
이제
/var/lib/awx
디렉토리를 실행 노드(AAP-15065)에 별도의 파일 시스템으로 마운트할 수 있습니다. - 이벤트 기반 Ansible 사용자(AAP-14745)의 linger 구성을 수정했습니다.
- 내부 postgres 설치(AAP-14236)를 위한 설치 관리자 관리 인증서에 서명하는 데 사용되는 값을 수정했습니다.
- 구성 요소 호스트의 제목 대체 이름은 이제 https가 활성화된 경우에만 서명 인증서가 확인됩니다(AAP-14235).
-
내부적으로 관리되는 postgres (AAP-13962)에 대해 127.0.0.1에 서명 된 외부 postgres 및 postgres에 영향을 미치는
확인을
위한 고정 postgres sslmode. - 제공된 SSL 웹 인증서(AAP-13854)에 대한 SSL 키 및 인증서 매개변수를 포함하도록 인벤토리 파일을 업데이트했습니다.
-
awx-rsyslogd
프로세스에서 잘못된 사용자(AAP-13664)로 시작하는 문제를 해결했습니다. -
RHEL 9 (AAP-13297)에서 복원 프로세스가
pulpcore-worker
서비스를 중지하지 못하는 문제가 해결되었습니다. - 이제 Podman 구성이 이벤트 기반 Ansible 홈 디렉터리(AAP-13289)에 올바르게 정렬됩니다.