リリースノート

Red Hat Advanced Cluster Security for Kubernetes 3.69

ここに簡単な説明を入力します。

概要

本の主題と目的の短い概要、通常が 1 パラグラフを超えない長さ。

第1章 Red Hat Advanced Cluster Security for Kubernetes 3.69

Red Hat Advanced Cluster Security for Kubernetes (RHACS) 3.69 には、機能の拡張、バグ修正、スケールの改善、およびその他の変更が含まれています。

  • 3.69.0 リリース: 2022 年 3 月 21 日
  • 3.69.1 リリース: 2022 年 4 月 6 日
  • 3.69.2 リリース: 2022 年 6 月 22 日
重要

2022 年 10 月 20 日に出されたアップストリームの脆弱性フィードで予期しないスキーマが変更され、Red Hat は破損した CVE データファイルを https://definitions.stackrox.io に公開し、多くの Central インスタンスが破損したファイルをダウンロードしました。その結果、Central が破損したフィードデータを処理すると失敗し、CrashLoopBackOff の状態になります。Red Hat は、破損した CVE データファイルを修正する手順をすでに完了していますが、すでに影響を受けている Central インスタンスでは、CrashLoopBackOff の状態から自動で抜け出すことはできません。Central を機能する状態に戻すには、CrashLoopBackOff - 2022-10-20 Incident の Central の手順に従います。

1.1. 新機能

1.1.1. バージョン 3.69.1 でリリース

リリース日: 2022 年 4 月 6 日

1.1.1.1. 統合 OpenShift Container レジストリーのスキャン

Red Hat Advanced Cluster Security for Kubernetes 3.69.1 には、OpenShift Container Platform のセキュアクラスターサービスの一部として提供される軽量バージョンの Scanner が含まれており、OpenShiftContainerRegistry をより効果的にスキャンします。Red Hat Advanced Cluster Security for Kubernetes Operator を使用していない OpenShift Container Platform ユーザーの場合、Red Hat は、これらの新機能を利用するために Helm チャートを更新することをお勧めします。

1.1.1.2. Spring の脆弱性の検出が改善されました

RHACS 3.69.1 には、Spring の命名規則に従ったパッケージの脆弱性を識別するための Scanner の拡張機能が含まれています。Scanner は、新たに発見された重大な脆弱性 CVE-2022-22963 および CVE-2022-22965 (Spring4Shell) の影響を受ける Spring パッケージを検出するようになりました。

1.1.2. バージョン 3.69.0 でリリース

リリース日: 2022 年 3 月 21 日

1.1.2.1. 運用デプロイメントの準備を管理するための新しいポリシー

Red Hat Advanced Cluster Security for Kubernetes 3.69 を使用して、ポリシーを設定し、デプロイメントの運用準備を定義できるようになりました。新しいポリシーには、liveness と readiness のプローブおよび事前定義されたレプリカ数のチェックが含まれます。

1.1.2.2. 非アクティブなソフトウェアコンポーネントの識別

コンテナーイメージ内のソフトウェアパッケージが非アクティブであるかを簡単に特定できるようになりました。この情報を使用して、非アクティブなソフトウェアパッケージを強化ステップまたは脆弱性の修正用に削除することを検討できます。

1.1.2.3. 脆弱性スキャンの改良

スキャナーには以下の新機能が含まれます。

  • Alpine 3.15 のサポート
  • スキャナーは busybox をベースオペレーティングシステムとして識別するようになりました。
  • Ubuntu の脆弱性参照リンクは、更新されたアドレス https://ubuntu.com/security/ を指すようになりました。

1.2. 重要なバグ修正

1.2.1. バージョン 3.69.2 で解決

リリース: 2022 年 6 月 22 日

ROX-11489: CVE-2022-1902: 以前は、不適切なサニタイズにより、認証されたユーザーが GraphQL API から Notifier シークレットを取得できました。この問題は修正されています。

1.2.2. バージョン 3.69.0 で解決

リリース: 2022 年 3 月 21 日

  • ROX-9587: 以前は、電子メール化された脆弱性レポートは一部のメールクライアントと互換性がありませんでした。この問題は修正されています。
  • ROX-9166: 以前は、イメージをスキャンする際に、改善されていない CVE が CI に報告されませんでした。この問題は修正されています。
  • ROX-9400: 以前は、クラスターを削除すると、RHACS は関連するサービスアカウントを削除しませんでした。この問題は修正されています。
  • ROX-9483: 以前は、プロセス名を使用した特定の検索条件により、Central が応答しなくなることがありました。この問題は修正されています。

1.3. システムの重要な変更

  • Red Hat は、スキャナーの設定マップのデフォルトの grpcPort8443 に変更しました。
  • Red Hat では、以下の API エンドポイントが非推奨になりました。

    • /v1/clusters-env/kernel-support-available: 代わりに /v1/cluster-defaults を使用してください。
    • /v1/helm/cluster/add: Helm チャートを直接使用します。
    • role.access_scope_id の空の値は、/v1/roles/ エンドポイントの RoleService_CreateRole メソッドおよび RoleService_UpdateRole メソッドで非推奨となりました。これで、無制限のアクセススコープ ID io.stackrox.authz.accessscope.unrestricted に設定されます。

1.3.1. 再設計されたポリシー作成ワークフロー

Red Hat Advanced Cluster Security for Kubernetes 3.69 には、より直感的で使いやすいワークフロー編集が含まれています。

1.3.2. イメージ脆弱性をソートおよびフィルターリングするための機能強化

Red Hat Advanced Cluster Security for Kubernetes 3.69 には、脆弱性リストの並べ替えとフィルターリングに使用するイメージに含まれる脆弱性の新しいフィールドが含まれています。

1.3.3. UEFI セキュアブートとの互換性を強化

カーネルモジュールを使用してランタイムデータを収集する場合、コレクターは UEFI セキュアブートと互換性がありません。Red Hat Advanced Cluster Security for Kubernetes 3.69 では、Collector がホストが UEFI セキュアブートを使用していることを検知すると、サービスの中断を防ぐために EBPF プローブを使用するように自動的に失敗します。

1.3.4. スキャナーのメモリー制限の増加

Red Hat では、デフォルトのスキャナーメモリー制限を 3000 MiB から 4 GiB に増やしています。

1.4. 既知の問題

  • ROX-9750: DISALLOWED DOCKERFILE LINE ポリシーフィールドの FROM 命令は、RHACS で認識されません。たとえば、Dockerfile で FROM:unwanted.example.com を拒否するポリシーを作成しても、ポリシー違反が生成されません。

1.5. 非推奨の通知

Red Hat では、Red Hat Advanced Cluster Security for Kubernetes 3.69 の機能の一部が非推奨になりました。Red Hat では、以下のリリースで非推奨となった機能を削除します。

  • Red Hat Advanced Cluster Security for Kubernetes 3.71.0:

    • スコープアクセス制御用の外部承認プラグイン。既存の製品スコープのアクセス制御を使用します。
    • AnchoreTenable、および Docker 信頼されたレジストリー 統合。RHACS スキャナーはこれらの統合に置き換わります。
    • アラートおよびプロセスコメント
  • Red Hat Advanced Cluster Security for Kubernetes 3.70.0:

    • Red Hat Advanced Cluster Security for Kubernetes では、デフォルトポリシーの削除は許可されません。削除せずに、不要なデフォルトのポリシーを無効にすることができます。
    • /v1/policies API エンドポイントの応答は、フィールド レスポンスのボディーパラメーターを返しません。
  • RHACS 3.70 では、Red Hat は policyVersion を持たないセキュリティーポリシーのサポートを削除します。したがって、古いポリシー (policyVersion または 1.1 より前のバージョンなし) を外部に保存している場合は、policyVersion1.1 を使用するように変換する必要があります。これには、古いポリシーを RHACS にインポートしてから、再度エクスポートします。保存したポリシーの policyVersion フィールドを確認して、変換が必要かどうかを特定できます。

ご不明な点がございましたら、Red Hat サポートチーム (support@redhat.com) までお問い合わせください。

1.6. イメージのバージョン

Image説明現在のバージョン

Main

Central、Sensor、Admission Controller、および Compliance が含まれます。継続的インテグレーション (CI) システムで使用する roxctl も含まれます。

registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.69.2

スキャナー

イメージおよびノードをスキャンします。

registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:3.69.2

Scanner DB

イメージのスキャン結果および脆弱性の定義を格納します。

registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:3.69.2

Collector

Kubernetes または OpenShift Container Platform クラスターでランタイムアクティビティーを収集します。

registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:3.69.2 registry.redhat.io/advanced-cluster-security/rhacs-collector-slim-rhel8:3.69.2