8장. 비동기 업데이트

8.1. RPM 릴리스

표 8.1. 에라타별 구성 요소 버전 권고

에라타 권고구성 요소 버전

RHSA-2024:3781
2024년 6월 10일

  • ansible-automation-platform-installer 2.4-7
  • ansible-automation-platform-setup 2.4-7
  • ansible-core 2.15.11
  • Automation Controller 4.5.7
  • Automation Hub 4.9.2
  • Event-Driven Ansible 1.0.7

8.1.1. RHSA-2024:3781 - 보안 권고 - 2024년 6월 10일

RHSA-2024:3781

8.1.1.1. 일반

  • ansible-developer RPM 리포지토리(AAP-23368)에 automation-controller-cli 패키지를 추가했습니다.

이번 업데이트를 통해 다음 CVE가 해결되었습니다.

  • CVE-2023-45288 - 무제한의 CONTINUATION 프레임으로 인해 서비스 거부(DoS)가 발생합니다.

    • 패키지 업데이트: 수신기: golang: net/http, x/net/http2.
  • CVE-2023-45290 - Request.ParseMultipartForm 의 메모리 소진입니다.

    • 패키지 업데이트: 수신기: golang: net/http.
  • CVE-2023-49083 - PKCS7 인증서를 로드할 때 null-pointer 역참조.

    • 패키지 업데이트: python3-cryptographypython39-cryptography.
  • CVE-2023-50447 - 환경 매개 변수를 사용한 임의의 코드 실행.

    • 패키지 업데이트: python3-pillowpython39-pillow.
  • CVE-2024-1135 - Transfer-Encoding 헤더의 잘못된 검증으로 인해 HTTP 요청 Smuggling입니다.

    • 패키지 업데이트: python3-gunicornpython39-gunicorn.
  • CVE-2024-21503 - strings.py 파일 내에서 lines_with_leading_tabs_expanded() 함수가 있는 정규식 서비스 거부(ReDoS)입니다.

    • 패키지 업데이트: python3-blackpython39-black.
  • CVE-2024-24783 - 알 수 없는 공개 키 알고리즘이 있는 인증서에서 패닉을 확인합니다.

    • 패키지 업데이트: 수신기: golang: crypto/x509.
  • CVE-2024-26130 - 일치하는 인증서 및 개인 키로 호출할 때 pkcs12.serialize_key_and_certificates 를 역참조하고 hmac_hash 재정의를 설정합니다.

    • 패키지 업데이트: python3-cryptographypython39-cryptography.
  • CVE-2024-27306 - 정적 파일 처리를 위해 인덱스 페이지의 XSS(cross-site scripting)입니다.

    • 패키지 업데이트: python3-aiohttppython39-aiohttp.
  • CVE-2024-27351 - Django .utils.text.Truncator. wordss() 의 잠재적인 ReDoS입니다.

    • 패키지 업데이트: automation-controller: Django.
  • CVE-2024-28219 - _imagingcms.c 의 버퍼 오버플로

    • 패키지 업데이트: python3-pillowpython39-pillow.
  • CVE-2024-28849 - 가능한 인증 정보 누출.

    • 패키지 업데이트: python3-galaxy-ng: follow-redirects,python39-galaxy-ng: follow-redirects, automation-hub: follow-redirects.
  • CVE-2024-30251 - 잘못된 형식의 POST 요청을 구문 분석하려고 할 때 DoS입니다.

    • 패키지 업데이트: python3-aiohttp,python39-aiohttp, automation-controller: aiohttp.
  • CVE-2024-32879 - social-auth-app-django 에서 대소문자 민감도를 잘못 처리합니다.

    • 패키지 업데이트: python3-social-auth-app-djangopython39-social-auth-app-django.
  • CVE-2024-34064 - xmlattr 필터는 non-attribute 문자가 포함된 키를 허용합니다.

    • 패키지 업데이트: python3-jinja2python39-jinja2.
  • CVE-2024-35195 - 동일한 호스트에 대한 추가 요청은 인증서 확인을 무시합니다.

    • 패키지 업데이트: python3-requestspython39-requests.
  • CVE-2024-3651 - idna.encode() 에 특별히 조작된 입력을 통해 리소스 소비 가능성이 있는 DoS입니다.

    • 패키지 업데이트: python3-idnapython39-idna.
  • CVE-2024-3772 - 조작된 이메일 문자열이 포함된 ReDoS.

    • 패키지 업데이트: python3-pydantic,python39-pydantic, automation-controller: python-pydantic.
  • CVE-2024-4340 - 크게 중첩된 목록을 구문 분석하면 DoS가 발생합니다.

    • 패키지 업데이트: python3-sqlparsepython39-sqlparse.
  • CVE-2023-5752 - pip 를 사용하여 설치할 때 리포지토리 리버전의 Mercurial 구성 삽입입니다.

    • 패키지 업데이트: automation-controller: pip.

8.1.1.2. 자동화 컨트롤러

  • 자동화 컨트롤러 버전 4.5.6(AAP-24286)에 대한 Redis 연결 누수를 수정했습니다.
  • Python uwsgitop 스크립트 (AAP-22461)에 대해 #! 인터프리터 지시문을 수정했습니다.

8.1.1.3. 자동화 허브

  • 이번 업데이트를 통해 네임스페이스의 사용자 목록을 가져오는 데 그룹 멤버(AAH-3121)가 포함되지 않습니다.
  • 커뮤니티 리포지토리(AAH-3111)를 동기화할 때 "ECDHEd digest가 다이제스트로 전달되지 않음" 오류가 발생한 문제를 해결했습니다.
  • 자동화 허브를 최신 버전 (AAH-3218)으로 업데이트한 후 rh 인증 리포지토리를 동기화하는 문제가 해결되었습니다.

8.1.1.4. 이벤트 기반 Ansible

  • eda-serverSAFE_PLUGINS_FORWARD 설정에 대한 지원이 설치 프로그램(AAP-21620)에 추가되었습니다.
  • 이번 업데이트를 통해 eda-server 는 이제 설정에서 해당 플러그인이 허용되는 경우에만 인바운드 연결이 필요한 소스 플러그인이 있는 룰북의 포트를 엽니다(AAP-17416).
  • 볼륨 정리(AAP-21065)로 인해 2048 Pod 제한에 도달한 후 활성화를 시작할 수 없는 문제를 해결했습니다.
  • 볼륨 정리(AAP-22132)로 인해 일부 활성화가 실패한 문제를 해결했습니다.
  • 이번 릴리스에서는 활성화-작업자 및 작업자 대상이 다른 필수 이벤트 기반 Ansible 서비스(AAP-23735)와 독립적으로 작업자 서비스를 올바르게 중지합니다.

8.1.2. RHSA-2024:1057 - 보안 권고 - 2024년 3월 01일

RHSA-2024:1057

8.1.2.1. 자동화 허브

  • 자동화 허브의 각 컬렉션에 대한 다운로드 수(AAP-18298)를 표시합니다.

8.1.2.2. 이벤트 기반 Ansible

  • 이벤트 기반 Ansible 작업자 서비스(AAP-20672)당 실행 중인 활성화 수를 제어하는 매개변수를 추가했습니다.
  • 설치 관리자(AAP-20244)에 의해 결정되는 허용된 호스트 이름을 기반으로 사용자 입력으로 설정하거나 정의할 수 있는 EDA_CSRF_TRUSTED_ORIGINS 가 추가했습니다.
  • 기존 자동화 컨트롤러 버전이 4.4.0 이상(AAP-20241)인 경우 이벤트 기반 Ansible 설치가 실패합니다.
  • Podman 설치의 최대 로그 크기를 제어하기 위해 containers.conf에 podman_containers_conf_logs_max_size 변수를 추가했습니다. 기본값은 10MiB(AAP-19775)입니다.
  • Event-Driven Ansible debug 플래그를 false로 설정하면 Django 디버그 모드(AAP-19577)가 올바르게 비활성화됩니다.
  • 이제 Podman(AAP-19265)에 대한 이벤트 기반 Ansible 언어 설정을 적용할 때 XDG_RUNTIME_DIR 이 정의됩니다.
  • 사용자 정의 https 포트(AAP-19137)를 사용할 때 이벤트 기반 Ansible nginx 구성을 수정했습니다.
  • 이 릴리스의 일부 기능은 이벤트 기반 Ansible의 LDAP 인증 기능을 포함하여 개발자 프리뷰로 분류됩니다. 이러한 이벤트 기반 Ansible 개발자 프리뷰 기능에 대한 자세한 내용은 이벤트 기반 Ansible - 개발자 프리뷰 를 참조하십시오.

8.1.3. RHSA-2024:0733 - 2024년 2월 7일

RHSA-2024:0733

8.1.3.1. 자동화 컨트롤러

  • rsyslogd 가 Splunk HTTP Collector(AAP-19069)로 이벤트 전송을 중지한 오류가 수정되었습니다.

8.1.3.2. 자동화 허브

  • 자동화 허브는 이제 nginx(AAP-18974)에서 시스템 암호화 정책을 사용합니다.

8.1.3.3. 이벤트 기반 Ansible

  • 이벤트 기반 Ansible을 이전 버전(AAP-19399)에 고정할 때 수동 설치에 실패하는 오류가 수정되었습니다.

8.1.4. RHBA-2024:0104 - 버그 수정 권고 - 2024년 1월 11일

RHBA-2024:0104

8.1.4.1. 일반

  • ansible-core 문제 #82295 (AAP-19099)의 변경 사항에 맞게 조건부 코드 문을 수정했습니다.
  • 컨트롤러의 실행 노드에 대해 update-ca-trust 처리기를 건너뛰는 문제가 해결되었습니다(AAP-18911).
  • 자동화 컨트롤러의 오류 페이지 개선(AAP-18840).
  • 가져오기 실패 (AAP-18196)에서 uWSGI 코어 덤프를 피하기 위해 libffi 수정 사항을 구현합니다.
  • 이전 불완전한 업그레이드 (AAP-17615)로 인한 업그레이드 후 라이센스 유형을 확인하는 데 문제가 해결되었습니다.
  • 이제 Postgres 버전의 SSL 모드 확인 -완전(AAP-15374)을 확인할 때 Postgres 인증서가 일시적으로 복사됩니다.

8.1.5. RHBA-2023:7460 - 버그 수정 권고 - 2023년 11월 21일

RHBA-2023:7460

8.1.5.1. 일반

  • 이벤트 기반 Ansible을 백업에서 복원할 때 잘못된 대상 데이터베이스가 선택되었으며 (AAP-18151) 오류가 수정되었습니다.
  • FIPS 환경에서 사용자를 생성하는 Postgres 작업은 이제 AAP-17516) scram-sha-256 을 사용합니다.
  • 모든 이벤트 기반 Ansible 서비스는 설치가 완료된 후 활성화됩니다(AAP-17426).
  • 백업 또는 복원을 실행하기 전에 준비된 파일과 디렉터리를 모두 정리해야 합니다. 또한 백업 또는 복원(AAP-16101) 이후에 삭제할 파일을 표시해야 합니다.
  • nginx를 1.22(AAP-15962)로 업데이트되었습니다.
  • pg_dump 를 실행하기 전에 이벤트 테이블 파티션을 사전 생성하도록 awx-manage 명령을 실행할 VM에 작업을 추가하고 기본 시간 수(AAP-15920)에 변수를 추가했습니다.

8.1.5.2. 이벤트 기반 Ansible

  • 컨트롤러 없이 이벤트 기반 Ansible을 설치할 때 자동화 컨트롤러 URL 검사를 수정했습니다(AAP-18169).
  • 프로젝트 업데이트(AAP-14743)와 같은 애플리케이션 작업을 방해하지 않도록 이벤트 기반 Ansible 활성화를 위해 별도의 작업자 큐를 추가했습니다.

8.1.6. RHBA-2023:5347 - 버그 수정 권고 - 2023년 9월 25일

RHBA-2023:5347

8.1.6.1. 일반

  • 이제 설치 프로그램에서 -k 옵션(AAP-15565)을 사용하여 setup.sh 를 실행할 때 컨트롤러에 대한 새 SECRET_KEY 를 올바르게 생성합니다.
  • 작업 실행 중에 프로세스 오류를 다시 실행할 수 없도록 Podman에 임시 파일 정리가 추가되었습니다(AAP-15248).
  • 구성 요소당 추가 nginx 구성에 대한 새 변수를 추가했습니다(AAP-15124).
  • 이제 설치 프로그램에서 Ansible Automation Platform 설치(AAP-15122)당 하나의 이벤트 기반 Ansible 호스트만 올바르게 적용합니다.
  • 이제 자동화 허브의 실행 환경 이미지를 업그레이드 시 자동화 컨트롤러에 동기화할 수 있습니다(AAP-15121).
  • awx 사용자 구성은 이제 rootless Podman(AAP-15072)을 지원합니다.
  • 이제 /var/lib/awx 디렉토리를 실행 노드(AAP-15065)에 별도의 파일 시스템으로 마운트할 수 있습니다.
  • 이벤트 기반 Ansible 사용자(AAP-14745)의 linger 구성을 수정했습니다.
  • 내부 postgres 설치(AAP-14236)를 위한 설치 관리자 관리 인증서에 서명하는 데 사용되는 값을 수정했습니다.
  • 구성 요소 호스트의 제목 대체 이름은 이제 https가 활성화된 경우에만 서명 인증서가 확인됩니다(AAP-14235).
  • 내부적으로 관리되는 postgres (AAP-13962)에 대해 127.0.0.1에 서명 된 외부 postgres 및 postgres에 영향을 미치는 확인을 위한 고정 postgres sslmode.
  • 제공된 SSL 웹 인증서(AAP-13854)에 대한 SSL 키 및 인증서 매개변수를 포함하도록 인벤토리 파일을 업데이트했습니다.
  • awx-rsyslogd 프로세스에서 잘못된 사용자(AAP-13664)로 시작하는 문제를 해결했습니다.
  • RHEL 9 (AAP-13297)에서 복원 프로세스가 pulpcore-worker 서비스를 중지하지 못하는 문제가 해결되었습니다.
  • 이제 Podman 구성이 이벤트 기반 Ansible 홈 디렉터리(AAP-13289)에 올바르게 정렬됩니다.