发行注记
请在这里输入简短描述。
摘要
第 1 章 Red Hat Advanced Cluster Security for Kubernetes 3.69
Red Hat Advanced Cluster Security for Kubernetes(RHACS)3.69 包括功能增强、错误修复、扩展改进和其他更改。
- 3.69.0 发布日期: 2022 年 3 月 21 日
- 3.69.1 版本日期: 2022 年 4 月 6 日
- 3.69.2 发行版本日期: 2022 年 6 月 22 日
由于 2022 年 10 月 20 日的上游漏洞源中发生了意外的模式变化,红帽发布了 CVE 数据文件到 https://definitions.stackrox.io,许多中央实例下载了损坏的文件。因此,当 Central 处理损坏的源数据时,它会失败并进入 CrashLoopBackOff 状态。虽然红帽已经采取了相应的步骤来修复损坏的 CVE 数据文件,但已经受影响中心实例不会自动退出 CrashLoopBackOff 状态。要获得中心到工作条件,请按照 CrashLoopBackOff 中部的说明进行操作 - 2022-10-20 Incident.
1.1. 新功能
1.1.1. 3.69.1 版中发布.
发行日期: 2022 年 4 月 6 日
1.1.1.1. 对集成的 OpenShift Container Registry 进行扫描
Red Hat Advanced Cluster Security for Kubernetes 3.69.1 包括了作为 OpenShift Container Platform 上安全集群服务的一部分提供的轻量级扫描程序版本,以便更有效地扫描 OpenShift Container Registry。对于不使用 Red Hat Advanced Cluster Security for Kubernetes Operator 的 OpenShift Container Platform 用户,红帽建议您更新 Helm chart 以充分利用这些新功能。
1.1.1.2. 改进了 Spring 漏洞检测
RHACS 3.69.1 在扫描器中包括增强功能,以识别遵循 Spring 命名约定的软件包的漏洞。扫描程序现在检测到受新发现的关键安全漏洞 CVE-2022-22963 和 CVE-2022-22965 (Spring4Shell)影响的 Spring 软件包。
1.1.2. 在 3.69.0 版本中发布
发行日期: 2022 年 3 月 21 日
1.1.2.1. 管理操作部署就绪状态的新策略
在 Red Hat Advanced Cluster Security for Kubernetes 3.69 中,您现在可以设置策略来定义部署的操作就绪状态。新策略包括检查存活度和就绪度探测以及预定义的副本数。
1.1.2.2. Inactive 软件组件标识
现在,您可以快速识别容器镜像中的软件包是否不活跃。您可以使用这些信息来把不活跃的软件包视为强化步骤或进行漏洞补救。
1.1.2.3. 漏洞扫描增强
扫描程序包括以下新功能:
- 支持 Alpine 3.15
- 扫描程序现在将 busybox 识别为基础操作系统。
- Ubuntu 漏洞参考链接现在指向更新的地址 https://ubuntu.com/security/。
1.2. 重要的程序错误修复
1.2.1. 在 3.69.2 版本中解决
发行日期: 2022 年 6 月 22 日
ROX-11489:CVE-2022-1902 :之前,不正确的清理可让经过身份验证的用户从 GraphQL API 检索 Notifier secret。这个问题已被解决。
1.2.2. 在 3.69.0 版本中解决
发行日期: 2022 年 3 月 21 日
- ROX-9587 :以前,电子邮件的漏洞报告与一些电子邮件客户端不兼容。这个问题已被解决。
- ROX-9166: snoozed CVE 在扫描镜像时没有在 CI 中报告。这个问题已被解决。
- ROX-9400 :在删除集群时,RHACS 不会删除相关的服务帐户。这个问题已被解决。
- ROX-9483: : 以前,使用进程名称的某些搜索条件有时会导致 Central 停止响应。这个问题已被解决。
1.3. 重要的系统更改
-
红帽已将 Scanner 的配置映射中的默认
grpcPort改为8443。 红帽正在弃用以下 API 端点:
-
/v1/clusters-env/kernel-support-available: 使用/v1/cluster-defaults。 -
/v1/helm/cluster/add: 直接使用 Helm chart。 -
在
/v1/roles/端点的RoleService_CreateRole和RoleService_UpdateRole方法中,role.access_scope_id的空值已弃用。现在,设置为不受限制的访问范围 IDio.stackrox.authz.accessscope.unrestricted。
-
1.3.1. 重新设计的策略创建工作流
Red Hat Advanced Cluster Security for Kubernetes 3.69 包括了更直观且易于使用的策略创建和编辑工作流。
1.3.2. 排序和过滤镜像漏洞的改进
Red Hat Advanced Cluster Security for Kubernetes 3.69 包括用于排序和过滤漏洞列表的镜像中包含的漏洞的新字段。
1.3.3. 增强的与 UEFI 安全引导的兼容性
在使用内核模块收集运行时数据时,收集器与 UEFI 安全引导不兼容。在 Red Hat Advanced Cluster Security for Kubernetes 3.69 中,当 Collector 检测到主机正在使用 UEFI 安全引导时,它会自动失败以使用 EBPF 探测来防止服务中断。
1.3.4. 扫描程序内存限制增加
红帽已将默认的 Scanner 内存限值从 3000 MiB 增加到 4 GiB。
1.4. 已知问题
-
ROX-9750: RHACS 无法识别
DISALLOWED DOCKERFILE LINEpolicy 字段中的FROM指令。例如,在 Dockerfile 中创建不允许FROM:un need.example.com的策略不会生成策略违反情况。
1.5. 弃用通知
红帽正在弃用 Red Hat Advanced Cluster Security for Kubernetes 3.69 中的一些功能。红帽将在以下发行版本中删除这些已弃用的功能:
Red Hat Advanced Cluster Security for Kubernetes 3.71.0:
- 用于有范围访问控制的外部授权插件。使用现有的 in-product scoped 访问控制。
- Anchore、Tenable 和 Docker 受信任的注册表 集成.RHACS 扫描程序会取代这些集成。
- 警报和进程注释.
Red Hat Advanced Cluster Security for Kubernetes 3.70.0:
- Red Hat Advanced Cluster Security for Kubernetes 不允许删除默认策略。您可以禁用您不需要的默认策略,而不是删除。
-
/v1/policiesAPI 端点响应不会返回 字段 响应正文参数。
-
在 RHACS 3.70 中,红帽将删除对没有
policyVersion的安全策略的支持。因此,如果您的外部存储了旧的策略(没有 1.1 之前的policyVersion或版本),则必须转换它们以使用policyVersion1.1。为此,请将旧策略导入到 RHACS,然后再次导出它们。您可以检查您存储的策略的policyVersion字段,以识别它们是否需要转换。
如有疑问,请联系红帽支持团队,地址为 support@redhat.com。
1.6. 镜像版本
| Image | 描述 | 当前版本 |
|---|---|---|
| 主要 |
包括 Central、Sensor、Admission Controller 和 Compliance。还包括在持续集成(CI)系统中使用的 |
|
| 扫描程序 | 扫描镜像和节点。 |
|
| 扫描程序数据库 | 存储镜像扫描结果和漏洞定义。 |
|
| collector( collector) | 收集 Kubernetes 或 OpenShift Container Platform 集群中的运行时活动。 |
|