推奨モジュールの更新情報(2023年10月)
Kong Gatewayに関する更新情報
2023年10月13日に、Kong Gatewayのバージョン3.4.2がリリースされました。
このバージョンには1件の更新が含まれ、その内訳は不具合対応が1件でした。
本バージョンには脆弱性1件(CVE-2023-44487)に対するパッチが含まれています。特別な事情がない限り、本パッチバージョンへのアップグレードを推奨いたします。本脆弱性に対するKong社の対応詳細については、Kong公式ブログ(URL: https://konghq.com/blog/product-releases/novel-http2-rapid-reset-ddos-vulnerability-update)をご参照ください。
更新情報のソース:https://github.com/Kong/kong/blob/release/3.4.x/changelog/3.4.2/3.4.2.md
不具合対応
- HTTP/2 Rapid Reset攻撃を早期に検出するための Nginx パッチを適用 (CVE-2023-44487) #11743 CVE-2023 nginx-1 SIR-435
Kong Gatewayに関する更新情報
2023年10月03日に、Kong Gatewayのバージョン3.4.1がリリースされました。このバージョンには10件の更新が含まれ、その内訳は機能追加が1件、依存関係が1件、不具合対応が8件でした。
更新情報のソース:https://github.com/Kong/kong/blob/release/3.4.x/changelog/3.4.1/3.4.1.md
機能追加
- Expressionを使用したルートでのHTTP クエリパラメータ利用をサポートしました。#11348
依存関係
- 誤ったロジックを引き起こす可能性があったARM64 上のLuaJIT LDP/STP fusionを修正しました。 #11537
不具合対応
コア機能
- nginx_http_proxy_wasm_isolation の有効化を妨げていた、ハードコードされたproxy-wasm 分離レベル設定を削除しました。#11407
- Key AuthプラグインのTTLがDBレスモードおよびハイブリッドモードで動作しない問題を修正しました。#11464
- Postgres データベースへのクエリ時に、異常なソケット接続が再利用される問題を修正しました。#11480
- プラグインがレスポンスハンドラを使用する場合のUpstreamのSSLエラーを修正しました。 #11502
- プロトコル tls_passthrough が Expression を使用したルートで動作しない問題を修正しました。 #11538
PDK
- Vaultコードベースをリファクタリングし、Vaultのいくつかの問題を修正しました。#11402
– Vault参照の解決に失敗したときにDAOが空文字列にフォールバックするようにする。
– 参照のローテーション時にノードレベルのミューテックスを使用する。
– 設定変更時に参照をリフレッシュする。
– プラグインの参照値をリクエストごとに一度だけ更新する。
– 有効な設定オプションのみをVaultモジュールに渡す。
– 複数値のシークレットをローテーションするときに一度だけ解決する。