推奨モジュールの更新情報(2023年11月)

パーソナルデータ連携モジュールに関する重要な更新情報

2023年8月25日に、パーソナルデータ連携モジュールのセキュリティに関する不具合が報告されておりました。 

情報のソース:https://github.com/Personal-Data-Linkage-Module/pxr-book-manage-service/issues/8 

※2023年11月30日更新

本不具合につき、11月13日時点では各サービスの単体テストをパスしたソースコードが登録されておりましたが、11月30日に結合テスト等の不具合への処置および設定ファイル類の改修完了し、その修正内容がGitHubの下記ページに公開されましたのでご案内させていただきます。 

下記修正を反映頂くことにより、本不具合は発生致しません。 

pxr-book-operate-service 

https://github.com/Personal-Data-Linkage-Module/pxr-book-operate-service/pull/11 

pxr-linkage 

https://github.com/Personal-Data-Linkage-Module/pxr-linkage/pull/73 

pxr-operator-service 

https://github.com/Personal-Data-Linkage-Module/pxr-operator-service/pull/18 

pxr-book-manage-service 

https://github.com/Personal-Data-Linkage-Module/pxr-book-manage-service/pull/9 

pxr-access-control-manage-service 

https://github.com/Personal-Data-Linkage-Module/pxr-access-control-manage-service/pull/9 

pxrctoken-ledger-service 

https://github.com/Personal-Data-Linkage-Module/pxr-ctoken-ledger-service/pull/7 

Kong Gatewayに関する更新情報

2023年11月7日に、Kong Gatewayのバージョン3.5.0がリリースされました。このバージョンには72件の更新が含まれ、その内訳はパフォーマンスが2件、重大な変更が1件、依存関係が15件、特徴が19件、不具合対応が35件でした。

更新情報のソース:https://github.com/Kong/kong/blob/release/3.5.0/changelog/3.5.0/3.5.0.md

パフォーマンス

構成

  • upstream_keepalive_pool_sizeのデフォルト値を512に、upstream_keepalive_max_requestsのデフォルト値を1000に変更しました。 #11515

コア機能

  • ワークスペースのIDと名前の検索をリファクタリングしました。 #11442


重大な変更

  • Session: 新しい設定フィールド read_body_for_logout が追加されました。デフォルト値は false で、read_body_for_logout が明示的に true と設定されていない場合、logout_post_arg の動作を変更します。例えばログアウト検出用のPOSTリクエストにおいて、Sessionプラグインはデフォルトでリクエストボディを読み取らないようになります。 #10333


依存関係

コア機能

  • openssl を 0.8.23 から 0.8.25 に更新しました。 #11518
  • ARM64のIR_*LOADのLuaJITレジスタ割り当ての誤りを修正しました。 #11638
  • ARM64上のunaligned accessに対するLDP/STP fusionを修正しました。#11639
  • lua-kong-nginx-module を6.0 から 0.8.0 に更新しました。 #11663
  • 誤ったロジックを引き起こす可能性があったARM64上のLuaJIT LDP/STP fusionを修正しました。 #11537

デフォルト

  • lua-resty-healthcheck を6.2 から 1.6.3 に更新しました。 #11360
  • OpenResty を21.4.1 から 1.21.4.2 に更新しました。 #11360
  • LuaSecを3.1から1.3.2に更新しました。 #11553
  • lua-resty-aws を3.1 から 1.3.5 に更新しました。 #11613
  • OpenSSL を1.1 から 3.1.4 に更新しました。 #11844
  • kong-lapis を14.0.2 から 1.14.0.3 に更新しました。 #11849
  • ngx_wasm_module を最新のローリングリリースバージョンに更新しました。 #11678
  • Wasmtimeのバージョンを0.2に更新しました。 #11738
  • lua-resty-aws を3.0 から 1.3.1 に更新しました。 #11419
  • lua-resty-session を0.4 から 4.0.5 に更新しました。 #11416


特徴

コア機能

  • Vaultのスキーマを取得するための新しいエンドポイント /schemas/vaults/:name を追加しました。#11727
  • オプション名 privileged_agentdedicated_config_processing に変更し、デフォルトで有効化にしました。#11784
  • 指定されたリクエストで、いくつかのコンポーネントが消費する時間の観測をサポートしました。#11627
  • プラグインはPlugin:configure(configs)関数を実装できるようになりました。現在のプラグインの設定の配列が関数に渡され、プラグインにアクティブな設定がない場合は nil が渡されます。#11703
  • 異なるリクエストからのアクセスを検出できるリクエスト対応テーブルを追加しました。#11017
  • 一意なリクエストIDが、エラーログ、アクセスログ、エラーテンプレート、ログシリアライザー、および新しいX-Kong-Request-Idヘッダーに入力されるようになりました。(headersおよびheaders_upstream設定オプションを使用してupstream/downstream用に設定可能です。)#11663
  • オプションのWasmフィルター設定スキーマをサポートします。 #11568
  • Wasmフィルターの設定でJSONをサポートします。 #11697
  • Expressionを使用したルートでのHTTP クエリパラメータ利用をサポートしました。#11348

プラグイン

  • response-ratelimiting: Redis接続でシークレットローテーションをサポートします。 #10570
  • CORS: クロスオリジンのプリフライトリクエストで Access-Control-Request-Private-Network ヘッダーをサポートします。 #11523
  • ACME: Redisストレージの新しい設定項目scan_countを公開しました。これはscan呼び出しで返されるキーの数を制御します。 #11532
  • AWS-Lambda: AWS-Lambda プラグインは、基礎となる AWS ライブラリとして lua-resty-aws を使用することでリファクタリングされました。 このリファクタリングにより、AWS-Lambda プラグインのコードベースが簡素化され、複数の IAM 認証シナリオのサポートが追加されました。 #11350
  • OpenTelemetry と Zipkin: GCPのX-Cloud-Trace-Context ヘッダーをサポートしました。 header_type フィールドで値「 gcp 」を受け付けるようになり、Google Cloud のトレースヘッダーを伝搬できるようになりました。 #11254

クラスタリング

  • Clustering: オンプレミスにあるコントロールプレーンのゲートウェイでデータプレーンのメタデータラベルを設定可能になりました。 #11625


不具合対応

構成

  • dns_no_sync オプションのデフォルト値がon に変更されました。 #11871

コア機能

  • Key AuthプラグインのTTLがDBレスモードおよびハイブリッドモードで動作しない問題を修正しました。#11464
  • Postgres データベースへのクエリ時に、異常なソケット接続が再利用される問題を修正しました。#11480
  • プラグインがレスポンスハンドラを使用する場合のUpstreamのSSLエラーを修正しました。 #11502
  • プロトコル tls_passthrough が Expression を使用したルートで動作しない問題を修正しました。 #11538
  • リクエスト中のx-datadog-parent-idヘッダーの値が短い10進数文字列の場合、Datadogへのトレースデータ送信に失敗するバグを修正しました。 #11599
  • HTTP/2 Rapid Reset攻撃を早期に検出するための Nginx パッチを適用しました (CVE-2023-44487) #11743
  • パッチ適用時のビルド失敗を修正しました。 #11696
  • 宣言型設定においてDBレスモードでVault参照が使用可能になりました。 #11845
  • 初期化時にVaultキャッシュを適切にウォームアップするようにしました。 #11827
  • Vaultの復元時間はVaultシークレットがVaultから削除された場合に重視されます。 #11852
  • 外部プラグインサーバ起動時のクリティカルレベルのログを修正しました。OpenResty の制限により、これらのログを抑制することはできません。ソケット可用性検出機能を削除しました。#11372
  • Go プラグイン サーバー プロセスのクラッシュによって、Kong 経由でプロキシされた後続のリクエストが一貫性のない設定の Go プラグインを実行する問題を修正しました。この問題は、同じ Go プラグインが異なる Route または Service エンティティに適用されるシナリオにのみ影響します。#11306
  • cluster_certまたはcluster_ca_certがbase64デコードされる前にlua_ssl_trusted_certificateへ挿入される問題を修正しました。#11385
  • ACLsプラグインのグループ設定エンティティシナリオでキャッシュのウォームアップメカニズムが動作しない問題を修正しました。#11414
  • ハンドラ関数内でハードエラーが発生した場合にキューの処理が停止する問題を修正しました。#11423
  • プロキシされたリクエストでクエリパラメータが転送されない問題を修正しました。#11328
  • response関数を使用した場合に、レスポンスのステータスコードが適切なUpstreamステータスでない問題を修正しました。#11437
  • nginx_http_proxy_wasm_isolation 設定値が有効になるのを妨げていた、ハードコードされた proxy-wasm 分離レベル設定を削除しました。#11407

PDK

  • Vaultコードベースをリファクタリングし、Vaultのいくつかの問題を修正しました。#11652
    – Vault参照の解決に失敗したときにDAOが空文字列にフォールバックするようにする。
    – 参照のローテーション時にノードレベルのミューテックスを使用する。
    – 設定変更時に参照をリフレッシュする。
    – プラグインの参照値をリクエストごとに一度だけ更新する。
    – 有効な設定オプションのみをVaultモジュールに渡す。
    – 複数値のシークレットをローテーションするときに一度だけ解決する。
    – コントロールプレーンノードでVaultシークレットのローテーション・タイマーを開始させない。
    – ネガティブキャッシュを再有効化する。
    – kong.vault.try関数を再実装する。
    – 設定が変更された場合に備えてローテーションからリファレンスを削除する。
  • リクエストライフサイクル内で response.get_raw_body() が複数回コールされた場合に、レスポンスボディが繰り返される問題を修正しました。#11424
  • トレース: タイムスタンプの精度が異なるため、一部の親スパンが子スパンの前に終了する問題を修正しました。 #11484
  • log.serialize関数のリクエスト間のデータ干渉に関するバグを修正しました。#11566

プラグイン

  • Opentelemetry: 伝搬されるトレースヘッダー内の親IDが不正になる問題を修正しました。 #11468
  • AWS-Lambda: EKS IRSA 認証プロバイダでプラグインレベルのプロキシを有効にしました。 #11551
  • サービス関連フィールドを使用して、AWS Lambdaサービスをキャッシュするようにしました。 #11821
  • Opentelemetry: balancerの計測が有効な場合に、無効な親 ID を持つトレースが発生する問題を修正しました。 #11830
  • tcp-log: TLSコネクションを再利用する際に不必要なハンドシェイクが発生する問題を修正しました。 #11848
  • OAuth2: OAuth2 プラグインでは、リクエスト検証の新しい基準としてscopeが考慮されるようになりました。refresh_token でトークンを更新する場合、リクエストで指定された refresh_token に関連付けられたスコープは、リクエストでヒットした OAuth2 プラグインのインスタンスで設定されたスコープと同じか、そのサブセットでなければなりません。#11342
  • Worker がシャットダウンモードで、max_coalescing_delay を待たずにより多くのデータがすぐに利用可能な場合、キューはバッチでクリアされるようになりました。#11376
  • max_entriesmax_batch_size に設定された場合に、プラグインキュー内のレースコンディションが Worker をクラッシュさせる可能性がありました。#11378
  • AWS-Lambda: AWS-Lambda プラグインが JSON エンコードされたプロキシ統合レスポンスを抽出できない問題を修正しました。#11413

デフォルト

  • lapisおよびluarocks-adminのバイナリを修復しました。 #11578


Kong-Manager

特徴

  • エンティティ設定カードに JSONYAML フォーマットを追加しました。#111
  • プラグインのフォームフィールドにバックエンドのスキーマからの説明が表示されるようになりました。#66
  • プラグインフォームにprotocolsフィールドを追加します。#93
  • Upstreamのターゲットリストには、特定の条件が満たされた場合に、Mark HealthyMark Unhealthyのアクションアイテムが表示されるようになりました。#86

不具合対応

  • ポートの詳細に表示されていた誤ったポート番号を修正しました。#103
  • proxy-cacheプラグインがインストールできないバグを修正しました。#104

 

本ページに関する免責事項については、推奨モジュールの更新情報ページをご確認下さい。

推奨モジュール更新情報