2023.2 系列发布说明

2023.2-eol

弃用说明

• 选项 [p11_crypto_plugin]hmac_keywrap_mechanism 已被 [p11_crypto_plugin]hmac_mechanism 替换。此选项已重命名以避免混淆，因为此机制仅用于签名加密数据，而从未使用于密钥包装加密。

安全问题

• PKCS#11 后端驱动程序已更新，以支持较新的密钥包装机制。新部署应使用 CKM_AES_KEY_WRAP_KWP，但 CKM_AES_KEY_WRAP_PAD 和 CKM_AES_CBC_PAD 也受支持，以与尚未实现 PKCS#11 版本 3.0 的旧设备兼容。

错误修复

• 修复了 Bug #2036506 - 此补丁将用于包装 pKEK 的硬编码 CKM_AES_CBC_PAD 机制替换为配置此机制的选项。已在配置文件的 [p11_crypto_plugin] 部分添加了两个新选项：key_wrap_mechanism 和 key_wrap_generate_iv。这些选项分别默认为 CKM_AES_CBC_PAD 和 True，以保持向后兼容性。

17.0.0

序言

此版本增加了对密钥消费者和微版本功能的的支持。详细的密钥消费者规范可以在 <https://specs.openstack.org/openstack/barbican-specs/specs/2025.2/secret-consumers.html> 找到。微版本允许客户端与 Barbican 服务器交互，以获取服务器支持的最小和最大版本信息。更多信息可以在 <https://docs.openstack.org/barbican/2025.2/api/microversions.html> 找到。

新特性

• 密钥消费者功能允许其他 OpenStack 项目（例如 Cinder 和 Glance 等）注册密钥的消费者。当一个项目希望告知最终用户它正在使用该密钥时，这非常有用。

  尽管如此，密钥消费者并不会阻止最终用户删除密钥。当最终用户需要删除具有消费者的密钥时，可以直接执行此操作。但是，带有消费者的密钥的删除必须使用相应的参数强制执行，无论是在客户端的 CLI 中还是在客户端的 API 中。

  微版本使客户端能够进行服务器支持的版本发现，从而允许旧客户端（不支持此功能）与较新的服务器交互。

安全问题

• 修复 Story #2010258：修复了一个安全漏洞，该漏洞错误地在 RBAC 策略引擎中使用请求查询字符串的内容。

• 根据一致且安全的默认 RBAC 社区目标，已从 RBAC 策略中删除系统范围。请参阅：https://governance.openstack.org/tc/goals/selected/consistent-and-secure-rbac.html 现在可以使用具有“admin”角色的项目范围令牌访问需要系统范围令牌的 API。