Victoria 系列发布说明

11.0.0-24

新特性

  • 为 PKCS#11 加密插件添加了两个选项:[p11_crypto_plugin]/token_serial_number[p11_crypto_plugin]/token_label。两者都是可选的,可以用作 [p11_crypto_plugin]/slot_id 的替代方案来标识 PKCS#11 插件要使用的 Token。当定义了其中一个新选项时,插件将在 PKCS#11 设备的各个插槽中搜索与给定值匹配的 token。token_serial_number 具有最高的优先级,当设置此值时,其他值将被忽略。如果未设置 token_serial_number,则 token_label 具有下一个最高的优先级,并且将忽略 slot_id。当未设置任何一个新选项时,将使用 slot_id

  • 为 PKCS#11 后端添加了一个新的布尔选项:os_locking_ok。如果设置为 True,则 CKF_OS_LOCKING_OK 标志将传递给 C_Initialize 函数。新选项默认为 False。

  • 一个名为“token_labels”的新选项已添加到 PKCS#11 驱动程序中,它取代了以前的“token_label”选项。新选项用于指定可以由 Barbican 使用的 token 列表。这对于使用单独的 token 进行负载平衡的某些 HSM 设备是必需的。在大多数情况下,新选项将只有一个 token。旧选项已被弃用,但如果存在,仍将使用。

  • 默认最大密钥大小已从 10 kB 增加到 20 kb,默认最大请求大小已从 15 kB 增加到 25 kB。

  • barbican-manage 命令行工具的 hsm 子命令不再需要在运行时使用任何参数。如果需要 PKCS#11 值,它将从 /etc/barbican/barbican.conf 中获取。您仍然可以在命令行上指定任何值,这些值将优先于 barbican.conf 中指定的值,因此任何使用 barbican-manage 的现有脚本都应按预期继续工作。

弃用说明

  • PKCS#11 驱动程序中的“token_label”选项已被弃用。应使用新的“token_labels”选项。如果存在,“token_label”仍然会通过将其附加到“token_labels”来使用。

安全问题

  • 修复 Story #2009791:现在,拥有项目“creator”角色的用户即使不是最初创建密钥的用户,也可以删除属于该项目的密钥。在此修复之前,拥有“creator”角色的用户只能删除他们自己最初创建的属于该项目的密钥,这与 Barbican 集成的其他 OpenStack 项目处理删除的方式不一致。此更改不影响私有密钥(即“project-access”标志设置为“false”的密钥)。

错误修复

  • 修复了 Story #2006978:管理员用户现在可以通过调整策略文件删除其他用户的密钥。

  • 修复了 Story #2008649:在次要故障后正确重新初始化 PKCS11 对象。

  • 修复 Story #2009247 - 修复了 POST /v1/secrets/{secret-id}/metadata 的响应,使其与文档行为相符。

  • 修复 Story #2009672 - 修复了容器消费者验证器,以防止 500 错误。

11.0.0

升级说明

  • auto_db_create 的默认值已更改为 False(以前为 True)。与以前的行为相比,这是一个变化,但为了保护生产部署免于在不受控制的情况下执行升级,这是必需的。如果您希望保留自动数据库创建/升级行为,请在您的配置中将其更改为 True。

错误修复

  • 修复了 Story # 2007732:MySQL 8.x 上的迁移已损坏。