2023.1 系列发布说明¶
2023.1-eom¶
错误修复¶
Bug #2073945:修复了在使用 RBD 后端时,DCN 场景下虚拟机创建问题,当边缘节点未定义图像位置的一部分存储时,操作失败的问题。
Bug #2054575:修复了 cinder 以优化路径上传卷到 glance 时,glance 以无效位置拒绝请求的问题。现在我们将 cinder 发送的旧位置格式转换为多存储支持的新位置格式,从而允许以优化方式上传卷。
26.1.0¶
安全问题¶
现在拒绝带有外部数据文件的 qcow2 格式的镜像上传到 glance,因为此类镜像可能被用于利用漏洞暴露主机信息。有关详细信息,请参阅 Bug #2059809。
错误修复¶
Bug #2059809:修复了带有外部数据文件的 qcow2 格式的镜像可能暴露主机信息的问题。此类带有外部数据文件的镜像格式将被 glance 拒绝。为此,format_inspector 已通过为 glance 中的 qcow2 和 vmdk 文件添加安全检查来扩展。不安全的 qcow 和 vmdk 文件将在执行任何 qemu-img 操作之前,通过格式检查器进行预先检查,以确保安全的配置。
26.0.0¶
序言¶
在本周期中,Glance 启用了 API 策略(RBAC)的新默认值和范围,并移除了不再需要的已弃用的 enforce_secure_rbac 选项,因为在切换到新默认值后不再需要它。配置选项 [oslo_policy] enforce_scope 和 [oslo_policy] oslo_policy.enforce_new_defaults 的默认值已更改为 True。旧策略仍然存在,但默认情况下已禁用。
升级说明¶
Glance 服务默认启用 API 策略(RBAC)的新默认值和范围。配置选项
[oslo_policy] enforce_scope和[oslo_policy] oslo_policy.enforce_new_defaults的默认值已更改为True。如果您想禁用它们,请修改
glance-api.conf文件中的以下配置选项值[oslo_policy] enforce_new_defaults=False enforce_scope=False
根据修订后的 SRBAC 社区目标,Glance 服务在 Antelope 周期中默认切换到新默认值,因此移除了不再需要的已弃用的
enforce_secure_rbac选项。enforce_secure_rbac选项在 Wallaby 版本中以 EXPERIMENTAL 方式引入,供操作员选择启用基于常见 RBAC 人员角色的授权。现在操作员可以通过
glance-api.conf文件中的以下配置选项来控制范围和新默认值标志[oslo_policy] enforce_new_defaults=True enforce_scope=True
错误修复¶
Bug 1990854:oslo_limit 部分不清晰
Bug 1779781:virt/vmware 不支持 VirtualSriovEthernetCard
Bug 1647491:缺少 glance-manage db_purge 命令的文档
Bug 1983279:由于不支持的 vmdk 格式而无法上传 vmdk 镜像
Bug 1989268:错误的断言方法
Bug 1996188:[OSSA-2023-002] 通过自定义 VMDK flat descriptor 进行任意文件访问 (CVE-2022-47951)
Bug 1939690:api-ref 响应与 Create Tags API 返回的实际响应不匹配
Bug 1983279:由于不支持的 vmdk 格式而无法上传 vmdk 镜像
