Merge branch 'stable-2.13' into stable-2.14
authorHrvoje Ribicic <riba@google.com>
Tue, 15 Dec 2015 14:44:16 +0000 (15:44 +0100)
committerHrvoje Ribicic <riba@google.com>
Tue, 15 Dec 2015 14:51:01 +0000 (15:51 +0100)
* stable-2.13
  Revision bump for 2.13.3
  Update NEWS file for 2.13.3

* stable-2.12
  Bump revision number for 2.12.6
  Update NEWS file for 2.12.6

* stable-2.11
  Revision bump for 2.11.8
  Update NEWS file for 2.11.8

* stable-2.10
  Version bump for 2.10.8
  Update NEWS file for 2.10.8

* stable-2.9
  Bump revision number
  Update NEWS file for 2.9.7 release
  Improve RAPI section on security

Conflicts:
  NEWS - Merged entries
  configure.ac - Took 2.14 version numbers

Signed-off-by: Hrvoje Ribicic <riba@google.com>
Reviewed-by: Oleg Ponomarev <oponomarev@google.com>

1  2 
NEWS
doc/security.rst

diff --cc NEWS
--- 1/NEWS
--- 2/NEWS
+++ b/NEWS
@@@ -2,154 -2,81 +2,229 @@@ New
  ====
  
  
 +Version 2.14.1
 +--------------
 +
 +*(Released Fri, 10 Jul 2015)*
 +
 +Incompatible/important changes
 +~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 +
 +- The SSH security changes reduced the number of nodes which can SSH into
 +  other nodes. Unfortunately enough, the Ganeti implementation of migration
 +  for the xl stack of Xen required SSH to be able to migrate the instance,
 +  leading to a situation where full movement of an instance around the cluster
 +  was not possible. This version fixes the issue by using socat to transfer
 +  instance data. While socat is less secure than SSH, it is about as secure as
 +  xm migrations, and occurs over the secondary network if present. As a
 +  consequence of this change, Xen instance migrations using xl cannot occur
 +  between nodes running 2.14.0 and 2.14.1.
 +- This release contains a fix for the problem that different encodings in
 +  SSL certificates can break RPC communication (issue 1094). The fix makes
 +  it necessary to rerun 'gnt-cluster renew-crypto --new-node-certificates'
 +  after the cluster is fully upgraded to 2.14.1
 +
 +Other Changes
 +~~~~~~~~~~~~~
 +
 +- The ``htools`` now properly work also on shared-storage clusters.
 +- Instance moves now work properly also for the plain disk template.
 +- Filter-evaluation for run-time data filter was fixed (issue 1100).
 +- Various improvements to the documentation have been added.
 +
 +
 +Version 2.14.0
 +--------------
 +
 +*(Released Tue, 2 Jun 2015)*
 +
 +New features
 +~~~~~~~~~~~~
 +
 +- The build system now enforces external Haskell dependencies to lie in
 +  a supported range as declared by our new ganeti.cabal file.
 +- Basic support for instance reservations has been added. Instance addition
 +  supports a --forthcoming option telling Ganeti to only reserve the resources
 +  but not create the actual instance. The instance can later be created with
 +  by passing the --commit option to the instance addition command.
 +- Node tags starting with htools:nlocation: now have a special meaning to htools(1).
 +  They control between which nodes migration is possible, e.g., during hypervisor
 +  upgrades. See hbal(1) for details.
 +- The node-allocation lock as been removed for good, thus speeding up parallel
 +  instance allocation and creation.
 +- The external storage interface has been extended by optional ``open``
 +  and ``close`` scripts.
 +
 +New dependencies
 +~~~~~~~~~~~~~~~~
 +
 +- Building the Haskell part of Ganeti now requires Cabal and cabal-install.
 +
 +Known issues
 +~~~~~~~~~~~~
 +
 +- Under certain conditions instance doesn't get unpaused after live
 +  migration (issue #1050)
 +
 +Since 2.14.0 rc1
 +~~~~~~~~~~~~~~~~
 +
 +- The call to the IAllocator in 'gnt-node evacuate' has been fixed.
 +- In opportunistic locking, only ask for those node resource locks where
 +  the node lock is held.
 +- Lock requests are repeatable now; this avoids failure of a job in a
 +  race condition with a signal sent to the job.
 +- Various improvements to the QA.
 +
 +
 +Version 2.14.0 rc2
 +------------------
 +
 +*(Released Tue, 19 May 2015)*
 +
 +This was the second release candidate in the 2.14 series. All important
 +changes are listed in the 2.14.0 entry.
 +
 +Since 2.14.0 rc1
 +~~~~~~~~~~~~~~~~
 +
 +- private parameters are now properly exported to instance create scripts
 +- unnecessary config unlocks and upgrades have been removed, improving
 +  performance, in particular of cluster verification
 +- some rarely occuring file-descriptor leaks have been fixed
 +- The checks for orphan and lost volumes have been fixed to also work
 +  correctly when multiple volume groups are used.
 +
 +
 +Version 2.14.0 rc1
 +------------------
 +
 +*(Released Wed, 29 Apr 2015)*
 +
 +This was the first release candidate in the 2.14 series. All important
 +changes are listed in the latest 2.14 entry.
 +
 +Since 2.14.0 beta2
 +~~~~~~~~~~~~~~~~~~
 +
 +The following issue has been fixed:
 +
 +- A race condition where a badly timed kill of WConfD could lead to
 +  an incorrect configuration.
 +
 +Fixes inherited from the 2.12 branch:
 +
 +- Upgrade from old versions (2.5 and 2.6) was failing (issues 1070, 1019).
 +- gnt-network info outputs wrong external reservations (issue 1068)
 +- Refuse to demote master from master capability (issue 1023)
 +
 +Fixes inherited from the 2.13 branch:
 +
 +- bugs related to ssh-key handling of master candidate (issues 1045, 1046, 1047)
 +
 +
 +Version 2.14.0 beta2
 +--------------------
 +
 +*(Released Thu, 26 Mar 2015)*
 +
 +This was the second beta release in the 2.14 series. All important changes
 +are listed in the latest 2.14 entry.
 +
 +Since 2.14.0 beta1
 +~~~~~~~~~~~~~~~~~~
 +
 +The following issues have been fixed:
 +
 +- Issue 1018: Cluster init (and possibly other jobs) occasionally fail to start
 +
 +The extension of the external storage interface was not present in 2.14.0 beta1.
 +
 +
 +Version 2.14.0 beta1
 +--------------------
 +
 +*(Released Fri, 13 Feb 2015)*
 +
 +This was the first beta release of the 2.14 series. All important changes
 +are listed in the latest 2.14 entry.
 +
 +
+ Version 2.13.3
+ --------------
+ *(Released Mon, 14 Dec 2015)*
+ Important changes and security notes
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ Security release.
+ CVE-2015-7944
+ Ganeti provides a RESTful control interface called the RAPI. Its HTTPS
+ implementation is vulnerable to DoS attacks via client-initiated SSL
+ parameter renegotiation. While the interface is not meant to be exposed
+ publicly, due to the fact that it binds to all interfaces, we believe
+ some users might be exposing it unintentionally and are vulnerable. A
+ DoS attack can consume resources meant for Ganeti daemons and instances
+ running on the master node, making both perform badly.
+ Fixes are not feasible due to the OpenSSL Python library not exposing
+ functionality needed to disable client-side renegotiation. Instead, we
+ offer instructions on how to control RAPI's exposure, along with info
+ on how RAPI can be setup alongside an HTTPS proxy in case users still
+ want or need to expose the RAPI interface. The instructions are
+ outlined in Ganeti's security document: doc/html/security.html
+ CVE-2015-7945
+ Ganeti leaks the DRBD secret through the RAPI interface. Examining job
+ results after an instance information job reveals the secret. With the
+ DRBD secret, access to the local cluster network, and ARP poisoning,
+ an attacker can impersonate a Ganeti node and clone the disks of a
+ DRBD-based instance. While an attacker with access to the cluster
+ network is already capable of accessing any data written as DRBD
+ traffic is unencrypted, having the secret expedites the process and
+ allows access to the entire disk.
+ Fixes contained in this release prevent the secret from being exposed
+ via the RAPI. The DRBD secret can be changed by converting an instance
+ to plain and back to DRBD, generating a new secret, but redundancy will
+ be lost until the process completes.
+ Since attackers with node access are capable of accessing some and
+ potentially all data even without the secret, we do not recommend that
+ the secret be changed for existing instances.
+ Minor changes
+ ~~~~~~~~~~~~~
+ - Calculate correct affected nodes set in InstanceChangeGroup
+   (Issue 1144)
+ - Do not retry all requests after connection timeouts to prevent
+   repeated job submission
+ - Fix reason trails of expanding opcodes
+ - Make lockConfig call retryable
+ - Extend timeout for gnt-cluster renew-crypto
+ - Return the correct error code in the post-upgrade script
+ - Make OpenSSL refrain from DH altogether
+ - Fix upgrades of instances with missing creation time
+ - Make htools tolerate missing "dtotal" and "dfree" on luxi
+ - Fix default for --default-iallocator-params
+ - Renew-crypto: stop daemons on master node first
+ - Don't warn about broken SSH setup of offline nodes (Issue 1131)
+ - At IAlloc backend guess state from admin state
+ - Only search for Python-2 interpreters
+ - Handle Xen 4.3 states better
+ - Improve xl socat migrations
+ - replace-disks: fix --ignore-ipolicy
+ - Fix disabling of user shutdown reporting
+ - Fix operations on empty nodes by accepting allocation of 0 jobs
+ - Fix instance multi allocation for non-DRBD disks
+ - Redistribute master key on downgrade
+ - Allow more failover options when using the --no-disk-moves flag
  Version 2.13.2
  --------------
  
Simple merge