<div dir="ltr"><p>Hello ,</p><p>The Arvados team is pleased to announce Arvados 2.4.3.  This release
includes a security update to PAM authentication.  We strongly
recommend that installations of Arvados using PAM for authentication
upgrade to 2.4.3 as soon as possible. See <a href="https://doc.arvados.org/v2.4/admin/upgrading.html">Upgrading
Arvados</a> for
upgrade instructions.</p>

<p>In addition, this release includes several performance improvements,
usability improvements, and bug fixes.</p>

<h2 id="gmail-security-updates">Security updates</h2>

<p>In Arvados 2.4.2 and earlier, when using PAM authentication, if a user
presented valid credentials but the account is disabled or otherwise
not allowed to access the host, it would still be accepted for access
to Arvados.  From 2.4.3 onwards, Arvados now also checks that the
account is permitted to access the host before completing the PAM login
process.</p>

<p>Other authentication methods (LDAP, OpenID Connect) are not affected
by this flaw.</p>

<p>This vulnerability was reported by “Porcupiney Hairs”.</p>

<h2 id="gmail-new-features">New Features</h2>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19464">#19464</a></p>

<p class="gmail-ticketdesc">When a CWL file located in a git checkout is executed or registered
with <code class="gmail-language-plaintext gmail-highlighter-rouge">--create-workflow</code> or <code class="gmail-language-plaintext gmail-highlighter-rouge">--update-workflow</code>, Arvados will record
information about the git commit and use <code class="gmail-language-plaintext gmail-highlighter-rouge">git describe</code> to generate a
version number that is incorporated into the Workflow name.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19079">#19079</a></p>

<p class="gmail-ticketdesc">On the Workbench 2 search panel, items now have a right-click context
menu allowing you to open the item in a new tab, allowing you to visit
items without losing your place in the search list.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19472">#19472</a></p>

<p class="gmail-ticketdesc">The Salt-based Arvados installer now sets up log rotation for the Rails-based API
server and Workbench logs.</p>

<h2 id="gmail-bug-fixes">Bug Fixes</h2>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19368">#19368</a></p>
<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19428">#19428</a></p>

<p class="gmail-ticketdesc">Several performance slowdowns and unnecessary overhead observed in the
<a href="https://doc.arvados.org/v2.4/api/keep-s3.html">S3-compatible API</a>
have been resolved.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19502">#19502</a></p>

<p class="gmail-ticketdesc">If two or more collections with the same portable data hash (same
content) are cached by <code class="gmail-language-plaintext gmail-highlighter-rouge">keep-web</code>, changes made through through
<code class="gmail-language-plaintext gmail-highlighter-rouge">keep-web</code> will now be applied to the correct collection.  Previously,
changes would sometimes be applied to a different collection with the
same same portable data hash.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19421">#19421</a></p>

<p class="gmail-ticketdesc">Workbench 2 links using “redirectTo” are now recognized as an alias
for “redirectToPreview”, so that hyperlinks from 2.4.1 and earlier to
work again.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19383">#19383</a></p>

<p class="gmail-ticketdesc">The “Advanced” menu has been renamed “API Details” and the “API
Response” tab has been fixed to display the record as intended, instead
of “[Object]”.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19413">#19413</a></p>

<p class="gmail-ticketdesc">Workflows which generate a large number of warnings will no longer
update the record once the warning text in runtime status has hit the
line limit.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19454">#19454</a></p>

<p class="gmail-ticketdesc">Arvados-cwl-runner now correctly accepts output parameters in
<code class="gmail-language-plaintext gmail-highlighter-rouge">cwl.output.json</code> that use relative references to the files in the
output directory.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19277">#19277</a></p>

<p class="gmail-ticketdesc">Containers with Arvados API access enabled and a local keepstore
process (communicating directly with storage) will now have a suitable
<code class="gmail-language-plaintext gmail-highlighter-rouge">ARVADOS_KEEP_SERVICES</code> environment variable passed into the container
so that tasks inside the container are able to use the local keepstore.</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19414">#19414</a></p>

<p class="gmail-ticketdesc">Fixed a panic in <code class="gmail-language-plaintext gmail-highlighter-rouge">keep-balance</code> when there is an “unachievable” block
(referenced by a collection, but not returned by any keepstore index).</p>

<p class="gmail-ticketnumber"><a href="https://dev.arvados.org/issues/19437">#19437</a></p>

<p class="gmail-ticketdesc">It was observed that containers would sometimes be cancelled with the
error <code class="gmail-language-plaintext gmail-highlighter-rouge">Error inspecting container: ... context deadline exceeded</code>.  We
believe can happens when a host is overloaded resulting in the Docker
daemon being very slow to respond.  Arvados will now require three
consecutive timeout failures before abandoning the container.</p><p class="gmail-ticketdesc">Thanks,</p><p class="gmail-ticketdesc">The Arvados Team<br></p></div>