IP addresses inherit tags from their parent networks (#375)
[racktables] / README
diff --git a/README b/README
index 80a04de..4ea1d8b 100644 (file)
--- a/README
+++ b/README
@@ -101,6 +101,13 @@ should be sufficient:
 *                                                     *
 *******************************************************
 
+*** Upgrading to 0.20.1 ***
+
+Security context of 'ipaddress' page now includes tags from the network containing an IP address. This means that you should audit your permission rules to check there is no unintended allows of changing IPs based on network's tagset. Example:
+       allow {client network} and {New York}
+This rule now not only allows any operation on NY client networks, but also any operation with IP addresses included in those networks. To fix this, you should change the rule this way:
+       allow {client network} and {New York} and not {$page_ipaddress}
+
 *** Upgrading to 0.20.0 ***
 
 WARNING: This release have too many internal changes, some of them were waiting more than a year