RATATOSKRATATOSK
ログイン

リリース

CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。

Rook

Storage & Data今日2026年7月8日

Rook v1.20.2は、バグ修正と細かい改善を中心としたルーティンパッチです。mgrのNetworkPolicyをイングレス専用に制限するセキュリティ強化と、Cephのデフォルトバージョンのv20.2.2への更新が主な変更点です。

  • securitymgrのNetworkPolicyがイングレス専用に変更

    mgrのNetworkPolicyがイングレス専用に制限されました。mgrを外部からアクセス可能にしている構成では、エグレス方向の通信が遮断されないか確認し、必要に応じてポリシーを調整してください。

主な変更 (7)
  • mgrのNetworkPolicyをイングレスのみに制限し、ネットワーク制御を強化(#17827)
  • Cephのデフォルトバージョンをv20.2.2に更新(#17774)
  • ceph-csi-operatorをv1.0.4に更新(#17875)
  • ノードのラベル・アノテーション変更時にリコンサイルをトリガーするようノードウォッチャーを改善
  • 外部クラスタのアンマウント時にVolumeAttachmentを正しく削除し、残留アタッチメントを防止
  • 起動時の初期キャッシュ同期中はノードウォッチャーをスキップし、無用なリコンサイルループを回避
  • その他: モンのフェイルオーバー応答時間短縮、OSDアクティベーション時のrbdデバイス誤分類修正、設定末尾の改行保証、オブジェクトストアのアクセスキーURL安全化、NetworkPolicyのCRサンプル追加、Ceph警告のミュート対応API追加
原文

Artifact Hub

CI/CD & App Delivery昨日2026年7月7日

Artifact Hub v1.23.0がリリースされましたが、公開されたノートが短く要約できる内容がありません。詳細は元のリリースノートをご確認ください。

原文

Flux

CI/CD & App Delivery昨日2026年7月7日

Flux v2.9.1は、post-build変数置換がFlux自身のCRDスキーマを壊してしまう不具合を修正したパッチリリースです。あわせてSOPSの.ini復号とdry-run時のstrategic merge patchエラーも修正しています。新規の破壊的変更やCVEはありません。

  • breaking変数置換によるCRDスキーマ破損を修正

    post-build変数置換を有効にしたKustomizationで、マニフェスト内の${...}がFlux CRDのスキーマフィールドと一致してしまうと、これまでのバージョンではCRDスキーマが壊れることがありました。v2.9.1ではFlux自身のCRDにkustomize.toolkit.fluxcd.io/substitute: disabledを付与し、置換の対象から除外しています。post-build置換を使っている場合はアップグレードを推奨します。

主な変更 (4)
  • CRDスキーマ破損を修正: Flux自身のCRDにkustomize.toolkit.fluxcd.io/substitute: disabledを付与し、post-build置換によるスキーマ書き換えを防止
  • SOPSの.iniファイル復号の不具合を修正
  • dry-run時のstrategic merge patchエラーを修正
  • 新規の破壊的変更・非推奨化・CVE公開はなし
原文

OpenTelemetry

Observability昨日2026年7月7日

OpenTelemetry Collector v0.156.0はバグ修正中心のリリースで、オペレータに影響する変更として、memory_limiterプロセッサが連続的な強制GCから指数バックオフに切り替わり、上限を2つの新設定フィールドで制御できるようになりました。otlp_httpの永続エラー処理、レシーバ起動順序、env変数のnil解決、リトライ設定バリデーションの修正も含まれます。

  • enhancementmemory_limiter: GCバックオフが新フィールドで設定可能に

    memory_limiterプロセッサは、GCが非効率と判断された場合(ソフトリミット超過かつ回収率5%未満)に指数バックオフでGC呼び出しを抑制するようになりました。バックオフの上限はmax_gc_interval_when_soft_limitedとmax_gc_interval_when_hard_limitedで設定でき、デフォルトはいずれも30sです。GCの積極性を調整している場合は、これら新フィールドを確認してください。

主な変更 (7)
  • memory_limiterプロセッサ: 非効率なGCに指数バックオフを導入。上限はmax_gc_interval_when_soft_limitedとmax_gc_interval_when_hard_limited(各デフォルト30s)で制御
  • otlp_httpエクスポータ: 切り詰められた2xxレスポンスボディのパースエラーを永続エラーとして扱い、重複エクスポートを防止
  • pkg/service: 他の全コンポーネントが起動完了してからレシーバを開始するよう修正(OTLPなど実装共有レシーバの競合を解消)
  • envプロバイダ: ${env:VAR:-}構文で未設定変数がnilではなく空文字列に解決されるよう修正
  • configretry BackOffConfigのバリデーションをEnabledフラグに関わらず常時実行
  • memory_limiterプロセッサがcomponentstatusヘルスイベントを発行するように
  • mdatagenの強化: リソース属性への安定レベルとセマンティック規約参照の追加、go_structへのfield_nameオプション、enumバリデータ対応、プリミティブ型の名前付きGoタイプ生成
原文

OpenKruise

CI/CD & App Delivery2026年7月4日

OpenKruise v1.9.1がリリースされましたが、公開されたノートが短く要約できる内容がありません。詳細は元のリリースノートをご確認ください。

原文

Lima

Kubernetes Core2026年7月3日

Lima v2.1.4は、いくつかの不具合修正とnerdctlの更新、CLI・テンプレートの小さな改善をまとめたルーティンパッチです。破壊的変更やセキュリティ修正、非推奨化はありません。

主な変更 (5)
  • 不具合修正: xorrisofsフラグをxorrisofsコマンドにのみ追加するよう修正
  • 不具合修正: macOSでhvfが使えない場合、QEMUがtcgにフォールバックするよう修正
  • 依存関係: nerdctlをv2.3.3からv2.3.4に更新
  • テンプレートを更新、freebsd-15テンプレートが9pマウントに対応
  • 機能改善: limactl network list --jsonの出力にネットワーク名が含まれるように
原文

Open Policy Agent (OPA)

Security2026年7月2日

OPA v1.18.2は`opa fmt`のリグレッション修正のみを含む小規模パッチです。v1.18.0以降、整形済みポリシーに余計な差分が発生していた場合は、このバージョンへ更新することで解消されます。

主な変更 (1)
  • v1.18.0で混入した`opa fmt`のリグレッションを修正: 単一要素のコレクション(配列・オブジェクト・セット)が常に複数行に展開され、整形済みポリシーに不要な差分が生じていた問題を解消
原文

wasmCloud

Orchestration & Management2026年7月2日

wasmCloud v2.5.1がリリースされましたが、公開されたノートが短く要約できる内容がありません。詳細は元のリリースノートをご確認ください。

原文

CRI-O

Kubernetes Core2026年7月2日

CRI-O v1.35.5は2件のバグ修正のみを含むパッチリリースです。再起動をまたいでImageRefが変化する問題と、gomaxprocs hookのCPU算出ロジックの問題が解消されました。破壊的変更・セキュリティ修正・API変更はありません。

主な変更 (2)
  • 再起動後にコンテナステータスのImageRefがrepo@digestからrawイメージIDに変わる不具合を修正
  • gomaxprocs hookがワークロードパーティショニングを無視するよう変更し、要求CPU数の2倍を下限に設定してGoスケジューラのスロットリングを緩和
原文

gRPC

Networking & Messaging2026年7月2日

gRPC 1.82.0はCore、PHP、Python、Rubyにわたる細かな修正を積み重ねたルーチンリリースで、セキュリティ問題や破壊的変更はありません。目立つのはxDSの2つのプロトコル追加(A85のORCA-to-LRS、A114の重み付けラウンドロビン)と、細々としたバグ修正の集合です。

主な変更 (8)
  • CVEなし、破壊的なAPI削除や非推奨化もなし
  • xDSがORCAからLRSへの伝播(gRFC A85)とカスタムバックエンドメトリクスによる重み付けラウンドロビン(A114)に対応
  • 呼び出し認証情報でリージョナルアクセス境界ポリシーのメタデータを検索・付与できるように
  • Python aioの修正: -Oフラグ実行時のCPU使用率100%問題を解消、forkした子プロセスでチャネルを閉じずに呼び出しをキャンセル可能に
  • Rubyに純Ruby実装の呼び出し認証情報を追加、インターセプターが意図通りFIFO順で実行されるよう修正
  • POSIXソケット処理でファイルディスクリプタ0が不正に無効扱いされていた問題を修正、エンドポイントシャットダウン時にCFStreamコールバックの登録解除を実施
  • PHP拡張のバックポートでPIE対応を追加、Pythonのaio call/metadataモジュールにPyright/Typeguardの型チェックを導入
  • その他、abseilのnullopt assertionを誤って起動させていたRetryFilterの不具合も修正
原文

Harbor

Storage & Data2026年7月2日

Harbor v2.15.2は2.15.0からの修正をバックポートしたメンテナンスパッチです。最も影響が大きいのはキャッシュバックエンドのRedisからValkeyへの置き換えで、既存のデプロイ設定の変更が必要になります。加えてblobマウントのトークン検証強化、暗号処理のクリーンアップ、Angular 21とClarity v18アップグレードに伴う多数のUI修正が含まれています。

  • securityblobマウントトークン検証の強化

    blobマウント時のトークン検証が強化され、iatクレームのないトークンとソースプロジェクトの不正な参照が拒否されるようになりました。すべての環境に適用されます。

  • breakingキャッシュバックエンドがValkeyに変更

    キャッシュバックエンドがRedisからValkeyに切り替わりました。デプロイメント設定でRedisを参照している場合は、Valkeyへの切り替えが必要です。

主な変更 (7)
  • キャッシュバックエンドをRedisからValkeyへ切り替え(デプロイ設定の更新が必要)
  • セキュリティ: blobマウントのトークン検証を強化、iatなしのトークンおよびソースプロジェクト検証を追加(深刻度: medium)
  • セキュリティ: 暗号処理を堅牢化し、未使用のSMTPパッケージを削除(深刻度: low)
  • UIをAngular 21・Clarity v18・Node.js v22へアップグレード、チェックボックス・ダークテーマ・i18n・フォームスタイルなど多数のUI/UX修正
  • YAMLライブラリをgopkg.in/yaml.v2からgithub.com/goccy/go-yamlへ差し替え
  • レジストリイメージをrc.5から安定タグv2.8.3-harbor.1へ固定
  • タグ・アーティファクト変更時にrepositoryのupdate_timeが正しく更新されるよう修正、CosignのtlogオプションをJSONに調整
原文

CRI-O

Kubernetes Core2026年7月2日

CRI-O v1.36.2は、gomaxprocsフックのCPU割り当て計算を修正する通常のパッチリリースです。Goスケジューラがスロットリングされる問題を軽減します。セキュリティ修正や破壊的変更はありません。

主な変更 (2)
  • gomaxprocsフックが、注入判定にワークロードパーティショニングを考慮しなくなった
  • CPU割り当ての計算を見直し、要求CPU数の最低2倍をコンテナに割り当てるよう修正。Goスケジューラのスロットリングを抑制
原文

CRI-O

Kubernetes Core2026年7月2日

CRI-O v1.34.10はバグ修正のみのパッチで、gomaxprocsのCPU注入ロジックの修正と、再起動後のコンテナステータスにおけるImageRef形式のリグレッション修正の2件が含まれます。セキュリティ、API、設定の変更はありません。

主な変更 (3)
  • gomaxprocsフックがCPU設定を注入するかどうかの判断でワークロードパーティショニングを無視するよう変更
  • gomaxprocsの計算が要求CPU数の少なくとも2倍を保証し、Goスケジューラのスロットリングリスクを低減
  • CRI-O再起動後にコンテナステータスのImageRefがrepo@digest形式から生のイメージIDハッシュに変わっていたバグを修正
原文

etcd

Kubernetes Core2026年7月2日

etcd v3.6.13は、--listen-client-http-urlsを設定しているクラスタのgRPCリスナーでCRL検証がバイパスされるHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティパッチです。WebSocketのbearerトークン認証の修正と、v2-deprecationフラグへのオプション追加も含まれます。

  • securitygRPCリスナーのCRL検証バイパス(GHSA-3wh4-j44w-pg92)を修正

    --listen-client-http-urlsを設定しているクラスタでは、gRPCリスナーで証明書失効リスト(CRL)の検証がスキップされており、失効済みのクライアント証明書でも認証が通ってしまいます。v3.6.13へ更新してください。

主な変更 (3)
  • セキュリティ(HIGH): --listen-client-http-urls設定時のgRPCリスナーにおけるCRL検証バイパスを修正(GHSA-3wh4-j44w-pg92)
  • バグ修正: bearer-プレフィックス付きトークンを使うWebSocket認証の誤動作を解消
  • 機能追加: --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを省略可能に
原文

etcd

Kubernetes Core2026年7月2日

etcd v3.5.32は、--listen-client-http-urlsを設定した際にgRPCリスナーでCRLが適用されなかったHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティリリースです。v2-deprecationのバイパスオプション追加やいくつかのバグ修正も含まれます。

  • securitygRPCリスナーのCRL適用バイパス(GHSA-3wh4-j44w-pg92)

    --listen-client-http-urlsを設定している場合、gRPCリスナーでCRLが適用されず、失効した証明書が受け入れられる状態でした。mTLSと証明書失効リストを併用している環境では、v3.5.32へ更新してください。

主な変更 (6)
  • セキュリティ(HIGH): --listen-client-http-urls設定時にgRPCリスナーでCRL検証が行われなかった問題を修正(GHSA-3wh4-j44w-pg92)
  • --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを迂回可能に
  • 非管理者によるメンテナンスステータスリクエストをサーバーが許可するよう変更
  • etcdutlのcheck v2storeがv2スナップショットとWALレコードの両方を検査するよう強化
  • bearer形式のトークンを使ったWebSocket認証の不具合を修正
  • トークン解析失敗時にJWTトークンの内容がログに記録されない処理を追加
原文

Prometheus

Observability2026年7月1日

Prometheus v3.13.0はLTSリリースで、HIGH深刻度の認証情報転送の脆弱性(CVE-2025-4673・CVE-2023-45289)とMEDIUM深刻度のXSS(CVE-2026-44990)への対応を筆頭に、ページネーショントークン、パス解決、PromQL期間関数名、ライセンスファイル配布の4つの破壊的変更、さらに多数の新機能とパフォーマンス改善を含みます。

  • securityHIGH: クロスホストリダイレクト時に認証情報が転送されなくなった

    リダイレクト先のホストが異なる場合、Authorizationヘッダー・Basic認証・Bearerトークン・OAuth2・カスタムヘッダーなどの認証情報が転送されなくなりました。スクレイプ・リモートread/write・アラート送信・サービスディスカバリのいずれも対象です。CVE-2025-4673とCVE-2023-45289として追跡されており、prometheus/commonのv0.68.xからv0.69.0への更新が起因です。クロスホストリダイレクトに依存するエンドポイントがあれば、認証情報がサイレントに落ちることを確認してください。

  • securityMEDIUM: UI依存ライブラリのXSS修正(CVE-2026-44990)

    UIのsanitize-htmlライブラリにXSS脆弱性(CVE-2026-44990)が存在していたため、バージョンを更新して修正しました。設定変更は不要で、v3.13.0へのアップグレードで対処されます。

  • breakingページネーショントークンのアルゴリズムがSHA-1からSHA-256に変更

    ルールグループのページネーショントークン生成がSHA-1からSHA-256に変わりました。旧バージョンで取得したトークンを保持・比較しているクライアントやツールは、アップグレード後に値が変わります。

  • breaking--http.config.fileの相対パス解決先が変更

    --http.config.fileに渡すファイル内の相対パスが、親ディレクトリではなくそのconfigファイル自身のディレクトリを基準に解決されるようになりました。相対パスを使っている場合は、アップグレード後にパスが正しく解決されるか確認してください。

  • breaking期間表現関数min()/max()がmin_of()/max_of()に改名

    experimental-duration-exprフィーチャーフラグを有効にしている場合、PromQLの期間表現関数min()とmax()がmin_of()とmax_of()に改名されました。これらを使用しているクエリやルールを更新してください。

  • breakingnpm_licenses.tar.bz2を廃止、ライセンスは/assets/third-party-licenses.txtへ移行

    リリースtarballおよびコンテナイメージからnpm_licenses.tar.bz2が削除されました。サードパーティnpmライセンス情報はバイナリに埋め込まれ、/assets/third-party-licenses.txtで提供されます。このアーカイブを展開している自動化処理があれば修正が必要です。

主な変更 (8)
  • HIGH深刻度: クロスホストリダイレクト時の認証情報転送を停止、CVE-2025-4673・CVE-2023-45289に対応(prometheus/common v0.69.0へ更新)
  • MEDIUM深刻度: sanitize-htmlを更新してUIのXSS脆弱性CVE-2026-44990を修正
  • 破壊的変更: ルールグループのページネーショントークンがSHA-256に変わり、旧トークンとの互換性なし
  • 破壊的変更: --http.config.fileの相対パスが親ディレクトリでなくconfigファイルのディレクトリ基準に変更
  • 破壊的変更: 期間表現関数min()/max()がmin_of()/max_of()に改名(experimental-duration-exprフラグ使用時のみ)
  • 破壊的変更: npm_licenses.tar.bz2をtarball/イメージから削除、バイナリ内の/assets/third-party-licenses.txtで提供
  • 新機能: メトリクス名・ラベル名・ラベル値の実験的APIサーチエンドポイント追加、AWS RDSフィルタリング、Scaleway VPC/IPAM対応、ネイティブヒストグラムのsmoothed/anchored rate、クエリ単位のsamplesRead統計、Azure Monitor Workspace証明書対応、ghcr.ioへのイメージ公開
  • パフォーマンス: 大文字小文字を区別しない前置マッチ最大約2倍高速化、チャンク書き込みのサンプル単位オーバーヘッド約12-15%削減、V2ヒストグラムWALデコーダのアロケーション最大50%削減(created-timestamp有効時はメモリ最大10%減); PromQLパニックおよびTSDB破損の複数修正も含む
原文

Longhorn

Storage & Data2026年7月1日

Longhorn v1.11.3は、ボリューム操作・バックアップ・インスタンス管理にまたがる十数件の安定性問題を修正するバグフィックスロールアップです。CSI external provisionerがv6.3.0へ更新されたため、v1.10.xまたはv1.11.0からアップグレードする場合はKubernetes v1.34以降が前提条件となります。

  • breakingv1.10.xまたはv1.11.0からのアップグレード時にKubernetes v1.34+が必要

    CSI external provisionerがv6.3.0に更新されたため、Longhorn v1.10.xまたはv1.11.0からアップグレードする場合はKubernetes v1.34以降が必要です。クラスタのKubernetesバージョンを先にv1.34+へ更新してからLonghornをアップグレードしてください。

主な変更 (7)
  • CSI external provisionerをv6.3.0に更新: v1.10.xまたはv1.11.0からアップグレードする前にKubernetes v1.34+が必要
  • iscsidの再起動によりV1ボリュームが操作不能になる問題(PVCリサイズ失敗を含む)を修正
  • レプリカリビルド中にlonghorn-instance-managerがnilポインタ参照パニックを起こす問題を修正
  • 定期trimジョブが失敗するデッドロック、およびボリューム拡張が停止する問題をそれぞれ修正
  • ターゲットノードがready状態へ移行中にマイグレーションエンジンが削除される問題を修正
  • NetAppアプライアンスへのS3バックアップ失敗、およびSystem Backup RecurringJobが最新CRを誤って削除する問題を修正
  • バックアップ削除時のBackupControllerパニック、サポートバンドルとWebhookポーリングのHTTPレスポンスボディリーク、スケール時のwebhook TLS Secretへの競合を修正
原文

Istio

Networking & Messaging2026年7月1日

Istio 1.28.10は単一のバグ修正を含むルーティンパッチです。krtコントローラフレームワークで、Fetchフィルターのキー変更時に古い逆引きインデックスエントリが残り続けるメモリリークを修正しました。

主な変更 (1)
  • krtコントローラでFetchフィルターのキーが変更された際(例: Podを別のウェイポイントに付け替えた場合)、逆引きインデックスの古いエントリが残り続けていたメモリリークを修正。放置するとメモリ使用量の増加と不要な再計算が生じていた
原文

wasmCloud

Orchestration & Management2026年7月1日

wasmCloud v2.5.0 はフィーチャーリリースです。wasmtime 46 への更新と wasip3 のデフォルト有効化、wasmcloud:keyvalue bucket WIT の破壊的変更、および quinn-proto の MEDIUM セキュリティ修正 (RUST-SEC-2026-0185) が主な変更点です。wasmcloud:keyvalue を利用しているコンポーネントは WIT の対応が必要です。

  • securityquinn-proto のセキュリティ修正 (RUST-SEC-2026-0185)

    MEDIUM 深刻度の rust-sec-2026-0185 (quinn-proto) を修正しています。QUIC 通信を利用する環境では v2.5.0 へ更新してください。

  • breakingwasmcloud:keyvalue bucket のWIT定義が破壊的変更

    wasmcloud:keyvalue の bucket 型がインターフェースごとのインライン定義から共有 types インターフェース経由の定義に移動しました。wasmcloud:keyvalue WIT を利用するコンポーネントやプロバイダは WIT の修正とリビルドが必要です。

  • breakingwasip3 がデフォルト有効化

    wasip3 が v2.5.0 からデフォルトで有効になりました。wasip3 対応外のワークロードで予期しない動作が発生する場合は、設定で明示的に無効化してください。

主な変更 (7)
  • 破壊的変更: wasmcloud:keyvalue の bucket 型を types インターフェースに移動。wasmcloud:keyvalue を使うコンポーネントとプロバイダは WIT 修正とリビルドが必要
  • wasmtime 46 に更新し、wasip3 がデフォルト有効化。wasip3 非対応ワークロードへの影響を確認すること
  • セキュリティ: quinn-proto の RUST-SEC-2026-0185 (MEDIUM) を修正
  • 非同期 wasmcloud:keyvalue および wasmcloud:blobstore WIT インターフェースを追加。wasi:keyvalue / wasmcloud:postgres / wasmcloud:messaging/consumer の多重化 (implements ..) もサポート
  • wash-runtime が P3 HTTP レスポンスのストリーミングと gRPC タイムアウト後のボディ解放に対応。エフェメラルタスクへの AbortOnDrop 適用でリーク防止
  • エンドツーエンドの operator 実装を追加し、runtime-operator Helm チャートのリントと堅牢化を実施。operator キャッシュが server-side apply を正しく使うよう修正
  • その他: wash new のパス末尾スラッシュ対応・Windows パス対応、WIT パッケージを名前空間付き OCI パスへ公開、s390x バイナリビルド追加など細かな改善
原文

Flux

CI/CD & App Delivery2026年7月1日

Flux v2.9.0 は機能拡張リリースです。CLI プラグインシステムやセキュリティ機能の充実など複数の新機能を導入する一方、image.toolkit.fluxcd.io/v1beta2 および notification.toolkit.fluxcd.io/v1beta2 の 2 つの API を廃止します。これらの API を使用しているマニフェストがある場合は、アップグレード前に v1 系への移行が必要です。

  • breakingimage.toolkit.fluxcd.io/v1beta2 の廃止

    image.toolkit.fluxcd.io/v1beta2 を使用しているマニフェストまたはカスタムリソースは v2.9.0 では動作しません。v1 系 API へ移行してください。

  • breakingnotification.toolkit.fluxcd.io/v1beta2 の廃止

    notification.toolkit.fluxcd.io/v1beta2 を使用しているマニフェストまたはカスタムリソースは v2.9.0 では動作しません。v1 系 API へ移行してください。

主な変更 (8)
  • 2つの長期非推奨 API (image.toolkit.fluxcd.io/v1beta2、notification.toolkit.fluxcd.io/v1beta2) を削除
  • Flux CLI プラグインシステムを導入 (Mirror、Schema プラグイン)
  • Kustomization で Server-Side Apply の差分制御ルール、Age 暗号を使った SOPS 復号化、Workload Identity による OpenBao/Vault 認証に対応
  • HelmRelease の post-render ストラテジ、Helm 値リテラルモード、Git コミット署名・検証 (SSH キー) に対応
  • GitRepository で AWS CodeCommit 認証 (Workload Identity)、OCIRepository で Sigstore カスタム信頼ルート対応
  • webhook Receivers を秘密なし OIDC 認証へ対応、ArtifactGenerator のパターンマッチ型ディレクトリ発見対応
  • コンポーネント更新: source-controller v1.9.1、kustomize-controller v1.9.1、notification-controller v1.9.1、helm-controller v1.6.1 ほか; CLI は Kubernetes 1.36、Go 1.26 対応
  • 各種 CLI コマンド・フラグ追加 (`flux create secret receiver`、`flux trigger receiver`、`--in-memory-build` など)、resume 終了コード・シンボリックリンク処理・メタデータラベル保持など複数の修正
原文

Kubescape

Security2026年6月30日

Kubescape v4.0.10 is a feature and hardening release: it closes an SSRF gap in the scan-completion webhook, tightens config.json permissions and validation, and removes a dead CRD, alongside a large batch of bug fixes and new capabilities like `operator remediate` and encrypted report decryption. No CVE-tracked vulnerabilities are disclosed in this release.

  • securitySSRF hardening on scan-completion webhook

    The scan-completion webhook callback now hardens against SSRF. Applies to users of the webhook callback feature; upgrade if you rely on it to avoid outbound requests being abused via crafted callback URLs.

  • breakingconfig.json permissions restricted to owner-only

    config.json is now written with owner-only permissions instead of broader access. Applies unconditionally; review any tooling or automation that reads this file as a different user, since it may now fail to access it.

  • breakingRemoval of orphan SecurityException CRD

    The orphan SecurityException CRD, which was never installable, has been removed. Applies only if you had references to this CRD in manifests or docs; it has no functional impact since it never worked.

  • enhancementStricter validation on --format and VAP controls

    The --format flag now rejects invalid values before a scan starts, and VAP configurable controls now require params. Applies if you script scans with an unchecked --format value or run VAP controls without required params; these calls will now fail fast instead of proceeding silently.

主な変更 (8)
  • SSRF-hardened scan-completion webhook callback closes a request-forgery gap in outbound notifications.
  • config.json permissions tightened to owner-only, changing default file access for existing installs.
  • Orphan, uninstallable SecurityException CRD removed along with its test.
  • Validation tightened in two spots: --format now rejects invalid values pre-scan, and VAP configurable controls require params.
  • New `operator remediate` CLI subcommand (annotate and dry-run modes), CEL env builder/evaluator for the VAP engine, and encrypted report decryption with DEK wrapping.
  • New scan coverage score metric penalizing silent failed GVR pulls, plus per-control evaluation timeouts in the OPA processor (timed-out controls score 0 and discard partial results).
  • Several panic fixes (nil ScanData, image names without an organization, scan execution goroutine) plus HTTP timeouts on the scan listener server.
  • Plus roughly ten smaller fixes: resource deduplication, host-sensor infoMap merging, SARIF line resolution, output overwrite prevention, orphaned RoleBinding handling, and a Go 1.26 codebase update.
原文

Karmada

Orchestration & Management2026年6月30日

Karmada v1.18.1 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

Karmada

Orchestration & Management2026年6月30日

Karmada v1.17.4 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

Karmada

Orchestration & Management2026年6月30日

Karmada v1.16.7 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

KubeVela

CI/CD & App Delivery2026年6月30日

KubeVela v1.10.9 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

KubeVela

CI/CD & App Delivery2026年6月30日

KubeVela v1.9.14 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

OpenFGA

Security2026年6月30日

v1.18.1 is a routine patch that fixes CIDR matching behavior and serialization determinism while extending an experimental flag to BatchCheck. No breaking changes or CVEs are reported, though the in_cidr fix does change matching behavior for IPv4-mapped IPv6 addresses.

  • breakingin_cidr now matches IPv4-mapped IPv6 addresses against IPv4 CIDRs

    Applies unconditionally: the in_cidr condition now normalizes IPv4-mapped IPv6 addresses (e.g. ::ffff:192.168.1.1) to their IPv4 form before matching, so they can now match IPv4 CIDRs like 192.168.1.0/24. Review any authorization models relying on in_cidr if you expect these addresses to be excluded from IPv4 ranges.

主な変更 (4)
  • in_cidr condition now normalizes IPv4-mapped IPv6 addresses (RFC 4291 §2.5.5.2) to their IPv4 equivalent, so ::ffff:192.168.1.1 matches 192.168.1.0/24
  • Adds diagnostic logging in weighted_graph_check, Expand, and ListUsers to flag models where a future v2 Check resolution might diverge from v1; no operator action required now
  • Experimental weighted_graph_check flag now extends to BatchCheck, evaluating each item with the weighted graph algorithm and falling back per-item to the standard algorithm on non-terminal errors
  • Authorization model serialization to serialized_protobuf now uses deterministic proto marshaling, fixing inconsistent stored bytes for models with map-keyed type definitions
原文

NATS

Networking & Messaging2026年6月30日

NATS server v2.14.3 is a maintenance release dominated by JetStream, MQTT and clustering bug fixes, with two MQTT fixes closing pre-auth memory exhaustion and panic conditions and one breaking change: JSONP monitoring support has been removed.

  • securityMQTT memory exhaustion and panic fixes

    Applies to servers exposing MQTT. Fixed in v2.14.3: malformed partial CONNECT packets could exhaust pre-auth memory, and a PUBLISH remaining-length underflow could panic the server. Upgrade if you run MQTT, especially with untrusted or public clients.

  • breakingJSONP monitoring support removed

    Applies to deployments relying on JSONP callbacks against monitoring endpoints (e.g. /varz, /connz via callback= param). This is removed in v2.14.3; switch dashboards or scripts to plain JSON polling before upgrading.

  • breakingPermission checks tightened for leaf trace destination and NoAuthUser

    Applies to leaf node setups using Nats-Trace-Dest, and to accounts using NoAuthUser. Fixed in v2.14.3: leaf connections could bypass Nats-Trace-Dest publish permission checks, and NoAuthUser did not enforce connection restrictions. Review permission and NoAuthUser configs after upgrading, since previously permitted traffic may now be denied as intended.

主な変更 (7)
  • MQTT fixes for partial CONNECT pre-auth memory exhaustion and a PUBLISH remaining-length underflow panic, both fixed in v2.14.3
  • Permission enforcement tightened: leaf connections no longer bypass Nats-Trace-Dest checks, and NoAuthUser now honors connection restrictions
  • JSONP callback support removed from monitoring endpoints (breaking for any tooling still using it)
  • Large JetStream clustering/Raft reliability batch: meta node data race on shutdown, stream catchup no longer skipped past limits, phantom streams/consumers after meta recovery, Raft membership revert on truncate/snapshot, and related consistency fixes
  • MQTT hardening: rejects subscriptions to internal $MQTT.deliver.pubrel, enforces subscribe deny rules on retained/QoS replay paths, and fixes a WebSocket /mqtt upgrade panic when MQTT is disabled
  • Filestore and memory store corrections: compaction no longer corrupts compressed/encrypted blocks, NumPending overcount fixed for DeliverLastPerSubject, counter stream staging total no longer corrupts
  • Plus roughly two dozen smaller fixes: PROXY/TLS sniffing, gateway CONNECT race, service import tracing across routes, CONNZ/SUBSZ overflow guards, JWT/account claims refresh, and Go updated to 1.26.4
原文

NATS

Networking & Messaging2026年6月30日

v2.12.12 is a bugfix and hardening release for nats-server, centered on numerous JetStream/Raft data-integrity and panic fixes plus removal of JSONP support from monitoring endpoints. No CVEs are disclosed, but several fixes close memory-exhaustion and panic paths reachable via malformed MQTT input that operators should treat as security-relevant.

  • securityMQTT partial-CONNECT and PUBLISH-underflow crash/DoS fixes

    If you run MQTT, upgrade to fix two memory-exhaustion/panic paths: partial CONNECT packets could exhaust pre-authentication memory, and PUBLISH remaining-length underflow could panic the server. Both are exploitable by unauthenticated clients sending malformed input.

  • securityInteger-overflow panics fixed in monitoring and JetStream usage tracking

    CONNZ/SUBSZ pagination previously could panic on integer overflow, and JetStream remote usage updates could panic on length integer overflow. Operators with large clusters or heavy monitoring polling should upgrade to remove these panic-inducing edge cases.

  • breakingJSONP support removed from monitoring endpoints

    JSONP callback support has been removed from monitoring endpoints in v2.12.12, unconditionally. Any tooling or dashboards that rely on JSONP callbacks against /varz, /connz, or similar endpoints will break and must switch to plain JSON requests.

主な変更 (8)
  • JSONP callback support removed from monitoring endpoints (breaking for any tooling still using it)
  • MQTT hardening: partial CONNECT no longer exhausts pre-auth memory, PUBLISH remaining-length underflow no longer panics the server, plus fixes for $MQTT.deliver.pubrel subscription abuse, deny-rule enforcement on retained/QoS replay, and a WebSocket /mqtt upgrade panic when MQTT is disabled
  • Large batch of JetStream/Raft data-integrity fixes: filestore compaction corruption, counter stream staging corruption, meta recovery phantom streams/consumers, raft checkpoint/ApplyCommit correctness, stream catchup desync, and membership revert on truncate/snapshot
  • Panic and integer-overflow fixes in CONNZ/SUBSZ pagination, JetStream remote usage updates, and a nil-pointer panic on startup when the resolver parent directory is missing
  • Multiple panic, fatal-error, and data-race fixes across authentication, routing, monitoring, and clustered request handling
  • Gateway/proxy fixes: race in gateway CONNECT handling, leak in trusted proxy tracking, PROXY protocol detection, TLS sniffing with allow_non_tls, and PROXY v1 address-family parsing
  • Service import replies now deliver across cluster routes, and message tracing works correctly with imports/exports; JWT inherited default permissions and external auth config now refresh correctly on account claim updates
  • Plus routine fixes: quieter per-connection logging, consistent writer options under s2_fast compression, and refactored stream/consumer assignment handling for migrations
原文

Strimzi

Networking & Messaging2026年6月27日

Strimzi 1.1.0 is a feature release adding Kafka 4.3.0 and 4.2.1 support while dropping Kafka 4.1.x, along with several capability additions. Operators should act on two breaking changes before upgrading: the entity-operator healthcheck port renames and the TLS truststore format switch in KafkaBridge and KafkaMirrorMaker2.

  • breakingEntity-operator healthcheck ports renamed

    The entity-operator healthcheck port `healthcheck` has been renamed to `healthcheck-to` (topic-operator) and `healthcheck-uo` (user-operator). Any custom PodMonitor, ServiceMonitor, NetworkPolicy, or similar resources that reference the old port name must be updated before or immediately after upgrading.

  • breakingKafka 4.1.x support removed

    Kafka 4.1.x is no longer supported in 1.1.0. Clusters running Kafka 4.1.x must be upgraded to 4.2.1 or 4.3.0 before moving to this Strimzi version.

  • breakingTLS truststore format changed to PEM for KafkaBridge and KafkaMirrorMaker2

    KafkaBridge and KafkaMirrorMaker2 now use PEM files instead of P12/JKS for TLS authentication and truststore. Review any tooling or external systems that expect P12/JKS formats from these components.

  • breakingCRD v1 only — older API versions unsupported

    CRD API versions v1beta2, v1beta1, and v1alpha1 are not supported since 1.0.0. If you have not already converted your resources to v1, do so before upgrading to 1.1.0.

主な変更 (8)
  • Adds support for Apache Kafka 4.3.0 and 4.2.1; Kafka 4.1.x is removed and no longer supported.
  • Entity-operator healthcheck port names renamed: `healthcheck` is now `healthcheck-to` for the topic-operator and `healthcheck-uo` for the user-operator; update any referencing resources.
  • KafkaBridge and KafkaMirrorMaker2 switch from P12/JKS to PEM for TLS authentication and truststores, with PEM files read directly from secrets via KubernetesSecretConfigProvider.
  • Failed KafkaConnectors can now be stopped; pausing a failed connector is rejected because Kafka Connect does not support that operation.
  • New cluster operator option `STRIMZI_PKCS12_KEYSTORE_GENERATION` disables PKCS12 store generation in CA and KafkaUser Secret resources; mTLS `validityDays` and `renewalDays` are now configurable per KafkaUser.
  • Gateway API `tlsroute` listener type, per-broker listener annotation/label templates, and dependency scope configuration for Maven artifacts in Kafka Connect Build are all now supported.
  • Adds `UseBackgroundPodDeletion` feature gate (alpha, disabled by default) to use background deletion propagation when deleting pods during rolling updates.
  • Strimzi Drain Cleaner updated to 1.6.0 and Strimzi Access Operator updated to 0.3.0, both included in the installation files.
原文

Volcano

Orchestration & Management2026年6月27日

Volcano v1.14.3 is a routine patch release consisting entirely of backported scheduler bug fixes. No new features, deprecations, or security changes are included.

主な変更 (7)
  • Network-Topology-Aware scheduling soft mode corrected for jobs and subjobs
  • Scalar in-queue resource accounting now uses milli-units, fixing precision errors in resource calculations
  • HAMi vGPU scheduling failures in medium and large clusters resolved
  • Ascend vNPU health check switched to Allocatable resources instead of the previous method
  • Preemption now reprievess higher-priority pods first, restoring correct ordering
  • job.Status.Conditions unbounded growth prevented, reducing memory and etcd pressure on long-running jobs
  • Several smaller scheduler fixes: device annotation cleanup on pod release, minAvailable fallback to replicas when minPartitions is omitted, ImageStates restored in node snapshots, and maxFloat/maxInt display corrections
原文

Keycloak

Security2026年6月27日

Keycloak 26.6.4 is a security release fixing eight CVEs, including two critical issues (privilege escalation and JWT authentication bypass) and four high-severity authorization bypasses. Operators should upgrade promptly; the release also bumps Quarkus to 3.33.2.1.

  • securityTwo critical vulnerabilities: group-admin escalation and JWT auth bypass

    CVE-2026-9099 lets a group admin escalate to realm-admin, and CVE-2026-11800 allows authentication bypass via JWT algorithm confusion. Both are rated critical. Upgrade to 26.6.4 as soon as possible.

  • securityFour high-severity authorization and access-control bypasses

    CVE-2026-9705 (client takeover via registration access token), CVE-2026-9795 (privilege escalation via scope mapping), CVE-2026-9799 (UMA permission ticket bypass), and CVE-2026-9800 (policy enforcer authorization bypass via incorrect URI comparison) are all rated high. If you use UMA authorization, fine-grained scope mappings, or the Policy Enforcer, prioritize this upgrade.

  • securityTwo medium-severity issues: info disclosure and XSS

    CVE-2026-9083 (filesystem path probing) and CVE-2026-9086 (XSS via case-insensitive URI validation bypass) are rated medium and round out the fix set.

主な変更 (5)
  • Eight CVEs fixed in this release, two rated critical: CVE-2026-9099 (group-admin to realm-admin escalation) and CVE-2026-11800 (JWT algorithm confusion auth bypass)
  • Four high-severity fixes: client takeover via registration access token (CVE-2026-9705), scope-mapping privilege escalation (CVE-2026-9795), UMA permission ticket bypass (CVE-2026-9799), and Policy Enforcer authorization bypass via URI comparison (CVE-2026-9800)
  • Two medium-severity fixes: filesystem path probing information disclosure (CVE-2026-9083) and URI validation bypass XSS (CVE-2026-9086)
  • Quarkus dependency bumped to 3.33.2.1
  • Minor build and packaging fixes: Infinispan protoschema build on the 26.2 branch, CI fixes for JS and Admin Client test suites, keycloak-api-docs-dist packaging, plus a migration guide reference correction
原文

Operator Framework

Orchestration & Management2026年6月27日

Operator Framework v1.42.3 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

Backstage

CI/CD & App Delivery2026年6月27日

Backstage v1.52.1 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

metal3-io

Provisioning & Runtime2026年6月26日

metal3-io v0.13.1 was released, but the published notes are too brief to summarize. See the original release notes for details.

原文

Open Policy Agent (OPA)

Security2026年6月26日

v1.18.0 is a bugfix rollup with one operator-facing behavior change: the outbound User-Agent header is now hyphenated to conform to RFC 9110. The remaining changes are runtime improvements, formatter and coverage tool fixes, and a Go toolchain bump.

  • breakingUser-Agent header format changed (RFC 9110 conformance)

    The outbound User-Agent header OPA sends on HTTP requests changed from 'Open Policy Agent/<version> (<os>, <arch>)' to 'Open-Policy-Agent/<version> (<os>, <arch>)' (hyphen added between 'Open' and 'Policy'). Any server-side log filters, WAF rules, or access policies that exact-match the old string must be updated after upgrading to v1.18.0.

主な変更 (7)
  • User-Agent header now uses 'Open-Policy-Agent' (hyphenated) instead of 'Open Policy Agent'; exact-match log filters or WAF rules targeting the old string will break
  • Container-aware resource limits restored and extended: automatic GOMAXPROCS support is back, and automatic GOMEMLIMIT is newly supported
  • Multiple opa fmt correctness fixes: multiline single-entry iterables are preserved, and with-clauses dropped after comments are restored
  • opa test --coverage improvements: ranges now included in the report, inline rule head tracking, and conjunction expression coverage added
  • Fixed partial evaluation regression for future.keywords.not negation inside every blocks, and fixed variable namespacing in comprehensions nested inside every
  • Performance: reduced allocations in object.get, removed a shortcut in topdown dst.Compare(src), and skipped strconv.ParseInt in the format_int base-10 fast path
  • Go bumped from 1.26.3 to 1.26.4; various website and node dependencies also updated
原文

OpenCost

Observability2026年6月26日

This is a routine patch release for OpenCost, dominated by bug fixes for GPU pricing, data races, and Azure Windows pricing, plus a new STACKIT provider integration. There are no breaking changes, deprecations, or CVE fixes in this release.

主な変更 (7)
  • Several data-race and stability fixes: cloudcost Status coverage read is now guarded and the ClusterMap ticker is stopped to prevent leaks, customcost Status() copies its coverage map, and GPUAllocation.Equal now compares pointer field values correctly
  • On-demand pricing is now OS-aware for Azure Windows nodes, correcting pricing calculations that previously used the wrong base rate
  • Custom provider GPU default pricing is fixed, and a nil filter guard was added to prevent a crash
  • Cloud pricing HTTP clients now have timeouts to prevent hangs
  • STACKIT added as a supported cloud provider
  • New queryProjectID field on BigQueryConfiguration, plus GKE Workload Identity Federation support for accessing Provider Pricing Data
  • Smaller items: step parameter exposed in the get_efficiency tool, Bingen 0.1.1 streaming writer support, UI build tooling switched from parcel to react-router/vite, Dockerfile.debug restored for Tilt, and reduced log verbosity for spot price auth failures
原文

cert-manager

Security2026年6月26日

v1.19.6 is a security patch fixing a HIGH severity RBAC privilege escalation in the cert-manager-edit ClusterRole that let users create ACME Challenge and Order resources directly, plus a Go toolchain update closing three CVEs. The RBAC fix includes a documented breaking permission change.

  • securityRBAC privilege escalation via ACME Challenge/Order creation

    Applies to v1.19.6: the default cert-manager-edit aggregate ClusterRole previously let namespace users create ACME Challenge and Order resources directly, bypassing Issuer solver selectors. This is fixed by removing create for challenges.acme.cert-manager.io and create/patch/update for orders.acme.cert-manager.io from that role. Upgrade to v1.19.6 to close this HIGH severity RBAC gap (GHSA-8rvj-mm4h-c258).

  • securityGo toolchain updated to 1.25.11 for three CVEs

    Applies unconditionally in v1.19.6: Go is updated to 1.25.11, fixing CVE-2026-27145, CVE-2026-42504, and CVE-2026-42507. No action needed beyond upgrading.

  • breakingcert-manager-edit ClusterRole loses Challenge/Order create permissions

    If any tooling or workflow creates Challenge or Order resources directly, outside the normal Certificate to CertificateRequest to Order to Challenge flow, it will lose that access after upgrading and needs those permissions granted explicitly.

主な変更 (4)
  • HIGH severity RBAC fix (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole allowed users to create ACME Challenge/Order resources directly, bypassing Issuer solver selectors
  • Breaking: cert-manager-edit no longer grants create on challenges.acme.cert-manager.io or create/patch/update on orders.acme.cert-manager.io; direct Challenge/Order tooling needs explicit permissions now
  • Go updated to 1.25.11, fixing CVE-2026-27145, CVE-2026-42504, and CVE-2026-42507
  • Earlier Go bump to 1.25.10 plus other unspecified dependency updates
原文

cert-manager

Security2026年6月26日

v1.20.3 is a security release primarily addressing a HIGH-severity RBAC over-permission (GHSA-8rvj-mm4h-c258) in the cert-manager-edit ClusterRole, and updating Go to v1.26.4 for three CVEs. Operators should audit any workflows that create Challenge or Order resources directly before upgrading, as those permissions are now removed.

  • securityRBAC over-permission in cert-manager-edit ClusterRole (GHSA-8rvj-mm4h-c258)

    GHSA-8rvj-mm4h-c258 (HIGH): the cert-manager-edit aggregate ClusterRole previously allowed namespace users to create Challenge and Order resources directly, bypassing Issuer solver selectors. Fixed in v1.20.3. Upgrade immediately if untrusted namespace users exist in your cluster.

  • securityGo runtime updated to v1.26.4 (3 CVEs)

    Go updated to v1.26.4, patching CVE-2026-27145, CVE-2026-42504, and CVE-2026-42507. No additional configuration is required; upgrading cert-manager picks up the fix.

  • breakingBreaking RBAC change: direct Challenge and Order creation removed from cert-manager-edit

    cert-manager-edit no longer grants create on challenges.acme.cert-manager.io, or create/patch/update on orders.acme.cert-manager.io. If any tooling or CI workflow creates Challenge or Order objects directly (outside the normal Certificate → CertificateRequest → Order → Challenge flow), those calls will fail after upgrading. Review and update any such automation before rolling out v1.20.3.

主な変更 (4)
  • HIGH-severity RBAC fix (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole no longer allows direct creation of Challenge or Order resources, closing a path that let namespace users bypass Issuer solver selectors.
  • Breaking RBAC change: create removed for challenges.acme.cert-manager.io; create, patch, and update removed for orders.acme.cert-manager.io from the cert-manager-edit aggregate ClusterRole.
  • Go updated to v1.26.4, fixing three CVEs (CVE-2026-27145, CVE-2026-42504, CVE-2026-42507).
  • Bugfix: the issuer owner reference has been removed from Challenge resources, which was preventing Challenge garbage collection.
原文
古い →