Thanos
v0.42.0ObservabilityThanos v0.42.0は、CVSS 9.1のgRPC認可バイパス脆弱性(CVE-2026-33186)を修正するセキュリティパッチであると同時に、Receive/Storeでのフラグ削除やgRPC keepaliveポリシー変更を伴う破壊的変更、複数の新規TLS設定オプションを含む混合リリースです。
securitygRPC認可バイパスの脆弱性を修正(CVE-2026-33186)
grpc/authz インターセプターで path ベースの deny ルールを設定している場合、細工した`:path`ヘッダーによって認可チェックを回避できました(CVSS 9.1)。thanos-community/grpc-go フォークの更新により修正済みです。v0.42.0への更新を推奨します。
breakingReceive/Storeでフラグ2件を削除(破壊的変更)
`--shipper.ignore-unequal-block-size`と`--debug.advertise-compatibility-label`が削除されました。前者はshipperのアップロード完了までcompactionを遅延させる新方式に置き換わり、後者の削除によりv0.8.0より前のThanos Queryとの互換性が失われます。該当フラグを使用している構成は見直してください。
breakinggRPC keepaliveポリシーの変更
全gRPCサーバーにMinTime 10sのKeepaliveEnforcementPolicyが設定されました。10秒未満の間隔でkeepalive pingを送るクライアントは接続を切断される可能性があります。クライアント側のkeepalive間隔を確認してください。
enhancementTLS暗号スイート・曲線の設定オプションを追加
gRPCサーバー向けに`--grpc-server-tls-ciphers`/`--grpc-server-tls-curves`、Receiveのremote-write HTTPサーバー向けに同等のTLSオプションが追加され、Queryではエンドポイントごとの個別TLS設定にも対応しました。セキュリティ要件に応じて暗号スイートを絞り込めます。
主な変更 (8)
- セキュリティ: gRPC認可バイパス(CVE-2026-33186、CVSS 9.1)を修正。path ベースのdenyルールが回避可能だった
- 破壊的変更: Receiveの`--shipper.ignore-unequal-block-size`とStoreの`--debug.advertise-compatibility-label`を削除
- 破壊的変更: 全gRPCサーバーにKeepaliveEnforcementPolicy(MinTime 10s)を追加
- Query-FrontendのJSONフィールドを`time_taken`から`time_taken_ms`に改名
- 新規TLS設定オプション(gRPCサーバーの暗号スイート/曲線、Receiveのremote-write TLS、Queryのエンドポイント別TLS)を追加
- Receiveのテナントバリデーション強化によるパストラバーサル対策、Receive/Compact/SidecarのosRoot APIによるファイルシステムアクセス制限など、セキュリティ関連の修正・強化が複数
- Receiveの再起動時503エラー、Query-Frontendのパニックやトレースログ欠落、OTLPエクスポーターのTLS設定無視など、バグ修正多数
- 運用上の推奨事項として、gRPC圧縮使用時のQuerierメモリ増大を避けるため、Receive/StoreをQuerierより先にアップグレードすること