リリース
CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。
CoreDNS v1.14.5は保守リリースで、TLS標準設定への移行、DoQタイムアウト制限、forwardプラグイン設定処理の復帰といった動作変更を含みます。DoH/DoH3転送安全性の向上、dnstap・file・secondary・transferプラグインの堅牢性向上、複数プラグインにおけるパニック回避とデータレース修正が施されています。
breakingTLS標準設定をGoデフォルトに変更
CoreDNS v1.14.5はGoのTLS標準設定に移行します。既存でカスタムTLS設定に依存する場合は、アップグレード前に設定を確認してください。
breakingDoQストリーム読み取りをタイムアウトで制限
DoQストリーム読み取りがサーバー読み取りタイムアウトで制限されます。無限待機を想定した設定がある場合は、タイムアウト値を確認してください。
breakingforwardプラグイン空設定ファイル時の動作を復帰
forwardプラグインが空の設定ファイルで継続するよう復帰しました。以前の動作に依存していた場合の互換性が回復します。
主な変更 (8)
- TLS標準設定をGoのデフォルトに変更
- DoQストリーム読み取りをサーバー読み取りタイムアウトで制限
- forwardプラグインが空設定ファイルで継続するよう復帰
- upstreamごとの読み取りタイムアウト設定をサポート
- forwardプラグインがDoHに対応、dnstapのForwarder記述を改善
- plugin/fileが負のCNAME応答でSOA権限を返却、wildcardが適切に処理される
- plugin/hostsがwildcardに対応、plugin/secondaryがカタログゾーン解析と再ロード時のシャットダウン改善
- plugin/transfer、plugin/dnstap、plugin/rewrite、plugin/localなど複数プラグインで接続管理、パニック回避、データレース修正
containerd v2.3.3 は CRI サンドボックス処理、NRI、イメージ配布エラー情報、EROFS ブロックサイズ整列に関する一連のバグ修正を含むルーチンパッチです。セキュリティ修正や破壊的変更はありません。
主な変更 (7)
- NRI GetIPs のポッドサンドボックス破棄時の nil ポインタ逆参照を修正
- CRI の CreateContainer がサンドボックス非実行時の呼び出しを拒否するよう修正
- RunPodSandbox がフック失敗時のマウントリークを防止
- レジストリクライアントが 403 応答で OCI エラー本体を返すように改善
- EROFS スナップショッターの 4K ブロックサイズをプラットフォーム間で統一
- Windows の SYSTEM サービスの一時ディレクトリオーバーライド対応
- Go 1.26.5、runhcs v0.15.0-rc.3 に更新
containerd v2.2.6はCRIのポッドサンドボックスとコンテナのライフサイクル処理に関する複数のバグを修正するルーチンパッチです。メモリリーク回避とイメージ配布の挙動改善を含みます。
主な変更 (5)
- NRI GetIPsのnil参照解除バグを修正(ポッドサンドボックス破棄時またはコンテナ終了時)
- サンドボックス非稼働時のCreateContainer呼び出しを拒否し、無効なコンテナ作成を防止
- RunPodSandbox時のフック失敗でサンドボックスシャットダウンを確保し、マウントリークを回避
- イメージref解決時の/blobsエンドポイントへのフォールバックを制限し、コンテンツストア汚染を防止
- Goツールチェーンを1.26.5/1.25.12に更新
containerd v1.7.34はCRIのコンテナ終了イベント喪失バグを修正した定例パッチです。Go依存関係の複数更新を含みますが、オペレータに影響する変更はありません。
主な変更 (3)
- CRIバグ修正: コンテナ情報がキャッシュされる前に到着したコンテナ終了イベントが失われることがある問題を解決
- Go 1.26.5/1.25.12へのツールチェーン更新
- golang.org/x/*パッケージの複数更新(crypto v0.52.0、mod v0.35.0、net v0.55.0、sync v0.20.0、sys v0.45.0、term v0.43.0、text v0.37.0)
etcd v3.7.0は、--listen-client-http-urlsを設定している場合にgRPCリスナーでCRLが適用されなくなる脆弱性(GHSA-3wh4-j44w-pg92、HIGH)を修正するセキュリティリリースです。該当フラグを使用しているクラスタでは速やかに更新してください。
securitygRPCリスナーのCRL検証迂回を修正(GHSA-3wh4-j44w-pg92)
--listen-client-http-urlsを設定している環境では、gRPCリスナーでCRL(証明書失効リスト)の検証が迂回される脆弱性(GHSA-3wh4-j44w-pg92、HIGH)が存在します。v3.7.0へ更新してください。
主な変更 (1)
- セキュリティ: --listen-client-http-urls使用時のgRPCリスナーにおけるCRL検証迂回を修正(GHSA-3wh4-j44w-pg92、HIGH)
Lima v2.1.4は、いくつかの不具合修正とnerdctlの更新、CLI・テンプレートの小さな改善をまとめたルーティンパッチです。破壊的変更やセキュリティ修正、非推奨化はありません。
主な変更 (5)
- 不具合修正: xorrisofsフラグをxorrisofsコマンドにのみ追加するよう修正
- 不具合修正: macOSでhvfが使えない場合、QEMUがtcgにフォールバックするよう修正
- 依存関係: nerdctlをv2.3.3からv2.3.4に更新
- テンプレートを更新、freebsd-15テンプレートが9pマウントに対応
- 機能改善: limactl network list --jsonの出力にネットワーク名が含まれるように
CRI-O v1.34.10はバグ修正のみのパッチで、gomaxprocsのCPU注入ロジックの修正と、再起動後のコンテナステータスにおけるImageRef形式のリグレッション修正の2件が含まれます。セキュリティ、API、設定の変更はありません。
主な変更 (3)
- gomaxprocsフックがCPU設定を注入するかどうかの判断でワークロードパーティショニングを無視するよう変更
- gomaxprocsの計算が要求CPU数の少なくとも2倍を保証し、Goスケジューラのスロットリングリスクを低減
- CRI-O再起動後にコンテナステータスのImageRefがrepo@digest形式から生のイメージIDハッシュに変わっていたバグを修正
etcd v3.6.13は、--listen-client-http-urlsを設定しているクラスタのgRPCリスナーでCRL検証がバイパスされるHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティパッチです。WebSocketのbearerトークン認証の修正と、v2-deprecationフラグへのオプション追加も含まれます。
securitygRPCリスナーのCRL検証バイパス(GHSA-3wh4-j44w-pg92)を修正
--listen-client-http-urlsを設定しているクラスタでは、gRPCリスナーで証明書失効リスト(CRL)の検証がスキップされており、失効済みのクライアント証明書でも認証が通ってしまいます。v3.6.13へ更新してください。
主な変更 (3)
- セキュリティ(HIGH): --listen-client-http-urls設定時のgRPCリスナーにおけるCRL検証バイパスを修正(GHSA-3wh4-j44w-pg92)
- バグ修正: bearer-プレフィックス付きトークンを使うWebSocket認証の誤動作を解消
- 機能追加: --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを省略可能に
etcd v3.5.32は、--listen-client-http-urlsを設定した際にgRPCリスナーでCRLが適用されなかったHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティリリースです。v2-deprecationのバイパスオプション追加やいくつかのバグ修正も含まれます。
securitygRPCリスナーのCRL適用バイパス(GHSA-3wh4-j44w-pg92)
--listen-client-http-urlsを設定している場合、gRPCリスナーでCRLが適用されず、失効した証明書が受け入れられる状態でした。mTLSと証明書失効リストを併用している環境では、v3.5.32へ更新してください。
主な変更 (6)
- セキュリティ(HIGH): --listen-client-http-urls設定時にgRPCリスナーでCRL検証が行われなかった問題を修正(GHSA-3wh4-j44w-pg92)
- --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを迂回可能に
- 非管理者によるメンテナンスステータスリクエストをサーバーが許可するよう変更
- etcdutlのcheck v2storeがv2スナップショットとWALレコードの両方を検査するよう強化
- bearer形式のトークンを使ったWebSocket認証の不具合を修正
- トークン解析失敗時にJWTトークンの内容がログに記録されない処理を追加