RATATOSKRATATOSK
ログイン

リリース

CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。

2026年7月解除 ×

Litmus

Observability今日2026年7月15日

Litmus 3.31.0は、GraphQLサブスクリプション処理やプローブ管理、インフラ詳細取得周辺の問題を修正するルーチンなバグフィックスリリースです。UI状態同期やエラーハンドリングの改善により、運用時の安定性が向上します。

主な変更 (8)
  • GraphQLサブスクリプションリゾルバのメモリリークとデッドロック問題を修正
  • プローブコンパレータ型の初期化を修正し、不正な動作を解決
  • FileHandlerがエラーレスポンス後に停止するよう修正
  • GetInfraDetailsリゾルバで空スライスアクセス時のパニックを防止
  • bcryptエラー時のCreateUserハンドラでエラーを返すよう修正
  • キューイング中の実験UI状態をGraphQL経由で正しく同期
  • テストカバレッジを拡充(ChaosHub GitOps、subscriber、レジストリ、MongoDB演算子関連)
  • Makefile内のevent-trackerおよびsubscriberビルドターゲットパスを修正
原文

Thanos

Observability2026年7月8日

Thanos v0.42.0は、gRPC authzのpathベース拒否ルールを回避できるCVSS 9.1の重大な認可バイパス脆弱性(CVE-2026-33186)を修正しつつ、ReceiveとStoreのフラグ削除やログフィールド改名といった複数の破壊的変更、TLS/暗号設定オプションの追加を含む混在型のリリースです。

  • security認可バイパスの脆弱性を修正(CVE-2026-33186)

    gRPC/authzインターセプターのpathベース拒否ルールが、細工した`:path`ヘッダーによって回避できる脆弱性(CVSS 9.1)。`thanos-community/grpc-go`フォークの更新で修正済み。gRPC authz認可に依存している構成では優先的にv0.42.0へ更新してください。

  • breakingReceiveの`--shipper.ignore-unequal-block-size`を削除

    TSDBはshipperによるアップロード完了までコンパクションを遅延させるようになり、データ損失なくアップロード中のコンパクションが可能になったため、このフラグは不要になりました。設定で使用している場合は削除してください。

  • breakingStoreの`--debug.advertise-compatibility-label`を削除

    デフォルトで`@thanos_compatibility_store_type=store`ラベルを広告しなくなり、v0.8.0より前のThanos Queryとの互換性が失われます。古いQueryと混在運用している場合は更新前に確認してください。

  • breakingQuery-Frontendのログフィールド名を変更

    Query-Frontendのログ出力で`time_taken`フィールドが`time_taken_ms`に変わりました。JSON出力をパースしているログ収集基盤やダッシュボードのフィールド名を更新してください。

主な変更 (8)
  • セキュリティ: gRPC authzのpathベース拒否ルールを回避できる認可バイパス脆弱性を修正(CVE-2026-33186、CVSS 9.1)
  • 破壊的変更: Receiveの`--shipper.ignore-unequal-block-size`とStoreの`--debug.advertise-compatibility-label`フラグを削除(旧Queryとの互換性に影響)
  • 破壊的変更: Query-Frontendのログフィールド`time_taken`を`time_taken_ms`に改名
  • 全gRPCサーバーにKeepaliveEnforcementPolicy(MinTime 10s)を設定
  • gRPCおよびRemote-write HTTPサーバー向けにTLS暗号スイート/曲線の設定フラグを追加、Queryでのエンドポイント単位TLS設定にも対応
  • Receive/Compact/Sidecarでos.Root APIによるファイルシステムアクセス制限を導入し、Receiveではテナントパス走査を防ぐ検証も追加
  • バグ修正多数: Query exemplarプロキシのラベル欠落、OTLP tracingのTLS設定無視、Query-FrontendのAnalyzesMergeパニック、Receive再起動時の503エラーなど
  • 運用上の推奨: gRPC圧縮利用時のQuerierメモリ増大を避けるため、ReceiveとStoreをQuerierより先に更新すること
原文

OpenTelemetry

Observability2026年7月7日

OpenTelemetry Collector v0.156.0はバグ修正中心のリリースで、オペレータに影響する変更として、memory_limiterプロセッサが連続的な強制GCから指数バックオフに切り替わり、上限を2つの新設定フィールドで制御できるようになりました。otlp_httpの永続エラー処理、レシーバ起動順序、env変数のnil解決、リトライ設定バリデーションの修正も含まれます。

  • enhancementmemory_limiter: GCバックオフが新フィールドで設定可能に

    memory_limiterプロセッサは、GCが非効率と判断された場合(ソフトリミット超過かつ回収率5%未満)に指数バックオフでGC呼び出しを抑制するようになりました。バックオフの上限はmax_gc_interval_when_soft_limitedとmax_gc_interval_when_hard_limitedで設定でき、デフォルトはいずれも30sです。GCの積極性を調整している場合は、これら新フィールドを確認してください。

主な変更 (7)
  • memory_limiterプロセッサ: 非効率なGCに指数バックオフを導入。上限はmax_gc_interval_when_soft_limitedとmax_gc_interval_when_hard_limited(各デフォルト30s)で制御
  • otlp_httpエクスポータ: 切り詰められた2xxレスポンスボディのパースエラーを永続エラーとして扱い、重複エクスポートを防止
  • pkg/service: 他の全コンポーネントが起動完了してからレシーバを開始するよう修正(OTLPなど実装共有レシーバの競合を解消)
  • envプロバイダ: ${env:VAR:-}構文で未設定変数がnilではなく空文字列に解決されるよう修正
  • configretry BackOffConfigのバリデーションをEnabledフラグに関わらず常時実行
  • memory_limiterプロセッサがcomponentstatusヘルスイベントを発行するように
  • mdatagenの強化: リソース属性への安定レベルとセマンティック規約参照の追加、go_structへのfield_nameオプション、enumバリデータ対応、プリミティブ型の名前付きGoタイプ生成
原文

Prometheus

Observability2026年7月1日

Prometheus v3.13.0はLTSリリースで、HIGH深刻度の認証情報転送の脆弱性(CVE-2025-4673CVE-2023-45289)とMEDIUM深刻度のXSS(CVE-2026-44990)への対応を筆頭に、ページネーショントークン、パス解決、PromQL期間関数名、ライセンスファイル配布の4つの破壊的変更、さらに多数の新機能とパフォーマンス改善を含みます。

  • securityHIGH: クロスホストリダイレクト時に認証情報が転送されなくなった

    リダイレクト先のホストが異なる場合、Authorizationヘッダー・Basic認証・Bearerトークン・OAuth2・カスタムヘッダーなどの認証情報が転送されなくなりました。スクレイプ・リモートread/write・アラート送信・サービスディスカバリのいずれも対象です。CVE-2025-4673とCVE-2023-45289として追跡されており、prometheus/commonのv0.68.xからv0.69.0への更新が起因です。クロスホストリダイレクトに依存するエンドポイントがあれば、認証情報がサイレントに落ちることを確認してください。

  • securityMEDIUM: UI依存ライブラリのXSS修正(CVE-2026-44990)

    UIのsanitize-htmlライブラリにXSS脆弱性(CVE-2026-44990)が存在していたため、バージョンを更新して修正しました。設定変更は不要で、v3.13.0へのアップグレードで対処されます。

  • breakingページネーショントークンのアルゴリズムがSHA-1からSHA-256に変更

    ルールグループのページネーショントークン生成がSHA-1からSHA-256に変わりました。旧バージョンで取得したトークンを保持・比較しているクライアントやツールは、アップグレード後に値が変わります。

  • breaking--http.config.fileの相対パス解決先が変更

    --http.config.fileに渡すファイル内の相対パスが、親ディレクトリではなくそのconfigファイル自身のディレクトリを基準に解決されるようになりました。相対パスを使っている場合は、アップグレード後にパスが正しく解決されるか確認してください。

  • breaking期間表現関数min()/max()がmin_of()/max_of()に改名

    experimental-duration-exprフィーチャーフラグを有効にしている場合、PromQLの期間表現関数min()とmax()がmin_of()とmax_of()に改名されました。これらを使用しているクエリやルールを更新してください。

  • breakingnpm_licenses.tar.bz2を廃止、ライセンスは/assets/third-party-licenses.txtへ移行

    リリースtarballおよびコンテナイメージからnpm_licenses.tar.bz2が削除されました。サードパーティnpmライセンス情報はバイナリに埋め込まれ、/assets/third-party-licenses.txtで提供されます。このアーカイブを展開している自動化処理があれば修正が必要です。

主な変更 (8)
  • HIGH深刻度: クロスホストリダイレクト時の認証情報転送を停止、CVE-2025-4673・CVE-2023-45289に対応(prometheus/common v0.69.0へ更新)
  • MEDIUM深刻度: sanitize-htmlを更新してUIのXSS脆弱性CVE-2026-44990を修正
  • 破壊的変更: ルールグループのページネーショントークンがSHA-256に変わり、旧トークンとの互換性なし
  • 破壊的変更: --http.config.fileの相対パスが親ディレクトリでなくconfigファイルのディレクトリ基準に変更
  • 破壊的変更: 期間表現関数min()/max()がmin_of()/max_of()に改名(experimental-duration-exprフラグ使用時のみ)
  • 破壊的変更: npm_licenses.tar.bz2をtarball/イメージから削除、バイナリ内の/assets/third-party-licenses.txtで提供
  • 新機能: メトリクス名・ラベル名・ラベル値の実験的APIサーチエンドポイント追加、AWS RDSフィルタリング、Scaleway VPC/IPAM対応、ネイティブヒストグラムのsmoothed/anchored rate、クエリ単位のsamplesRead統計、Azure Monitor Workspace証明書対応、ghcr.ioへのイメージ公開
  • パフォーマンス: 大文字小文字を区別しない前置マッチ最大約2倍高速化、チャンク書き込みのサンプル単位オーバーヘッド約12-15%削減、V2ヒストグラムWALデコーダのアロケーション最大50%削減(created-timestamp有効時はメモリ最大10%減); PromQLパニックおよびTSDB破損の複数修正も含む
原文
月別に見る