RATATOSKRATATOSK
ログイン

リリース

CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。

2026年7月解除 ×

Kyverno

Security2026年7月10日

Kyverno v1.18.2はジェネレータポリシーのnamespace境界強制の脆弱性(GHSA-79gf-7frw-68m9)を修正するセキュリティパッチです。セキュリティ依存関係の更新と複数の重要なバグ修正を含みます。

  • securityジェネレータポリシーのnamespace境界強制を修正

    Kyvernoジェネレータポリシーにおいて、namespace境界の強制が不十分だったため、ポリシー作成権限を持つユーザーが他のnamespace内のリソースを生成できていました。v1.18.2へ更新してください。

  • securityセキュリティ依存関係の更新

    セキュリティ関連の依存関係が更新されました。v1.18.2へのアップグレードで適用されます。

主な変更 (5)
  • ジェネレータ・マネージドポリシーのnamespace境界強制を修正(GHSA-79gf-7frw-68m9)
  • セキュリティ依存関係を更新
  • バックグラウンドレポートが410レスポンス時の動的ウォッチャー再起動を修正
  • 必須検証ポリシーがイメージマッチ失敗時に適切にエラーハンドリングするよう改善
  • Kyverno CLIが単一--crd-pathファイル内で複数のCRDをサポート
原文

SPIRE

Security2026年7月9日

SPIRE v1.15.2は、docker/dockerをmoby/mobyに移行してCVEを解決するセキュリティリリースであり、委譲型APIがadmin/downstreamエントリのJWT-SVID提供を廃止する動作変更を含みます。同時に、JWT-SVIDのJTIクレーム設定、レート制限、TLSメトリクスエンドポイント、データベース最適化など複数の機能改善とバグ修正を行いました。

  • securitydocker/dockerからmoby/mobyへの依存関係移行によるCVE解決

    moby/mobyへの移行により、docker/dockerの依存関係に含まれていた複数のCVEが解決されます。v1.15.2へ更新してください。

  • breaking委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止

    委譲型APIがadminおよびdownstream entriesに対するJWT-SVIDの提供を中止しました。委譲型APIを利用する環境では、この変更後の動作を確認してください。

主な変更 (8)
  • docker/dockerからmoby/mobyへの依存関係移行によるセキュリティ修正
  • 委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止
  • JWT-SVIDのJTIクレーム設定をentry単位で追加
  • agent WorkloadおよびEnvoy SDSの呼び出し元ごとのレート制限(実験的)
  • PrometheusメトリクスエンドポイントのTLSサポート(SPIRE SVID使用)
  • Post-Quantum暗号化ポリシーをバンドルエンドポイントとPrometheusサーバーに適用
  • 大規模デプロイメントでのデータベース負荷軽減(attestedノード一括取得、MySQLクエリ最適化)
  • その他バグ修正(azure_imds認証、CA journal永続化、イベントキャッシュ)などを含む
原文

cert-manager

Security2026年7月8日

cert-manager v1.21.0は、RBACとHelm values構成に3件の破壊的変更を含むハードニングリリースで、うち1件はGHSA-8rvj-mm4h-c258のセキュリティ修正です。加えてARI対応やVaultのAWS IAM認証などの新機能、複数の重要なバグ修正も含まれます。

  • securitycert-manager-edit ClusterRoleの権限を縮小(GHSA-8rvj-mm4h-c258)

    cert-manager-editアグリゲートClusterRoleから、challenges.acme.cert-manager.ioのcreate権限とorders.acme.cert-manager.ioのcreate/patch/update権限が削除されました(GHSA-8rvj-mm4h-c258)。ChallengeやOrderを直接作成するツールがある場合は、必要な権限を個別のRBACで付与し直す必要があります。

  • breakingtokenrequest用デフォルトRBACを削除

    HelmチャートがserviceAccountRef.nameでコントローラー自身のServiceAccountを指すundocumentedな構成を使っていた場合、serviceaccounts/token: createを許可するデフォルトのRole/RoleBindingが削除されたため動作しなくなります。必要なら明示的にRole/RoleBindingを作成してください。

  • breakingPrometheus関連のHelm値を削除

    Helm値のprometheus.servicemonitor.targetPort、prometheus.servicemonitor.path、prometheus.podmonitor.pathが削除されました。これらをvaluesで上書きしている場合、アップグレード時にスキーマ検証エラーになります。values定義から削除してください。

主な変更 (8)
  • セキュリティ: cert-manager-edit ClusterRoleからChallenge/Orderの作成・更新権限を削除(GHSA-8rvj-mm4h-c258、HIGH)
  • 破壊的変更: tokenrequest用のデフォルトRole/RoleBindingを削除(serviceaccounts/token: create)
  • 破壊的変更: Prometheus用Helm値3項目(servicemonitor.targetPort/path、podmonitor.path)を削除、スキーマ検証エラーの可能性あり
  • 新機能: RFC 9773準拠のACME Renewal Information(ARI)対応、VaultのAWS IAM認証(IRSA/EKS Pod Identity)、Gateway API向けTLSリスナー制御アノテーション
  • 新機能: Certificate APIにrenewalPolicies追加、FIPS 140-3対応のModern2026 PKCS#12プロファイル追加
  • バグ修正: renewBeforePercentageの整数オーバーフロー、期限切れ証明書での再発行無限ループ、ACMEチャレンジの一時的エラーでの終端失敗を修正
  • 非推奨化: enableGatewayAPI/enableGatewayAPIListenerSetとServerSideApplyフィーチャーゲートを非推奨化(既存動作は継続)
  • その他: ベースイメージをDebian 13に更新、CAInjectorMergingをGA化、その他約6件の小規模な機能追加・修正
原文

Open Policy Agent (OPA)

Security2026年7月2日

OPA v1.18.2は`opa fmt`のリグレッション修正のみを含む小規模パッチです。v1.18.0以降、整形済みポリシーに余計な差分が発生していた場合は、このバージョンへ更新することで解消されます。

主な変更 (1)
  • v1.18.0で混入した`opa fmt`のリグレッションを修正: 単一要素のコレクション(配列・オブジェクト・セット)が常に複数行に展開され、整形済みポリシーに不要な差分が生じていた問題を解消
原文
月別に見る