RATATOSKRATATOSK
ログイン

リリース

CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。

2026年7月解除 ×

gRPC

Networking & Messaging2026年7月2日

gRPC 1.82.0はCore、PHP、Python、Rubyにわたる細かな修正を積み重ねたルーチンリリースで、セキュリティ問題や破壊的変更はありません。目立つのはxDSの2つのプロトコル追加(A85のORCA-to-LRS、A114の重み付けラウンドロビン)と、細々としたバグ修正の集合です。

主な変更 (8)
  • CVEなし、破壊的なAPI削除や非推奨化もなし
  • xDSがORCAからLRSへの伝播(gRFC A85)とカスタムバックエンドメトリクスによる重み付けラウンドロビン(A114)に対応
  • 呼び出し認証情報でリージョナルアクセス境界ポリシーのメタデータを検索・付与できるように
  • Python aioの修正: -Oフラグ実行時のCPU使用率100%問題を解消、forkした子プロセスでチャネルを閉じずに呼び出しをキャンセル可能に
  • Rubyに純Ruby実装の呼び出し認証情報を追加、インターセプターが意図通りFIFO順で実行されるよう修正
  • POSIXソケット処理でファイルディスクリプタ0が不正に無効扱いされていた問題を修正、エンドポイントシャットダウン時にCFStreamコールバックの登録解除を実施
  • PHP拡張のバックポートでPIE対応を追加、Pythonのaio call/metadataモジュールにPyright/Typeguardの型チェックを導入
  • その他、abseilのnullopt assertionを誤って起動させていたRetryFilterの不具合も修正
原文

Harbor

Storage & Data2026年7月2日

Harbor v2.15.2は、2.15.0の修正群とセキュリティ強化をバックポートしたメンテナンスパッチです。blob-mountトークン検証の強化とcrypto/SMTP周りの整理に加え、キャッシュバックエンドをRedisからValkeyに置き換え、Angular/Clarityアップグレードに伴う多数のUI修正も含みます。

  • securityblob-mountトークン検証の強化

    blob-mount実行時に、ソースプロジェクトの検証とiatクレームを持たないトークンの拒否が追加されました。トークン検証の抜け穴を突いた不正なblobマウントを防ぐ修正です。v2.15.2への更新を推奨します。

  • securitycrypto実装の強化とSMTPパッケージ削除

    暗号処理の実装が見直され、使われていないSMTPパッケージが削除されました。深刻度は低めですが、攻撃面の縮小につながる修正です。

  • breakingキャッシュバックエンドをRedisからValkeyへ変更

    キャッシュバックエンドがRedisからValkeyに置き換わりました。デプロイ構成やコンテナイメージでRedisを直接参照している場合は、Valkeyへの切り替えを確認してください。

  • breakingYAMLライブラリの置き換え

    YAML処理ライブラリがgopkg.in/yaml.v2からgithub.com/goccy/go-yamlに置き換わりました。カスタムビルドやフォークでこの依存に直接触れている場合は影響を確認してください。

  • breakingregistryソースタグを安定版v2.8.3-harbor.1に変更

    registryコンポーネントの参照がrc.5からv2.8.3-harbor.1の安定タグに変更されました。ビルドパイプラインでバージョン文字列を固定参照している場合は更新が必要です。

主な変更 (6)
  • セキュリティ: blob-mountトークン検証を強化(ソースプロジェクト検証、iat欠落トークンの拒否、深刻度medium)
  • セキュリティ: crypto利用の見直しと未使用SMTPパッケージの削除(深刻度low)
  • キャッシュバックエンドをRedisからValkeyに置き換え
  • 依存関係: yaml.v2をgoccy/go-yamlへ、registryをv2.8.3-harbor.1安定タグへ変更
  • Harbor UIをAngular 21・Clarity v18・Node.js v22へアップグレードし、チェックボックスやダークテーマ、i18nなど多数のUI/UX不具合を修正
  • その他: repositoryのupdate_time不更新の修正、Cosign検証でtlogを無視する調整、photonベースイメージの再構築とビルドシステムの安定化など細かな修正多数
原文

CRI-O

Kubernetes Core2026年7月2日

CRI-O v1.36.2は、gomaxprocsフックのCPU割り当て計算を修正する通常のパッチリリースです。Goスケジューラがスロットリングされる問題を軽減します。セキュリティ修正や破壊的変更はありません。

主な変更 (2)
  • gomaxprocsフックが、注入判定にワークロードパーティショニングを考慮しなくなった
  • CPU割り当ての計算を見直し、要求CPU数の最低2倍をコンテナに割り当てるよう修正。Goスケジューラのスロットリングを抑制
原文

CRI-O

Kubernetes Core2026年7月2日

CRI-O v1.34.10はバグ修正のみのパッチで、gomaxprocsのCPU注入ロジックの修正と、再起動後のコンテナステータスにおけるImageRef形式のリグレッション修正の2件が含まれます。セキュリティ、API、設定の変更はありません。

主な変更 (3)
  • gomaxprocsフックがCPU設定を注入するかどうかの判断でワークロードパーティショニングを無視するよう変更
  • gomaxprocsの計算が要求CPU数の少なくとも2倍を保証し、Goスケジューラのスロットリングリスクを低減
  • CRI-O再起動後にコンテナステータスのImageRefがrepo@digest形式から生のイメージIDハッシュに変わっていたバグを修正
原文

etcd

Kubernetes Core2026年7月1日

etcd v3.6.13は、--listen-client-http-urlsを設定しているクラスタのgRPCリスナーでCRL検証がバイパスされるHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティパッチです。WebSocketのbearerトークン認証の修正と、v2-deprecationフラグへのオプション追加も含まれます。

  • securitygRPCリスナーのCRL検証バイパス(GHSA-3wh4-j44w-pg92)を修正

    --listen-client-http-urlsを設定しているクラスタでは、gRPCリスナーで証明書失効リスト(CRL)の検証がスキップされており、失効済みのクライアント証明書でも認証が通ってしまいます。v3.6.13へ更新してください。

主な変更 (3)
  • セキュリティ(HIGH): --listen-client-http-urls設定時のgRPCリスナーにおけるCRL検証バイパスを修正(GHSA-3wh4-j44w-pg92)
  • バグ修正: bearer-プレフィックス付きトークンを使うWebSocket認証の誤動作を解消
  • 機能追加: --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを省略可能に
原文

etcd

Kubernetes Core2026年7月1日

etcd v3.5.32は、--listen-client-http-urlsを設定した際にgRPCリスナーでCRLが適用されなかったHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティリリースです。v2-deprecationのバイパスオプション追加やいくつかのバグ修正も含まれます。

  • securitygRPCリスナーのCRL適用バイパス(GHSA-3wh4-j44w-pg92)

    --listen-client-http-urlsを設定している場合、gRPCリスナーでCRLが適用されず、失効した証明書が受け入れられる状態でした。mTLSと証明書失効リストを併用している環境では、v3.5.32へ更新してください。

主な変更 (6)
  • セキュリティ(HIGH): --listen-client-http-urls設定時にgRPCリスナーでCRL検証が行われなかった問題を修正(GHSA-3wh4-j44w-pg92)
  • --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを迂回可能に
  • 非管理者によるメンテナンスステータスリクエストをサーバーが許可するよう変更
  • etcdutlのcheck v2storeがv2スナップショットとWALレコードの両方を検査するよう強化
  • bearer形式のトークンを使ったWebSocket認証の不具合を修正
  • トークン解析失敗時にJWTトークンの内容がログに記録されない処理を追加
原文

Prometheus

Observability2026年7月1日

Prometheus v3.13.0はLTSリリースで、HIGH深刻度の認証情報転送の脆弱性(CVE-2025-4673CVE-2023-45289)とMEDIUM深刻度のXSS(CVE-2026-44990)への対応を筆頭に、ページネーショントークン、パス解決、PromQL期間関数名、ライセンスファイル配布の4つの破壊的変更、さらに多数の新機能とパフォーマンス改善を含みます。

  • securityHIGH: クロスホストリダイレクト時に認証情報が転送されなくなった

    リダイレクト先のホストが異なる場合、Authorizationヘッダー・Basic認証・Bearerトークン・OAuth2・カスタムヘッダーなどの認証情報が転送されなくなりました。スクレイプ・リモートread/write・アラート送信・サービスディスカバリのいずれも対象です。CVE-2025-4673とCVE-2023-45289として追跡されており、prometheus/commonのv0.68.xからv0.69.0への更新が起因です。クロスホストリダイレクトに依存するエンドポイントがあれば、認証情報がサイレントに落ちることを確認してください。

  • securityMEDIUM: UI依存ライブラリのXSS修正(CVE-2026-44990)

    UIのsanitize-htmlライブラリにXSS脆弱性(CVE-2026-44990)が存在していたため、バージョンを更新して修正しました。設定変更は不要で、v3.13.0へのアップグレードで対処されます。

  • breakingページネーショントークンのアルゴリズムがSHA-1からSHA-256に変更

    ルールグループのページネーショントークン生成がSHA-1からSHA-256に変わりました。旧バージョンで取得したトークンを保持・比較しているクライアントやツールは、アップグレード後に値が変わります。

  • breaking--http.config.fileの相対パス解決先が変更

    --http.config.fileに渡すファイル内の相対パスが、親ディレクトリではなくそのconfigファイル自身のディレクトリを基準に解決されるようになりました。相対パスを使っている場合は、アップグレード後にパスが正しく解決されるか確認してください。

  • breaking期間表現関数min()/max()がmin_of()/max_of()に改名

    experimental-duration-exprフィーチャーフラグを有効にしている場合、PromQLの期間表現関数min()とmax()がmin_of()とmax_of()に改名されました。これらを使用しているクエリやルールを更新してください。

  • breakingnpm_licenses.tar.bz2を廃止、ライセンスは/assets/third-party-licenses.txtへ移行

    リリースtarballおよびコンテナイメージからnpm_licenses.tar.bz2が削除されました。サードパーティnpmライセンス情報はバイナリに埋め込まれ、/assets/third-party-licenses.txtで提供されます。このアーカイブを展開している自動化処理があれば修正が必要です。

主な変更 (8)
  • HIGH深刻度: クロスホストリダイレクト時の認証情報転送を停止、CVE-2025-4673・CVE-2023-45289に対応(prometheus/common v0.69.0へ更新)
  • MEDIUM深刻度: sanitize-htmlを更新してUIのXSS脆弱性CVE-2026-44990を修正
  • 破壊的変更: ルールグループのページネーショントークンがSHA-256に変わり、旧トークンとの互換性なし
  • 破壊的変更: --http.config.fileの相対パスが親ディレクトリでなくconfigファイルのディレクトリ基準に変更
  • 破壊的変更: 期間表現関数min()/max()がmin_of()/max_of()に改名(experimental-duration-exprフラグ使用時のみ)
  • 破壊的変更: npm_licenses.tar.bz2をtarball/イメージから削除、バイナリ内の/assets/third-party-licenses.txtで提供
  • 新機能: メトリクス名・ラベル名・ラベル値の実験的APIサーチエンドポイント追加、AWS RDSフィルタリング、Scaleway VPC/IPAM対応、ネイティブヒストグラムのsmoothed/anchored rate、クエリ単位のsamplesRead統計、Azure Monitor Workspace証明書対応、ghcr.ioへのイメージ公開
  • パフォーマンス: 大文字小文字を区別しない前置マッチ最大約2倍高速化、チャンク書き込みのサンプル単位オーバーヘッド約12-15%削減、V2ヒストグラムWALデコーダのアロケーション最大50%削減(created-timestamp有効時はメモリ最大10%減); PromQLパニックおよびTSDB破損の複数修正も含む
原文

Longhorn

Storage & Data2026年7月1日

Longhorn v1.11.3は、ボリューム操作・バックアップ・インスタンス管理にまたがる十数件の安定性問題を修正するバグフィックスロールアップです。CSI external provisionerがv6.3.0へ更新されたため、v1.10.xまたはv1.11.0からアップグレードする場合はKubernetes v1.34以降が前提条件となります。

  • breakingv1.10.xまたはv1.11.0からのアップグレード時にKubernetes v1.34+が必要

    CSI external provisionerがv6.3.0に更新されたため、Longhorn v1.10.xまたはv1.11.0からアップグレードする場合はKubernetes v1.34以降が必要です。クラスタのKubernetesバージョンを先にv1.34+へ更新してからLonghornをアップグレードしてください。

主な変更 (7)
  • CSI external provisionerをv6.3.0に更新: v1.10.xまたはv1.11.0からアップグレードする前にKubernetes v1.34+が必要
  • iscsidの再起動によりV1ボリュームが操作不能になる問題(PVCリサイズ失敗を含む)を修正
  • レプリカリビルド中にlonghorn-instance-managerがnilポインタ参照パニックを起こす問題を修正
  • 定期trimジョブが失敗するデッドロック、およびボリューム拡張が停止する問題をそれぞれ修正
  • ターゲットノードがready状態へ移行中にマイグレーションエンジンが削除される問題を修正
  • NetAppアプライアンスへのS3バックアップ失敗、およびSystem Backup RecurringJobが最新CRを誤って削除する問題を修正
  • バックアップ削除時のBackupControllerパニック、サポートバンドルとWebhookポーリングのHTTPレスポンスボディリーク、スケール時のwebhook TLS Secretへの競合を修正
原文

Istio

Networking & Messaging2026年7月1日

Istio 1.28.10は単一のバグ修正を含むルーティンパッチです。krtコントローラフレームワークで、Fetchフィルターのキー変更時に古い逆引きインデックスエントリが残り続けるメモリリークを修正しました。

主な変更 (1)
  • krtコントローラでFetchフィルターのキーが変更された際(例: Podを別のウェイポイントに付け替えた場合)、逆引きインデックスの古いエントリが残り続けていたメモリリークを修正。放置するとメモリ使用量の増加と不要な再計算が生じていた
原文
← 新しい
月別に見る