RATATOSKRATATOSK
ログイン

リリース

CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。

2026年7月解除 ×

Envoy

Networking & Messaging昨日2026年7月14日

Envoy v1.39.0は、keyUsage強制の必須化、DLBバランサーの無効化、TLS inspectorの検証強化、OTelサンプリング挙動の変更といった複数の破壊的変更と、HTTP/2、HTTP/3、ext_authz、ext_proc、OAuth2、DNSなど多岐にわたる約20件のmedium評価CVE修正をまとめた大型リリースです。dynamic modulesの拡張ポイントやAI向けストリーミングJSONパーサーなど、非アクション項目の機能・性能改善も多数含まれます。

  • securityコアプロトコルと拡張機能にわたる広範なCVE修正

    本リリースではHTTP/2、HTTP/3、ext_authz、ext_proc、gRPC stats、内部リダイレクト、OAuth2、DNS、JSONパース、PROXYプロトコル、フォーマッタ、StatsD、TLS SAN処理、Zstd展開にわたる約20件のCVEが修正されており、いずれもリリースノート上ではmedium評価です。主なものはHTTP/2のcookieによるヘッダー上限回避(CVE-2026-47774)、HTTP/3のQPACKブロッキング復号DoS(GHSA-p7c7-7c47-pwch)、Zstd展開時のメモリ枯渇(CVE-2026-48044)です。修正はv1.39.0に含まれます。

  • securityOAuth2のcookie暗号化がAES-256-GCMへ移行(オプトイン)

    OAuth2はCVE-2026-47775対策としてAES-256-GCMによるcookie暗号化を追加しました。移行はオプトイン方式で、oauth2_use_gcm_encryptionを有効化し、oauth_legacy_cbc_decryptメトリクスを監視した後、レガシー復号が観測されなくなった時点でoauth2_legacy_cbc_decrypt_compatを無効化する手順です。

  • breaking証明書keyUsageの強制が必須化

    Envoyは証明書のkeyUsage拡張を常に強制するようになり、enforce_rsa_key_usageフィールドは非推奨となり無視されます。v1.39.0では無条件に適用されるため、これまで緩い検証に依存していた証明書は検証に失敗する可能性があります。

  • breakingDLBコネクションバランサーが全ビルドで無効化

    Intel DLBコネクションバランサー(envoy.network.connection_balance.dlb)は、ソースアーカイブの破損を理由に全ビルドで無効化されました。この拡張を設定している環境が対象です。

  • breakingTLS inspectorが範囲外のクライアントTLSバージョンを拒否

    TLS inspectorはクライアントのTLSバージョンがTLS 1.0からTLS 1.3の範囲内であることを検証し、範囲外を拒否するようになりました。v1.39.0では無条件で有効ですが、envoy.reloadable_features.tls_inspector_enforce_client_tls_versionで元の挙動に戻せます。

  • breakingOTelトレーシングがEnvoy自身のサンプリング判断を優先

    OpenTelemetryトレーサーは、伝播されたトレースコンテキストや設定済みサンプラーがサンプリングを要求している場合でも、overall_samplingを含むEnvoy自身のリクエスト単位のサンプリング判断を優先するようになりました。ダウンストリームやコンテキストによるサンプリング判断がEnvoyの設定より優先されることに依存している環境が対象で、エクスポートされるスパン数が減る可能性があります。

主な変更 (8)
  • HTTP/2、HTTP/3、ext_authz、ext_proc、gRPC stats、内部リダイレクト、OAuth2、DNS、JSONパース、PROXYプロトコル、フォーマッタ、StatsD、TLS SAN処理、Zstd展開にわたる約20件のmedium評価CVE修正。主なものはCVE-2026-47774(HTTP/2 cookieヘッダー上限回避)、GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS)、CVE-2026-48044(Zstdメモリ枯渇)
  • OAuth2にAES-256-GCMによるcookie暗号化を追加(CVE-2026-47775)。レガシーCBC復号からのオプトイン段階移行が可能
  • 証明書keyUsage強制が必須化(enforce_rsa_key_usageは非推奨)。TLS inspectorはクライアントTLSバージョンが1.0〜1.3の範囲外だと拒否
  • Intel DLBコネクションバランサー拡張がソースアーカイブ破損により全ビルドで無効化
  • OpenTelemetryトレーサーがEnvoy自身のサンプリング判断(overall_sampling含む)を優先するようになり、エクスポートされるスパン数が減少する可能性
  • 統合DNSクラスタ実装がデフォルトで有効化され、c-aresリゾルバとqcacheをクラスタ間で共有可能に
  • HeaderMatcherが個別に指定されたヘッダー値をカンマ結合形式だけでなく個別にマッチするよう変更(フィーチャーゲートで元に戻せる)
  • 非アクション項目としては、dynamic modulesの拡張ポイントとRust SDK、MCP/A2A/OpenAI/Anthropic向けの新しいWuffsベースのストリーミングJSONパーサー、帯域共有・サブフィルタチェーン用の新HTTPフィルタ、CNSA/ポスト量子TLSポリシー、io_uringやSO_REUSEPORT BPFによる性能改善、コネクションプールの再入問題やDNSリゾルバのリーク等多数のバグ修正が含まれる
原文

Backstage

CI/CD & App Delivery昨日2026年7月14日

Backstage v1.53.0は、SSE MCP transport削除、設定スキーマ型検証の厳格化、認証リダイレクトURI・CIMDの厳格化、OpenAPI検証ツールのOptic→oasdiff置き換えなど、複数の重大な破壊的変更を含むフィーチャーリリースです。Catalog entity page BUI migrationがアルファサポートされ、TechDocs・Scaffolder・catalog周辺のバグ修正、user settingsストレージ・Azure DevOps webhook・Redis・S3 PrivateLinkなどの機能追加が行われていますが、アップグレード前に設定・コードの互換性確認が必須です。

  • breakingSSE MCP transportの削除

    MCP actions backend with SSE transportを使用していた場合は、アップグレード前にHTTP streamableエンドポイントへの移行が必要です。

  • breakingconfig-loaderの型解決が厳格化

    TypeScript設定スキーマで宣言された型インポートが新しく検証されるようになりました。無効なインポートはスキーマ読み込みを失敗させます。既存の設定ファイルで未解決の型参照がないか確認してください。

  • breakingauth-backendのリダイレクトURI・CIMD検証が厳格化

    認証設定のワイルドカード処理が変更されました。ホスト・パス境界を跨ぐワイルドカード、プロトコル未指定のパターン、埋め込み認証情報を含むリダイレクトURIが無効とみなされるようになりました。auth-backendの設定を確認し、`http://localhost:*/*`のように明示的にプロトコルと範囲を指定してください。

  • breakingEntityContextMenuItemBlueprintの出力仕様変更

    EntityContextMenuItemBlueprintが、レンダリング済みMUI要素ではなくメニューアイテムデータを出力するよう変更されました。icon型がIconElementになっています。catalog依存コンポーネントのメニュー実装を確認してください。

  • breakingbootstrapEnvProxyAgentsとプロキシエージェント周辺の削除

    bootstrapEnvProxyAgentsとglobal-agent、undiciの依存関係が削除されました。Node環境でプロキシエージェント設定を行っている場合は、NODE_USE_ENV_PROXY環境変数の直接利用に切り替えてください。

  • breakingOpenAPI検証ツールがOpticからoasdiffに変更

    OpenAPI検証ツールが@useoptic/opticからoasdiffに置き換わりました。repo-tools内のOpenAPI破壊的変更検出を使用している場合は、新しいoasdiffの動作仕様を確認してください。

  • breakingOpenAPIスキーマコマンドとヘルパー関数の削除

    `package schema openapi init`、`repo schema openapi test`コマンドが削除されました。runtime検証は`@backstage/backend-openapi-utils/testUtils`の`wrapServer`で引き続き利用できます。deprecatedの`wrapInOpenApiTestServer`も削除されているため、移行スクリプトを確認してください。

主な変更 (7)
  • SSE MCP transportを削除。HTTP streamableエンドポイントへの移行が必要
  • config-loaderがTypeScriptスキーマの型インポートを検証・解決するよう厳格化。無効な型参照はスキーマ読み込み失敗
  • auth-backendのリダイレクトURI・CIMD検証を厳格化。ワイルドカード・プロトコル未指定・埋め込み認証情報が無効に。`http://localhost:*/*`のような明示的なパターンが必須
  • EntityContextMenuItemBlueprintが出力仕様を変更。MUI要素からメニューアイテムデータへ
  • bootstrapEnvProxyAgentsと関連依存関係(global-agent、undici)を削除。NODE_USE_ENV_PROXY環境変数を推奨
  • OpenAPI検証ツールをOpticからoasdiffに切り替え。package schema openapi init・repo schema openapi testコマンドも削除
  • TechDocs・Scaffolder・Catalogにおける複数のバグ修正(メタデータリクエストループ、型変換エラー、フィルター処理など)、BUI向けCatalog entity page migrationのアルファサポート、database-backed user settingsプラグインのデフォルト追加、Auth0・Azure DevOps webhook・Redis・S3 PrivateLinkの機能拡張
原文

CoreDNS

Kubernetes Core2026年7月10日

CoreDNS v1.14.5は保守リリースで、TLS標準設定への移行、DoQタイムアウト制限、forwardプラグイン設定処理の復帰といった動作変更を含みます。DoH/DoH3転送安全性の向上、dnstap・file・secondary・transferプラグインの堅牢性向上、複数プラグインにおけるパニック回避とデータレース修正が施されています。

  • breakingTLS標準設定をGoデフォルトに変更

    CoreDNS v1.14.5はGoのTLS標準設定に移行します。既存でカスタムTLS設定に依存する場合は、アップグレード前に設定を確認してください。

  • breakingDoQストリーム読み取りをタイムアウトで制限

    DoQストリーム読み取りがサーバー読み取りタイムアウトで制限されます。無限待機を想定した設定がある場合は、タイムアウト値を確認してください。

  • breakingforwardプラグイン空設定ファイル時の動作を復帰

    forwardプラグインが空の設定ファイルで継続するよう復帰しました。以前の動作に依存していた場合の互換性が回復します。

主な変更 (8)
  • TLS標準設定をGoのデフォルトに変更
  • DoQストリーム読み取りをサーバー読み取りタイムアウトで制限
  • forwardプラグインが空設定ファイルで継続するよう復帰
  • upstreamごとの読み取りタイムアウト設定をサポート
  • forwardプラグインがDoHに対応、dnstapのForwarder記述を改善
  • plugin/fileが負のCNAME応答でSOA権限を返却、wildcardが適切に処理される
  • plugin/hostsがwildcardに対応、plugin/secondaryがカタログゾーン解析と再ロード時のシャットダウン改善
  • plugin/transfer、plugin/dnstap、plugin/rewrite、plugin/localなど複数プラグインで接続管理、パニック回避、データレース修正
原文

SPIRE

Security2026年7月9日

SPIRE v1.15.2は、docker/dockerをmoby/mobyに移行してCVEを解決するセキュリティリリースであり、委譲型APIがadmin/downstreamエントリのJWT-SVID提供を廃止する動作変更を含みます。同時に、JWT-SVIDのJTIクレーム設定、レート制限、TLSメトリクスエンドポイント、データベース最適化など複数の機能改善とバグ修正を行いました。

  • securitydocker/dockerからmoby/mobyへの依存関係移行によるCVE解決

    moby/mobyへの移行により、docker/dockerの依存関係に含まれていた複数のCVEが解決されます。v1.15.2へ更新してください。

  • breaking委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止

    委譲型APIがadminおよびdownstream entriesに対するJWT-SVIDの提供を中止しました。委譲型APIを利用する環境では、この変更後の動作を確認してください。

主な変更 (8)
  • docker/dockerからmoby/mobyへの依存関係移行によるセキュリティ修正
  • 委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止
  • JWT-SVIDのJTIクレーム設定をentry単位で追加
  • agent WorkloadおよびEnvoy SDSの呼び出し元ごとのレート制限(実験的)
  • PrometheusメトリクスエンドポイントのTLSサポート(SPIRE SVID使用)
  • Post-Quantum暗号化ポリシーをバンドルエンドポイントとPrometheusサーバーに適用
  • 大規模デプロイメントでのデータベース負荷軽減(attestedノード一括取得、MySQLクエリ最適化)
  • その他バグ修正(azure_imds認証、CA journal永続化、イベントキャッシュ)などを含む
原文

TiKV

Storage & Data2026年7月9日

TiKV/TiDB v8.5.7は、max_ts不正更新のデフォルト拒否化やTiDB Lightning Webインターフェース削除など複数の破壊的変更を含む一方、CPU感知型ホットリージョンスケジューリングや部分インデックスなどの新機能、多数の性能改善とバグ修正を伴う節目のリリースです。TiKVサードパーティ依存の脆弱性修正も含まれるため、更新前に設定変更点の確認を推奨します。

  • securityTiKVの脆弱な依存パッケージを修正

    TiKVサードパーティ依存の脆弱性を修正し、TiKV 8.5系の互換性修正をアップストリームに合わせています。深刻度は中程度ですが、対象クラスタは更新を推奨します。

  • breakingmax_ts不正更新のデフォルト挙動が拒否に変更

    storage.max-ts.action-on-invalid-updateのデフォルト挙動が「ログのみ記録」から「拒否(エラー)」に変わりました。従来の挙動を維持したい場合は明示的にlogへ設定してください。

  • breakingTiDB Lightning Webインターフェースを削除

    TiDB LightningのWeb管理インターフェースが廃止されました。今後はtidb-lightning(実行)とtidb-lightning-ctl(チェックポイント/トラブルシュート)のCLIツールを使用してください。

  • breakingIndexMerge自動検討のfix control 52869がデフォルト有効に

    オプティマイザのfix control 52869がデフォルトで有効化され、代替インデックスが存在する場合にIndexMergeを自動的に検討するようになりました。既存クエリの実行計画が変わる可能性があるため、性能への影響を確認してください。

  • breakingNOT NULL列へのNULL挿入の検証を強化

    INSERT文でNOT NULL列に明示的にNULLを書き込む際の厳格な検証を行うtidb_enable_strict_not_null_check(デフォルトON)が導入されました。従来動作に依存するアプリケーションは挙動確認が必要です。

  • breakingバックグラウンドリソース制御メトリクスの集約方法が変更

    TiKVバックグラウンドのリソースグループがグローバルなレートリミッターに統合され、関連メトリクスがresource_groupラベルなしで集約されるようになりました。resource_group単位で監視しているダッシュボードやアラートは更新が必要です。

主な変更 (8)
  • セキュリティ: TiKV 8.5系のサードパーティ依存パッケージの脆弱性を修正(深刻度: 中)
  • 破壊的変更: storage.max-ts.action-on-invalid-updateのデフォルトが「ログのみ」から「拒否」に変更
  • 破壊的変更: TiDB Lightning Webインターフェースを削除、CLIツール(tidb-lightning/tidb-lightning-ctl)へ移行
  • 破壊的変更: オプティマイザfix control 52869がデフォルト有効化されIndexMergeの自動検討で実行計画が変わる可能性
  • 破壊的変更: NOT NULL列へのNULL挿入検証(tidb_enable_strict_not_null_check)とTiKVバックグラウンドリソース制御メトリクスの集約方法変更(resource_groupラベル廃止)
  • 新機能: CPU感知型ホットリージョンスケジューリング、部分インデックス(WHERE付きCREATE INDEX)、新TiCDCアーキテクチャのテーブルルーティング、max_user_connectionsによる接続数制限
  • 性能改善: TiKV統合リードプールの優先度スケジューリング改善、ディスクI/Oハング検知によるフェイルファスト、Go/Rustコンパイラ更新
  • バグ修正: TiKVのraft-engineメモリ増大やresolved_tsメモリ肥大、PDリソース制御のgoroutineリーク、BRログバックアップのハング、TiCDCのKafkaクライアントリークなど多数の修正、他にも軽微な修正が多数含まれる
原文

cert-manager

Security2026年7月8日

cert-manager v1.21.0は、RBACとHelm values構成に3件の破壊的変更を含むハードニングリリースで、うち1件はGHSA-8rvj-mm4h-c258のセキュリティ修正です。加えてARI対応やVaultのAWS IAM認証などの新機能、複数の重要なバグ修正も含まれます。

  • securitycert-manager-edit ClusterRoleの権限を縮小(GHSA-8rvj-mm4h-c258)

    cert-manager-editアグリゲートClusterRoleから、challenges.acme.cert-manager.ioのcreate権限とorders.acme.cert-manager.ioのcreate/patch/update権限が削除されました(GHSA-8rvj-mm4h-c258)。ChallengeやOrderを直接作成するツールがある場合は、必要な権限を個別のRBACで付与し直す必要があります。

  • breakingtokenrequest用デフォルトRBACを削除

    HelmチャートがserviceAccountRef.nameでコントローラー自身のServiceAccountを指すundocumentedな構成を使っていた場合、serviceaccounts/token: createを許可するデフォルトのRole/RoleBindingが削除されたため動作しなくなります。必要なら明示的にRole/RoleBindingを作成してください。

  • breakingPrometheus関連のHelm値を削除

    Helm値のprometheus.servicemonitor.targetPort、prometheus.servicemonitor.path、prometheus.podmonitor.pathが削除されました。これらをvaluesで上書きしている場合、アップグレード時にスキーマ検証エラーになります。values定義から削除してください。

主な変更 (8)
  • セキュリティ: cert-manager-edit ClusterRoleからChallenge/Orderの作成・更新権限を削除(GHSA-8rvj-mm4h-c258、HIGH)
  • 破壊的変更: tokenrequest用のデフォルトRole/RoleBindingを削除(serviceaccounts/token: create)
  • 破壊的変更: Prometheus用Helm値3項目(servicemonitor.targetPort/path、podmonitor.path)を削除、スキーマ検証エラーの可能性あり
  • 新機能: RFC 9773準拠のACME Renewal Information(ARI)対応、VaultのAWS IAM認証(IRSA/EKS Pod Identity)、Gateway API向けTLSリスナー制御アノテーション
  • 新機能: Certificate APIにrenewalPolicies追加、FIPS 140-3対応のModern2026 PKCS#12プロファイル追加
  • バグ修正: renewBeforePercentageの整数オーバーフロー、期限切れ証明書での再発行無限ループ、ACMEチャレンジの一時的エラーでの終端失敗を修正
  • 非推奨化: enableGatewayAPI/enableGatewayAPIListenerSetとServerSideApplyフィーチャーゲートを非推奨化(既存動作は継続)
  • その他: ベースイメージをDebian 13に更新、CAInjectorMergingをGA化、その他約6件の小規模な機能追加・修正
原文

Thanos

Observability2026年7月8日

Thanos v0.42.0は、gRPC authzのpathベース拒否ルールを回避できるCVSS 9.1の重大な認可バイパス脆弱性(CVE-2026-33186)を修正しつつ、ReceiveとStoreのフラグ削除やログフィールド改名といった複数の破壊的変更、TLS/暗号設定オプションの追加を含む混在型のリリースです。

  • security認可バイパスの脆弱性を修正(CVE-2026-33186)

    gRPC/authzインターセプターのpathベース拒否ルールが、細工した`:path`ヘッダーによって回避できる脆弱性(CVSS 9.1)。`thanos-community/grpc-go`フォークの更新で修正済み。gRPC authz認可に依存している構成では優先的にv0.42.0へ更新してください。

  • breakingReceiveの`--shipper.ignore-unequal-block-size`を削除

    TSDBはshipperによるアップロード完了までコンパクションを遅延させるようになり、データ損失なくアップロード中のコンパクションが可能になったため、このフラグは不要になりました。設定で使用している場合は削除してください。

  • breakingStoreの`--debug.advertise-compatibility-label`を削除

    デフォルトで`@thanos_compatibility_store_type=store`ラベルを広告しなくなり、v0.8.0より前のThanos Queryとの互換性が失われます。古いQueryと混在運用している場合は更新前に確認してください。

  • breakingQuery-Frontendのログフィールド名を変更

    Query-Frontendのログ出力で`time_taken`フィールドが`time_taken_ms`に変わりました。JSON出力をパースしているログ収集基盤やダッシュボードのフィールド名を更新してください。

主な変更 (8)
  • セキュリティ: gRPC authzのpathベース拒否ルールを回避できる認可バイパス脆弱性を修正(CVE-2026-33186、CVSS 9.1)
  • 破壊的変更: Receiveの`--shipper.ignore-unequal-block-size`とStoreの`--debug.advertise-compatibility-label`フラグを削除(旧Queryとの互換性に影響)
  • 破壊的変更: Query-Frontendのログフィールド`time_taken`を`time_taken_ms`に改名
  • 全gRPCサーバーにKeepaliveEnforcementPolicy(MinTime 10s)を設定
  • gRPCおよびRemote-write HTTPサーバー向けにTLS暗号スイート/曲線の設定フラグを追加、Queryでのエンドポイント単位TLS設定にも対応
  • Receive/Compact/Sidecarでos.Root APIによるファイルシステムアクセス制限を導入し、Receiveではテナントパス走査を防ぐ検証も追加
  • バグ修正多数: Query exemplarプロキシのラベル欠落、OTLP tracingのTLS設定無視、Query-FrontendのAnalyzesMergeパニック、Receive再起動時の503エラーなど
  • 運用上の推奨: gRPC圧縮利用時のQuerierメモリ増大を避けるため、ReceiveとStoreをQuerierより先に更新すること
原文

gRPC

Networking & Messaging2026年7月8日

gRPC v1.82.1はPython向けの依存関係を1件変更するだけのパッチリリースで、protobufの下限を6.33.5から7.35.1に引き上げています。古いprotobufに固定している環境では依存解決が壊れるため、更新前に手元のピン留めを確認してください。

  • breakingprotobuf下限が7.35.1に引き上げ

    protobufのバージョンを6.33.5未満に固定している環境では、依存解決が失敗します。requirements等のピン留めをprotobuf 7.35.1以降に更新してから本バージョンへ移行してください。

主な変更 (2)
  • Python版のprotobuf依存下限を6.33.5から7.35.1へ引き上げ
  • 本リリースの変更点はこの依存関係更新のみ
原文

Flux

CI/CD & App Delivery2026年7月7日

Flux v2.9.1は、post-build変数置換がFlux自身のCRDスキーマを破損させ得た不具合を修正するパッチリリースで、SOPSの.ini復号エラーとdry-run時のstrategic merge patchエラーの修正も含む。新規の破壊的変更や非推奨化、CVEの開示はない。

  • breakingpost-build変数置換によるFlux CRDスキーマ破損を修正

    事後ビルド変数置換(post-build substitution)を有効にしたKustomizationで、${...}形式の文字列がFlux自身のCRDスキーマ内のフィールドと一致する場合、CRDのスキーマが書き換えられて壊れる不具合があった。v2.9.1ではFlux CRDに`kustomize.toolkit.fluxcd.io/substitute: disabled`アノテーションを付与し、置換対象から除外することで修正している。該当する構成を使っている場合はv2.9.1へ更新を。

主な変更 (3)
  • post-build変数置換がFlux自身のCRDスキーマを書き換えて破損させる不具合を修正。CRDに`substitute: disabled`アノテーションを付与して対象外に
  • SOPSによる.ini形式ファイルの復号処理の不具合を修正
  • dry-run時のstrategic merge patchでエラーが発生する問題を修正
原文

Harbor

Storage & Data2026年7月2日

Harbor v2.15.2は、2.15.0の修正群とセキュリティ強化をバックポートしたメンテナンスパッチです。blob-mountトークン検証の強化とcrypto/SMTP周りの整理に加え、キャッシュバックエンドをRedisからValkeyに置き換え、Angular/Clarityアップグレードに伴う多数のUI修正も含みます。

  • securityblob-mountトークン検証の強化

    blob-mount実行時に、ソースプロジェクトの検証とiatクレームを持たないトークンの拒否が追加されました。トークン検証の抜け穴を突いた不正なblobマウントを防ぐ修正です。v2.15.2への更新を推奨します。

  • securitycrypto実装の強化とSMTPパッケージ削除

    暗号処理の実装が見直され、使われていないSMTPパッケージが削除されました。深刻度は低めですが、攻撃面の縮小につながる修正です。

  • breakingキャッシュバックエンドをRedisからValkeyへ変更

    キャッシュバックエンドがRedisからValkeyに置き換わりました。デプロイ構成やコンテナイメージでRedisを直接参照している場合は、Valkeyへの切り替えを確認してください。

  • breakingYAMLライブラリの置き換え

    YAML処理ライブラリがgopkg.in/yaml.v2からgithub.com/goccy/go-yamlに置き換わりました。カスタムビルドやフォークでこの依存に直接触れている場合は影響を確認してください。

  • breakingregistryソースタグを安定版v2.8.3-harbor.1に変更

    registryコンポーネントの参照がrc.5からv2.8.3-harbor.1の安定タグに変更されました。ビルドパイプラインでバージョン文字列を固定参照している場合は更新が必要です。

主な変更 (6)
  • セキュリティ: blob-mountトークン検証を強化(ソースプロジェクト検証、iat欠落トークンの拒否、深刻度medium)
  • セキュリティ: crypto利用の見直しと未使用SMTPパッケージの削除(深刻度low)
  • キャッシュバックエンドをRedisからValkeyに置き換え
  • 依存関係: yaml.v2をgoccy/go-yamlへ、registryをv2.8.3-harbor.1安定タグへ変更
  • Harbor UIをAngular 21・Clarity v18・Node.js v22へアップグレードし、チェックボックスやダークテーマ、i18nなど多数のUI/UX不具合を修正
  • その他: repositoryのupdate_time不更新の修正、Cosign検証でtlogを無視する調整、photonベースイメージの再構築とビルドシステムの安定化など細かな修正多数
原文

Prometheus

Observability2026年7月1日

Prometheus v3.13.0はLTSリリースで、HIGH深刻度の認証情報転送の脆弱性(CVE-2025-4673CVE-2023-45289)とMEDIUM深刻度のXSS(CVE-2026-44990)への対応を筆頭に、ページネーショントークン、パス解決、PromQL期間関数名、ライセンスファイル配布の4つの破壊的変更、さらに多数の新機能とパフォーマンス改善を含みます。

  • securityHIGH: クロスホストリダイレクト時に認証情報が転送されなくなった

    リダイレクト先のホストが異なる場合、Authorizationヘッダー・Basic認証・Bearerトークン・OAuth2・カスタムヘッダーなどの認証情報が転送されなくなりました。スクレイプ・リモートread/write・アラート送信・サービスディスカバリのいずれも対象です。CVE-2025-4673とCVE-2023-45289として追跡されており、prometheus/commonのv0.68.xからv0.69.0への更新が起因です。クロスホストリダイレクトに依存するエンドポイントがあれば、認証情報がサイレントに落ちることを確認してください。

  • securityMEDIUM: UI依存ライブラリのXSS修正(CVE-2026-44990)

    UIのsanitize-htmlライブラリにXSS脆弱性(CVE-2026-44990)が存在していたため、バージョンを更新して修正しました。設定変更は不要で、v3.13.0へのアップグレードで対処されます。

  • breakingページネーショントークンのアルゴリズムがSHA-1からSHA-256に変更

    ルールグループのページネーショントークン生成がSHA-1からSHA-256に変わりました。旧バージョンで取得したトークンを保持・比較しているクライアントやツールは、アップグレード後に値が変わります。

  • breaking--http.config.fileの相対パス解決先が変更

    --http.config.fileに渡すファイル内の相対パスが、親ディレクトリではなくそのconfigファイル自身のディレクトリを基準に解決されるようになりました。相対パスを使っている場合は、アップグレード後にパスが正しく解決されるか確認してください。

  • breaking期間表現関数min()/max()がmin_of()/max_of()に改名

    experimental-duration-exprフィーチャーフラグを有効にしている場合、PromQLの期間表現関数min()とmax()がmin_of()とmax_of()に改名されました。これらを使用しているクエリやルールを更新してください。

  • breakingnpm_licenses.tar.bz2を廃止、ライセンスは/assets/third-party-licenses.txtへ移行

    リリースtarballおよびコンテナイメージからnpm_licenses.tar.bz2が削除されました。サードパーティnpmライセンス情報はバイナリに埋め込まれ、/assets/third-party-licenses.txtで提供されます。このアーカイブを展開している自動化処理があれば修正が必要です。

主な変更 (8)
  • HIGH深刻度: クロスホストリダイレクト時の認証情報転送を停止、CVE-2025-4673・CVE-2023-45289に対応(prometheus/common v0.69.0へ更新)
  • MEDIUM深刻度: sanitize-htmlを更新してUIのXSS脆弱性CVE-2026-44990を修正
  • 破壊的変更: ルールグループのページネーショントークンがSHA-256に変わり、旧トークンとの互換性なし
  • 破壊的変更: --http.config.fileの相対パスが親ディレクトリでなくconfigファイルのディレクトリ基準に変更
  • 破壊的変更: 期間表現関数min()/max()がmin_of()/max_of()に改名(experimental-duration-exprフラグ使用時のみ)
  • 破壊的変更: npm_licenses.tar.bz2をtarball/イメージから削除、バイナリ内の/assets/third-party-licenses.txtで提供
  • 新機能: メトリクス名・ラベル名・ラベル値の実験的APIサーチエンドポイント追加、AWS RDSフィルタリング、Scaleway VPC/IPAM対応、ネイティブヒストグラムのsmoothed/anchored rate、クエリ単位のsamplesRead統計、Azure Monitor Workspace証明書対応、ghcr.ioへのイメージ公開
  • パフォーマンス: 大文字小文字を区別しない前置マッチ最大約2倍高速化、チャンク書き込みのサンプル単位オーバーヘッド約12-15%削減、V2ヒストグラムWALデコーダのアロケーション最大50%削減(created-timestamp有効時はメモリ最大10%減); PromQLパニックおよびTSDB破損の複数修正も含む
原文

Longhorn

Storage & Data2026年7月1日

Longhorn v1.11.3は、ボリューム操作・バックアップ・インスタンス管理にまたがる十数件の安定性問題を修正するバグフィックスロールアップです。CSI external provisionerがv6.3.0へ更新されたため、v1.10.xまたはv1.11.0からアップグレードする場合はKubernetes v1.34以降が前提条件となります。

  • breakingv1.10.xまたはv1.11.0からのアップグレード時にKubernetes v1.34+が必要

    CSI external provisionerがv6.3.0に更新されたため、Longhorn v1.10.xまたはv1.11.0からアップグレードする場合はKubernetes v1.34以降が必要です。クラスタのKubernetesバージョンを先にv1.34+へ更新してからLonghornをアップグレードしてください。

主な変更 (7)
  • CSI external provisionerをv6.3.0に更新: v1.10.xまたはv1.11.0からアップグレードする前にKubernetes v1.34+が必要
  • iscsidの再起動によりV1ボリュームが操作不能になる問題(PVCリサイズ失敗を含む)を修正
  • レプリカリビルド中にlonghorn-instance-managerがnilポインタ参照パニックを起こす問題を修正
  • 定期trimジョブが失敗するデッドロック、およびボリューム拡張が停止する問題をそれぞれ修正
  • ターゲットノードがready状態へ移行中にマイグレーションエンジンが削除される問題を修正
  • NetAppアプライアンスへのS3バックアップ失敗、およびSystem Backup RecurringJobが最新CRを誤って削除する問題を修正
  • バックアップ削除時のBackupControllerパニック、サポートバンドルとWebhookポーリングのHTTPレスポンスボディリーク、スケール時のwebhook TLS Secretへの競合を修正
原文
月別に見る