RATATOSKRATATOSK
ログイン

リリース

CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。

2026年7月解除 ×

Envoy

Networking & Messaging昨日2026年7月14日

Envoy v1.39.0は、keyUsage強制の必須化、DLBバランサーの無効化、TLS inspectorの検証強化、OTelサンプリング挙動の変更といった複数の破壊的変更と、HTTP/2、HTTP/3、ext_authz、ext_proc、OAuth2、DNSなど多岐にわたる約20件のmedium評価CVE修正をまとめた大型リリースです。dynamic modulesの拡張ポイントやAI向けストリーミングJSONパーサーなど、非アクション項目の機能・性能改善も多数含まれます。

  • securityコアプロトコルと拡張機能にわたる広範なCVE修正

    本リリースではHTTP/2、HTTP/3、ext_authz、ext_proc、gRPC stats、内部リダイレクト、OAuth2、DNS、JSONパース、PROXYプロトコル、フォーマッタ、StatsD、TLS SAN処理、Zstd展開にわたる約20件のCVEが修正されており、いずれもリリースノート上ではmedium評価です。主なものはHTTP/2のcookieによるヘッダー上限回避(CVE-2026-47774)、HTTP/3のQPACKブロッキング復号DoS(GHSA-p7c7-7c47-pwch)、Zstd展開時のメモリ枯渇(CVE-2026-48044)です。修正はv1.39.0に含まれます。

  • securityOAuth2のcookie暗号化がAES-256-GCMへ移行(オプトイン)

    OAuth2はCVE-2026-47775対策としてAES-256-GCMによるcookie暗号化を追加しました。移行はオプトイン方式で、oauth2_use_gcm_encryptionを有効化し、oauth_legacy_cbc_decryptメトリクスを監視した後、レガシー復号が観測されなくなった時点でoauth2_legacy_cbc_decrypt_compatを無効化する手順です。

  • breaking証明書keyUsageの強制が必須化

    Envoyは証明書のkeyUsage拡張を常に強制するようになり、enforce_rsa_key_usageフィールドは非推奨となり無視されます。v1.39.0では無条件に適用されるため、これまで緩い検証に依存していた証明書は検証に失敗する可能性があります。

  • breakingDLBコネクションバランサーが全ビルドで無効化

    Intel DLBコネクションバランサー(envoy.network.connection_balance.dlb)は、ソースアーカイブの破損を理由に全ビルドで無効化されました。この拡張を設定している環境が対象です。

  • breakingTLS inspectorが範囲外のクライアントTLSバージョンを拒否

    TLS inspectorはクライアントのTLSバージョンがTLS 1.0からTLS 1.3の範囲内であることを検証し、範囲外を拒否するようになりました。v1.39.0では無条件で有効ですが、envoy.reloadable_features.tls_inspector_enforce_client_tls_versionで元の挙動に戻せます。

  • breakingOTelトレーシングがEnvoy自身のサンプリング判断を優先

    OpenTelemetryトレーサーは、伝播されたトレースコンテキストや設定済みサンプラーがサンプリングを要求している場合でも、overall_samplingを含むEnvoy自身のリクエスト単位のサンプリング判断を優先するようになりました。ダウンストリームやコンテキストによるサンプリング判断がEnvoyの設定より優先されることに依存している環境が対象で、エクスポートされるスパン数が減る可能性があります。

主な変更 (8)
  • HTTP/2、HTTP/3、ext_authz、ext_proc、gRPC stats、内部リダイレクト、OAuth2、DNS、JSONパース、PROXYプロトコル、フォーマッタ、StatsD、TLS SAN処理、Zstd展開にわたる約20件のmedium評価CVE修正。主なものはCVE-2026-47774(HTTP/2 cookieヘッダー上限回避)、GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS)、CVE-2026-48044(Zstdメモリ枯渇)
  • OAuth2にAES-256-GCMによるcookie暗号化を追加(CVE-2026-47775)。レガシーCBC復号からのオプトイン段階移行が可能
  • 証明書keyUsage強制が必須化(enforce_rsa_key_usageは非推奨)。TLS inspectorはクライアントTLSバージョンが1.0〜1.3の範囲外だと拒否
  • Intel DLBコネクションバランサー拡張がソースアーカイブ破損により全ビルドで無効化
  • OpenTelemetryトレーサーがEnvoy自身のサンプリング判断(overall_sampling含む)を優先するようになり、エクスポートされるスパン数が減少する可能性
  • 統合DNSクラスタ実装がデフォルトで有効化され、c-aresリゾルバとqcacheをクラスタ間で共有可能に
  • HeaderMatcherが個別に指定されたヘッダー値をカンマ結合形式だけでなく個別にマッチするよう変更(フィーチャーゲートで元に戻せる)
  • 非アクション項目としては、dynamic modulesの拡張ポイントとRust SDK、MCP/A2A/OpenAI/Anthropic向けの新しいWuffsベースのストリーミングJSONパーサー、帯域共有・サブフィルタチェーン用の新HTTPフィルタ、CNSA/ポスト量子TLSポリシー、io_uringやSO_REUSEPORT BPFによる性能改善、コネクションプールの再入問題やDNSリゾルバのリーク等多数のバグ修正が含まれる
原文

Kyverno

Security2026年7月10日

Kyverno v1.18.2はジェネレータポリシーのnamespace境界強制の脆弱性(GHSA-79gf-7frw-68m9)を修正するセキュリティパッチです。セキュリティ依存関係の更新と複数の重要なバグ修正を含みます。

  • securityジェネレータポリシーのnamespace境界強制を修正

    Kyvernoジェネレータポリシーにおいて、namespace境界の強制が不十分だったため、ポリシー作成権限を持つユーザーが他のnamespace内のリソースを生成できていました。v1.18.2へ更新してください。

  • securityセキュリティ依存関係の更新

    セキュリティ関連の依存関係が更新されました。v1.18.2へのアップグレードで適用されます。

主な変更 (5)
  • ジェネレータ・マネージドポリシーのnamespace境界強制を修正(GHSA-79gf-7frw-68m9)
  • セキュリティ依存関係を更新
  • バックグラウンドレポートが410レスポンス時の動的ウォッチャー再起動を修正
  • 必須検証ポリシーがイメージマッチ失敗時に適切にエラーハンドリングするよう改善
  • Kyverno CLIが単一--crd-pathファイル内で複数のCRDをサポート
原文

SPIRE

Security2026年7月9日

SPIRE v1.15.2は、docker/dockerをmoby/mobyに移行してCVEを解決するセキュリティリリースであり、委譲型APIがadmin/downstreamエントリのJWT-SVID提供を廃止する動作変更を含みます。同時に、JWT-SVIDのJTIクレーム設定、レート制限、TLSメトリクスエンドポイント、データベース最適化など複数の機能改善とバグ修正を行いました。

  • securitydocker/dockerからmoby/mobyへの依存関係移行によるCVE解決

    moby/mobyへの移行により、docker/dockerの依存関係に含まれていた複数のCVEが解決されます。v1.15.2へ更新してください。

  • breaking委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止

    委譲型APIがadminおよびdownstream entriesに対するJWT-SVIDの提供を中止しました。委譲型APIを利用する環境では、この変更後の動作を確認してください。

主な変更 (8)
  • docker/dockerからmoby/mobyへの依存関係移行によるセキュリティ修正
  • 委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止
  • JWT-SVIDのJTIクレーム設定をentry単位で追加
  • agent WorkloadおよびEnvoy SDSの呼び出し元ごとのレート制限(実験的)
  • PrometheusメトリクスエンドポイントのTLSサポート(SPIRE SVID使用)
  • Post-Quantum暗号化ポリシーをバンドルエンドポイントとPrometheusサーバーに適用
  • 大規模デプロイメントでのデータベース負荷軽減(attestedノード一括取得、MySQLクエリ最適化)
  • その他バグ修正(azure_imds認証、CA journal永続化、イベントキャッシュ)などを含む
原文

Flatcar Container Linux

Provisioning & Runtime2026年7月9日

Flatcar Container Linux stable-4593.2.4は、Linuxカーネルを6.12.95に更新して130件超のCVEをまとめて修正するセキュリティパッチです。ca-certificatesのルーチン更新を除き、挙動やバグ修正の変更点は報告されていません。

  • securityLinuxカーネルの大規模CVE一括修正(130件超)

    カーネルを6.12.95に更新し、CVE-2026-46242CVE-2026-53332を含む130件超のLinux kernel CVEを修正しています。個々の重大度はNVD側で未確定のものが多いものの、件数の多さから優先度の高い更新として扱い、早期にstable-4593.2.4へ更新してください。

主な変更 (3)
  • Linuxカーネルを6.12.95に更新し、CVE-2026-46242、CVE-2026-53332、CVE-2026-53356CVE-2026-53329など130件超のCVEを修正
  • ca-certificatesを3.125に更新(ルーチンのバンドル更新)
  • 本リリースにバグ修正や動作変更の報告はなく、カーネルセキュリティ更新が中心
原文

Flatcar Container Linux

Provisioning & Runtime2026年7月9日

Flatcar Container Linux lts-4081.3.9は、Linuxカーネル6.6.144経由で152個のセキュリティ修正を統合したセキュリティパッチリリースです。

  • securityLinux kernel 6.6.144で152個のCVEを修正

    Linuxカーネル6.6.144へのアップデートにより、152個のセキュリティ修正がまとめて適用されます。CVE-2026-46242CVE-2026-53357CVE-2026-52941など複数の高深刻度脆弱性が含まれています。lts-4081.3.9へ更新してください。

主な変更 (2)
  • Linuxカーネルを6.6.144に更新、152個のセキュリティ修正(CVE-2026-46242、CVE-2026-53357、CVE-2026-52941ほか)
  • ca-certificatesを3.125に更新
原文

TiKV

Storage & Data2026年7月9日

TiKV/TiDB v8.5.7は、max_ts不正更新のデフォルト拒否化やTiDB Lightning Webインターフェース削除など複数の破壊的変更を含む一方、CPU感知型ホットリージョンスケジューリングや部分インデックスなどの新機能、多数の性能改善とバグ修正を伴う節目のリリースです。TiKVサードパーティ依存の脆弱性修正も含まれるため、更新前に設定変更点の確認を推奨します。

  • securityTiKVの脆弱な依存パッケージを修正

    TiKVサードパーティ依存の脆弱性を修正し、TiKV 8.5系の互換性修正をアップストリームに合わせています。深刻度は中程度ですが、対象クラスタは更新を推奨します。

  • breakingmax_ts不正更新のデフォルト挙動が拒否に変更

    storage.max-ts.action-on-invalid-updateのデフォルト挙動が「ログのみ記録」から「拒否(エラー)」に変わりました。従来の挙動を維持したい場合は明示的にlogへ設定してください。

  • breakingTiDB Lightning Webインターフェースを削除

    TiDB LightningのWeb管理インターフェースが廃止されました。今後はtidb-lightning(実行)とtidb-lightning-ctl(チェックポイント/トラブルシュート)のCLIツールを使用してください。

  • breakingIndexMerge自動検討のfix control 52869がデフォルト有効に

    オプティマイザのfix control 52869がデフォルトで有効化され、代替インデックスが存在する場合にIndexMergeを自動的に検討するようになりました。既存クエリの実行計画が変わる可能性があるため、性能への影響を確認してください。

  • breakingNOT NULL列へのNULL挿入の検証を強化

    INSERT文でNOT NULL列に明示的にNULLを書き込む際の厳格な検証を行うtidb_enable_strict_not_null_check(デフォルトON)が導入されました。従来動作に依存するアプリケーションは挙動確認が必要です。

  • breakingバックグラウンドリソース制御メトリクスの集約方法が変更

    TiKVバックグラウンドのリソースグループがグローバルなレートリミッターに統合され、関連メトリクスがresource_groupラベルなしで集約されるようになりました。resource_group単位で監視しているダッシュボードやアラートは更新が必要です。

主な変更 (8)
  • セキュリティ: TiKV 8.5系のサードパーティ依存パッケージの脆弱性を修正(深刻度: 中)
  • 破壊的変更: storage.max-ts.action-on-invalid-updateのデフォルトが「ログのみ」から「拒否」に変更
  • 破壊的変更: TiDB Lightning Webインターフェースを削除、CLIツール(tidb-lightning/tidb-lightning-ctl)へ移行
  • 破壊的変更: オプティマイザfix control 52869がデフォルト有効化されIndexMergeの自動検討で実行計画が変わる可能性
  • 破壊的変更: NOT NULL列へのNULL挿入検証(tidb_enable_strict_not_null_check)とTiKVバックグラウンドリソース制御メトリクスの集約方法変更(resource_groupラベル廃止)
  • 新機能: CPU感知型ホットリージョンスケジューリング、部分インデックス(WHERE付きCREATE INDEX)、新TiCDCアーキテクチャのテーブルルーティング、max_user_connectionsによる接続数制限
  • 性能改善: TiKV統合リードプールの優先度スケジューリング改善、ディスクI/Oハング検知によるフェイルファスト、Go/Rustコンパイラ更新
  • バグ修正: TiKVのraft-engineメモリ増大やresolved_tsメモリ肥大、PDリソース制御のgoroutineリーク、BRログバックアップのハング、TiCDCのKafkaクライアントリークなど多数の修正、他にも軽微な修正が多数含まれる
原文

cert-manager

Security2026年7月8日

cert-manager v1.21.0は、RBACとHelm values構成に3件の破壊的変更を含むハードニングリリースで、うち1件はGHSA-8rvj-mm4h-c258のセキュリティ修正です。加えてARI対応やVaultのAWS IAM認証などの新機能、複数の重要なバグ修正も含まれます。

  • securitycert-manager-edit ClusterRoleの権限を縮小(GHSA-8rvj-mm4h-c258)

    cert-manager-editアグリゲートClusterRoleから、challenges.acme.cert-manager.ioのcreate権限とorders.acme.cert-manager.ioのcreate/patch/update権限が削除されました(GHSA-8rvj-mm4h-c258)。ChallengeやOrderを直接作成するツールがある場合は、必要な権限を個別のRBACで付与し直す必要があります。

  • breakingtokenrequest用デフォルトRBACを削除

    HelmチャートがserviceAccountRef.nameでコントローラー自身のServiceAccountを指すundocumentedな構成を使っていた場合、serviceaccounts/token: createを許可するデフォルトのRole/RoleBindingが削除されたため動作しなくなります。必要なら明示的にRole/RoleBindingを作成してください。

  • breakingPrometheus関連のHelm値を削除

    Helm値のprometheus.servicemonitor.targetPort、prometheus.servicemonitor.path、prometheus.podmonitor.pathが削除されました。これらをvaluesで上書きしている場合、アップグレード時にスキーマ検証エラーになります。values定義から削除してください。

主な変更 (8)
  • セキュリティ: cert-manager-edit ClusterRoleからChallenge/Orderの作成・更新権限を削除(GHSA-8rvj-mm4h-c258、HIGH)
  • 破壊的変更: tokenrequest用のデフォルトRole/RoleBindingを削除(serviceaccounts/token: create)
  • 破壊的変更: Prometheus用Helm値3項目(servicemonitor.targetPort/path、podmonitor.path)を削除、スキーマ検証エラーの可能性あり
  • 新機能: RFC 9773準拠のACME Renewal Information(ARI)対応、VaultのAWS IAM認証(IRSA/EKS Pod Identity)、Gateway API向けTLSリスナー制御アノテーション
  • 新機能: Certificate APIにrenewalPolicies追加、FIPS 140-3対応のModern2026 PKCS#12プロファイル追加
  • バグ修正: renewBeforePercentageの整数オーバーフロー、期限切れ証明書での再発行無限ループ、ACMEチャレンジの一時的エラーでの終端失敗を修正
  • 非推奨化: enableGatewayAPI/enableGatewayAPIListenerSetとServerSideApplyフィーチャーゲートを非推奨化(既存動作は継続)
  • その他: ベースイメージをDebian 13に更新、CAInjectorMergingをGA化、その他約6件の小規模な機能追加・修正
原文

etcd

Kubernetes Core2026年7月8日

etcd v3.7.0は、--listen-client-http-urlsを設定している場合にgRPCリスナーでCRLが適用されなくなる脆弱性(GHSA-3wh4-j44w-pg92、HIGH)を修正するセキュリティリリースです。該当フラグを使用しているクラスタでは速やかに更新してください。

  • securitygRPCリスナーのCRL検証迂回を修正(GHSA-3wh4-j44w-pg92)

    --listen-client-http-urlsを設定している環境では、gRPCリスナーでCRL(証明書失効リスト)の検証が迂回される脆弱性(GHSA-3wh4-j44w-pg92、HIGH)が存在します。v3.7.0へ更新してください。

主な変更 (1)
  • セキュリティ: --listen-client-http-urls使用時のgRPCリスナーにおけるCRL検証迂回を修正(GHSA-3wh4-j44w-pg92、HIGH)
原文

Thanos

Observability2026年7月8日

Thanos v0.42.0は、gRPC authzのpathベース拒否ルールを回避できるCVSS 9.1の重大な認可バイパス脆弱性(CVE-2026-33186)を修正しつつ、ReceiveとStoreのフラグ削除やログフィールド改名といった複数の破壊的変更、TLS/暗号設定オプションの追加を含む混在型のリリースです。

  • security認可バイパスの脆弱性を修正(CVE-2026-33186)

    gRPC/authzインターセプターのpathベース拒否ルールが、細工した`:path`ヘッダーによって回避できる脆弱性(CVSS 9.1)。`thanos-community/grpc-go`フォークの更新で修正済み。gRPC authz認可に依存している構成では優先的にv0.42.0へ更新してください。

  • breakingReceiveの`--shipper.ignore-unequal-block-size`を削除

    TSDBはshipperによるアップロード完了までコンパクションを遅延させるようになり、データ損失なくアップロード中のコンパクションが可能になったため、このフラグは不要になりました。設定で使用している場合は削除してください。

  • breakingStoreの`--debug.advertise-compatibility-label`を削除

    デフォルトで`@thanos_compatibility_store_type=store`ラベルを広告しなくなり、v0.8.0より前のThanos Queryとの互換性が失われます。古いQueryと混在運用している場合は更新前に確認してください。

  • breakingQuery-Frontendのログフィールド名を変更

    Query-Frontendのログ出力で`time_taken`フィールドが`time_taken_ms`に変わりました。JSON出力をパースしているログ収集基盤やダッシュボードのフィールド名を更新してください。

主な変更 (8)
  • セキュリティ: gRPC authzのpathベース拒否ルールを回避できる認可バイパス脆弱性を修正(CVE-2026-33186、CVSS 9.1)
  • 破壊的変更: Receiveの`--shipper.ignore-unequal-block-size`とStoreの`--debug.advertise-compatibility-label`フラグを削除(旧Queryとの互換性に影響)
  • 破壊的変更: Query-Frontendのログフィールド`time_taken`を`time_taken_ms`に改名
  • 全gRPCサーバーにKeepaliveEnforcementPolicy(MinTime 10s)を設定
  • gRPCおよびRemote-write HTTPサーバー向けにTLS暗号スイート/曲線の設定フラグを追加、Queryでのエンドポイント単位TLS設定にも対応
  • Receive/Compact/Sidecarでos.Root APIによるファイルシステムアクセス制限を導入し、Receiveではテナントパス走査を防ぐ検証も追加
  • バグ修正多数: Query exemplarプロキシのラベル欠落、OTLP tracingのTLS設定無視、Query-FrontendのAnalyzesMergeパニック、Receive再起動時の503エラーなど
  • 運用上の推奨: gRPC圧縮利用時のQuerierメモリ増大を避けるため、ReceiveとStoreをQuerierより先に更新すること
原文

Tekton

CI/CD & App Delivery2026年7月8日

Tekton v1.6.5はGoツールチェーンを1.25.10に更新する定期的なセキュリティパッチです。破壊的変更や新機能はありません。

  • securityGo 1.25.10へのセキュリティアップデート

    Tekton v1.6.5はGoツールチェーンを1.25.10に更新し、複数のCVEを修復します。本番環境で稼働中の場合は速やかに更新してください。

主な変更 (1)
  • Goを1.25.10に更新してCVEを修復
原文

Tekton

CI/CD & App Delivery2026年7月8日

Tekton v1.9.6はセキュリティ重点のパッチリリースで、Go およびgolang.org/x/cryptoとgolang.org/x/netを更新してCVE脆弱性を修正します。併せてkodata LICENSEシンボリックリンクの実ファイル化を行いました。

  • securityGo およびクリプト・ネットライブラリのCVE修正

    CVE対策としてGoを1.25.10に、golang.org/x/cryptoをv0.52.0に、golang.org/x/netをv0.55.0に更新しました。これらの依存ライブラリの脆弱性を修正するため、v1.9.6へのアップグレードを推奨します。

主な変更 (2)
  • セキュリティ: Go 1.25.10、golang.org/x/crypto v0.52.0、golang.org/x/net v0.55.0へ更新(CVE対策)
  • ビルド衛生: kodata LICENSEシンボリックリンクを実ファイルに置き換え
原文

Rook

Storage & Data2026年7月7日

Rook v1.20.2はバグ修正と小さな改善を中心としたルーチンパッチで、mgrのNetworkPolicyをingress限定に強化した点が唯一の運用者向けの変更点です。Cephをv20.2.2に、ceph-csi-operatorをv1.0.4に更新した以外、破壊的変更やCVE修正はありません。

  • securitymgr NetworkPolicyをingress限定に強化

    mgrのNetworkPolicyがingressのみに制限されました。運用中に独自のNetworkPolicyでmgrへのegress通信を許可している場合、更新後に接続性を確認してください。

主な変更 (7)
  • mgrのNetworkPolicyをingressのみに制限し、セキュリティを強化
  • Cephをv20.2.2に、ceph-csi-operatorをv1.0.4に更新
  • node watcherがラベル/アノテーション変更時に再同期するよう改善、初期キャッシュ同期中はスキップして無駄な再調整を回避
  • 外部クラスタでのVolumeAttachment削除漏れやconfig改行不足など、複数の細かなバグを修正
  • floating monの再スケジュール時間を短縮しフェイルオーバーを高速化
  • OSDのraw activateフォールバックでrbdデバイスを誤って走査しないよう修正
  • その他: URLセーフなrealmアクセスキー生成、NetworkPolicyのサンプルCR追加、Ceph警告をミュートするAPIの追加
原文

Harbor

Storage & Data2026年7月2日

Harbor v2.15.2は、2.15.0の修正群とセキュリティ強化をバックポートしたメンテナンスパッチです。blob-mountトークン検証の強化とcrypto/SMTP周りの整理に加え、キャッシュバックエンドをRedisからValkeyに置き換え、Angular/Clarityアップグレードに伴う多数のUI修正も含みます。

  • securityblob-mountトークン検証の強化

    blob-mount実行時に、ソースプロジェクトの検証とiatクレームを持たないトークンの拒否が追加されました。トークン検証の抜け穴を突いた不正なblobマウントを防ぐ修正です。v2.15.2への更新を推奨します。

  • securitycrypto実装の強化とSMTPパッケージ削除

    暗号処理の実装が見直され、使われていないSMTPパッケージが削除されました。深刻度は低めですが、攻撃面の縮小につながる修正です。

  • breakingキャッシュバックエンドをRedisからValkeyへ変更

    キャッシュバックエンドがRedisからValkeyに置き換わりました。デプロイ構成やコンテナイメージでRedisを直接参照している場合は、Valkeyへの切り替えを確認してください。

  • breakingYAMLライブラリの置き換え

    YAML処理ライブラリがgopkg.in/yaml.v2からgithub.com/goccy/go-yamlに置き換わりました。カスタムビルドやフォークでこの依存に直接触れている場合は影響を確認してください。

  • breakingregistryソースタグを安定版v2.8.3-harbor.1に変更

    registryコンポーネントの参照がrc.5からv2.8.3-harbor.1の安定タグに変更されました。ビルドパイプラインでバージョン文字列を固定参照している場合は更新が必要です。

主な変更 (6)
  • セキュリティ: blob-mountトークン検証を強化(ソースプロジェクト検証、iat欠落トークンの拒否、深刻度medium)
  • セキュリティ: crypto利用の見直しと未使用SMTPパッケージの削除(深刻度low)
  • キャッシュバックエンドをRedisからValkeyに置き換え
  • 依存関係: yaml.v2をgoccy/go-yamlへ、registryをv2.8.3-harbor.1安定タグへ変更
  • Harbor UIをAngular 21・Clarity v18・Node.js v22へアップグレードし、チェックボックスやダークテーマ、i18nなど多数のUI/UX不具合を修正
  • その他: repositoryのupdate_time不更新の修正、Cosign検証でtlogを無視する調整、photonベースイメージの再構築とビルドシステムの安定化など細かな修正多数
原文

etcd

Kubernetes Core2026年7月1日

etcd v3.6.13は、--listen-client-http-urlsを設定しているクラスタのgRPCリスナーでCRL検証がバイパスされるHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティパッチです。WebSocketのbearerトークン認証の修正と、v2-deprecationフラグへのオプション追加も含まれます。

  • securitygRPCリスナーのCRL検証バイパス(GHSA-3wh4-j44w-pg92)を修正

    --listen-client-http-urlsを設定しているクラスタでは、gRPCリスナーで証明書失効リスト(CRL)の検証がスキップされており、失効済みのクライアント証明書でも認証が通ってしまいます。v3.6.13へ更新してください。

主な変更 (3)
  • セキュリティ(HIGH): --listen-client-http-urls設定時のgRPCリスナーにおけるCRL検証バイパスを修正(GHSA-3wh4-j44w-pg92)
  • バグ修正: bearer-プレフィックス付きトークンを使うWebSocket認証の誤動作を解消
  • 機能追加: --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを省略可能に
原文

etcd

Kubernetes Core2026年7月1日

etcd v3.5.32は、--listen-client-http-urlsを設定した際にgRPCリスナーでCRLが適用されなかったHIGH深刻度の脆弱性(GHSA-3wh4-j44w-pg92)を修正するセキュリティリリースです。v2-deprecationのバイパスオプション追加やいくつかのバグ修正も含まれます。

  • securitygRPCリスナーのCRL適用バイパス(GHSA-3wh4-j44w-pg92)

    --listen-client-http-urlsを設定している場合、gRPCリスナーでCRLが適用されず、失効した証明書が受け入れられる状態でした。mTLSと証明書失効リストを併用している環境では、v3.5.32へ更新してください。

主な変更 (6)
  • セキュリティ(HIGH): --listen-client-http-urls設定時にgRPCリスナーでCRL検証が行われなかった問題を修正(GHSA-3wh4-j44w-pg92)
  • --v2-deprecationフラグにwrite-only-skip-checkオプションを追加し、v2コンテンツチェックを迂回可能に
  • 非管理者によるメンテナンスステータスリクエストをサーバーが許可するよう変更
  • etcdutlのcheck v2storeがv2スナップショットとWALレコードの両方を検査するよう強化
  • bearer形式のトークンを使ったWebSocket認証の不具合を修正
  • トークン解析失敗時にJWTトークンの内容がログに記録されない処理を追加
原文

Prometheus

Observability2026年7月1日

Prometheus v3.13.0はLTSリリースで、HIGH深刻度の認証情報転送の脆弱性(CVE-2025-4673CVE-2023-45289)とMEDIUM深刻度のXSS(CVE-2026-44990)への対応を筆頭に、ページネーショントークン、パス解決、PromQL期間関数名、ライセンスファイル配布の4つの破壊的変更、さらに多数の新機能とパフォーマンス改善を含みます。

  • securityHIGH: クロスホストリダイレクト時に認証情報が転送されなくなった

    リダイレクト先のホストが異なる場合、Authorizationヘッダー・Basic認証・Bearerトークン・OAuth2・カスタムヘッダーなどの認証情報が転送されなくなりました。スクレイプ・リモートread/write・アラート送信・サービスディスカバリのいずれも対象です。CVE-2025-4673とCVE-2023-45289として追跡されており、prometheus/commonのv0.68.xからv0.69.0への更新が起因です。クロスホストリダイレクトに依存するエンドポイントがあれば、認証情報がサイレントに落ちることを確認してください。

  • securityMEDIUM: UI依存ライブラリのXSS修正(CVE-2026-44990)

    UIのsanitize-htmlライブラリにXSS脆弱性(CVE-2026-44990)が存在していたため、バージョンを更新して修正しました。設定変更は不要で、v3.13.0へのアップグレードで対処されます。

  • breakingページネーショントークンのアルゴリズムがSHA-1からSHA-256に変更

    ルールグループのページネーショントークン生成がSHA-1からSHA-256に変わりました。旧バージョンで取得したトークンを保持・比較しているクライアントやツールは、アップグレード後に値が変わります。

  • breaking--http.config.fileの相対パス解決先が変更

    --http.config.fileに渡すファイル内の相対パスが、親ディレクトリではなくそのconfigファイル自身のディレクトリを基準に解決されるようになりました。相対パスを使っている場合は、アップグレード後にパスが正しく解決されるか確認してください。

  • breaking期間表現関数min()/max()がmin_of()/max_of()に改名

    experimental-duration-exprフィーチャーフラグを有効にしている場合、PromQLの期間表現関数min()とmax()がmin_of()とmax_of()に改名されました。これらを使用しているクエリやルールを更新してください。

  • breakingnpm_licenses.tar.bz2を廃止、ライセンスは/assets/third-party-licenses.txtへ移行

    リリースtarballおよびコンテナイメージからnpm_licenses.tar.bz2が削除されました。サードパーティnpmライセンス情報はバイナリに埋め込まれ、/assets/third-party-licenses.txtで提供されます。このアーカイブを展開している自動化処理があれば修正が必要です。

主な変更 (8)
  • HIGH深刻度: クロスホストリダイレクト時の認証情報転送を停止、CVE-2025-4673・CVE-2023-45289に対応(prometheus/common v0.69.0へ更新)
  • MEDIUM深刻度: sanitize-htmlを更新してUIのXSS脆弱性CVE-2026-44990を修正
  • 破壊的変更: ルールグループのページネーショントークンがSHA-256に変わり、旧トークンとの互換性なし
  • 破壊的変更: --http.config.fileの相対パスが親ディレクトリでなくconfigファイルのディレクトリ基準に変更
  • 破壊的変更: 期間表現関数min()/max()がmin_of()/max_of()に改名(experimental-duration-exprフラグ使用時のみ)
  • 破壊的変更: npm_licenses.tar.bz2をtarball/イメージから削除、バイナリ内の/assets/third-party-licenses.txtで提供
  • 新機能: メトリクス名・ラベル名・ラベル値の実験的APIサーチエンドポイント追加、AWS RDSフィルタリング、Scaleway VPC/IPAM対応、ネイティブヒストグラムのsmoothed/anchored rate、クエリ単位のsamplesRead統計、Azure Monitor Workspace証明書対応、ghcr.ioへのイメージ公開
  • パフォーマンス: 大文字小文字を区別しない前置マッチ最大約2倍高速化、チャンク書き込みのサンプル単位オーバーヘッド約12-15%削減、V2ヒストグラムWALデコーダのアロケーション最大50%削減(created-timestamp有効時はメモリ最大10%減); PromQLパニックおよびTSDB破損の複数修正も含む
原文
月別に見る