Prometheus
v3.11.2ObservabilityPrometheus v3.11.2은 웹 UI의 저장형 XSS 취약점(CVE-2026-40179)을 패치하고 Consul SD 버그 2건을 수정합니다. UI가 외부에 노출된 환경이라면 즉시 업그레이드하세요.
securityPrometheus UI가 노출된 환경이라면 CVE-2026-40179 즉시 패치
스크레이프 대상이 메트릭 이름이나 레이블 값을 조작하면 UI에 악성 스크립트를 심을 수 있는 저장형 XSS입니다. 운영팀 외 사용자가 Prometheus UI에 접근할 수 있는 환경(내부 대시보드, 페더레이션 구성 등)이라면 즉각 v3.11.2로 업그레이드하세요. 당장 업그레이드가 어렵다면 네트워크 정책이나 인증 프록시로 UI 접근을 제한하는 것이 먼저입니다.
breaking업그레이드 후 Consul SD 스크레이프 대상 변경 여부 반드시 확인
Consul Health API에 filter 파라미터가 잘못 적용되던 버그가 수정됐습니다. 의도치 않게 해당 동작에 의존하고 있었다면 업그레이드 후 발견되는 서비스 목록이 달라질 수 있습니다. 프로덕션 배포 전에 Consul SD 설정을 검토하고, 스크레이프 대상이 예상과 일치하는지 검증하세요.
enhancementConsul SD의 `health_filter`로 비정상 서비스 제거 간소화
새로 추가된 `health_filter` 필드를 사용하면 SD 레이어에서 직접 Consul Health API 응답을 필터링할 수 있습니다. 지금까지 릴레이블링 규칙으로 비정상 인스턴스를 걸러내고 있었다면, `health_filter: healthy`로 설정해 그 규칙들을 정리하세요. 불필요한 타깃 변동(churn)도 줄어듭니다.
주요 변경 (3)
- 보안: UI 툴팁·메트릭 탐색기에서 메트릭 이름·레이블 값 미이스케이프로 인한 저장형 XSS — CVE-2026-40179
- Consul SD: Health API 필터링을 위한 `health_filter` 필드 신규 추가
- Consul SD: filter 파라미터가 Health API에 잘못 적용되던 버그 수정