RATATOSKRATATOSK
로그인

Prometheus

v3.5.3Observability
2026년 4월 27일

Prometheus v3.5.3은 보안 전용 릴리스로, 자격증명 노출, 스내피 압축 폭탄 2건, 레거시 UI의 저장형 XSS 등 4개의 취약점을 패치합니다.

  • security/-/config 엔드포인트가 외부에 노출됐다면 즉시 AzureAD client_secret 교체

    AzureAD remote write를 사용하는 모든 Prometheus 인스턴스는 /-/config 엔드포인트에서 OAuth client_secret이 평문으로 드러났습니다. 해당 엔드포인트가 비인가 사용자나 모니터링 도구에 의해 접근 가능했다면 시크릿이 유출된 것으로 간주해야 합니다. Azure AD에서 시크릿을 교체하고 Prometheus 설정을 업데이트한 뒤 v3.5.3으로 업그레이드하세요. 업그레이드 후에는 리버스 프록시 또는 --web.enable-admin-api 설정으로 /-/config 접근을 제한하는 것이 좋습니다.

  • security외부 소스로부터 remote-read/write를 받는다면 즉시 업그레이드

    remote-read와 remote-write 엔드포인트 모두 압축 폭탄 공격에 취약했습니다. 선언된 디코딩 크기를 부풀린 스내피 요청으로 메모리를 고갈시킬 수 있었습니다. 인터넷에 노출된 Prometheus이거나 멀티 테넌트 환경에서 데이터를 수신한다면 서비스 거부 공격 위험이 있습니다. 설정으로 우회할 방법은 없으므로 v3.5.3으로 업그레이드하는 것이 유일한 해결책입니다.

  • security레거시 UI 사용 시 저장형 XSS 패치 적용 필요

    구형 UI 히트맵이 'le' 레이블 값을 이스케이프 없이 렌더링해 저장형 XSS가 가능했습니다. 외부나 사용자가 제어하는 시스템에서 'le' 레이블이 수집되고 있다면, 악성 자바스크립트가 브라우저에서 실행될 수 있습니다. v3.5.3으로 업그레이드하세요. 단기 조치로는 사용자를 신규 UI로 유도하는 방법도 있습니다.

주요 변경 (4)

  • CVE-2026-42151: AzureAD OAuth client_secret가 /-/config 엔드포인트에서 평문으로 노출
  • CVE-2026-42154: Remote-read 스내피 압축 폭탄 — 선언된 디코딩 길이가 제한을 초과하면 요청 거부
  • Remote-write도 동일한 디코딩 제한 적용으로 압축 폭탄 공격 차단 (별도 CVE 없음)
  • 레거시 UI 히트맵 틱 레이블에서 'le' 레이블 값이 이스케이프 처리되지 않아 저장형 XSS 발생 (GHSA-fw8g-cg8f-9j28)