RATATOSKRATATOSK
로그인

Prometheus

v3.5.4Observability
2026년 6월 18일

Prometheus v3.5.4는 보안 패치 릴리스입니다. STACKIT SD의 시크릿 노출 버그를 고쳤고, Go 및 UI 의존성 여러 개에서 CVE를 패치했습니다. 빠른 업그레이드가 필요합니다.

  • securitySTACKIT SD 사용 중이라면 자격증명 즉시 교체

    /-/config 엔드포인트가 STACKIT SD 시크릿을 평문으로 노출하고 있었습니다. STACKIT SD를 쓰는 인스턴스에서 /-/config가 관리자 외에 접근 가능했다면 해당 자격증명이 유출됐다고 보고 즉시 교체해야 합니다. v3.5.4로 업그레이드한 뒤 /-/config 엔드포인트에 인증을 적용하세요.

  • securityGo CVE 세 건 패치 — 노출된 인스턴스라면 즉시 업그레이드

    GO-2026-5026, GO-2026-4918, GO-2026-4985가 golang.org/x/net v0.55.0, OpenTelemetry v1.43.0 업그레이드로 수정됩니다. 외부 트래픽을 받는 Prometheus 인스턴스를 운영 중이라면 다음 정기 점검 때까지 미루지 말고 이번 패치를 먼저 적용하세요.

  • enhancementghcr.io에서도 이미지 직접 pull 가능

    Prometheus 컨테이너 이미지가 이제 ghcr.io/prometheus/prometheus에도 게시됩니다. Docker Hub 속도 제한이나 접근 문제가 있는 환경이라면 이미지 소스를 ghcr.io로 전환하는 것을 검토하세요.

주요 변경 (4)

  • STACKIT SD가 /-/config 엔드포인트를 통해 시크릿을 평문으로 노출하던 문제 수정 (GHSA-39j6-789q-qxvh)
  • golang.org/x/net 및 OpenTelemetry 버전 업그레이드로 GO-2026-5026, GO-2026-4918, GO-2026-4985 패치
  • react-router-dom, vite, vitest, postcss 등 UI 의존성 보안 업데이트
  • 컨테이너 이미지가 ghcr.io에도 게시되기 시작