RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

Litmus

Observability오늘2026년 7월 15일

Litmus 3.31.0은 프로브 비교자, GraphQL 메모리 누수, 파일 핸들러, 사용자 인증 등 9가지 주요 버그를 고친 정기 유지보수 릴리스입니다. 파괴적 변경이나 보안 이슈는 없습니다.

주요 변경 (9)
  • 프로브 비교자 타입 초기화 수정으로 비교자 동작 오류 해결
  • GraphQL 구독 리졸버의 메모리 누수 및 데드락 제거
  • FileHandler 오류 응답 후 정상 종료
  • CreateUser 핸들러의 bcrypt 실패 처리 개선
  • GetInfraDetails 리졸버 접근 제어 강화 및 빈 슬라이스 패닉 방지
  • 대기 중인 실험의 UI 상태 동기화 수정
  • 프로브 중복 방지 검사 추가
  • 사용자명 검증 수정
  • Makefile 빌드 경로 수정 및 테스트 커버리지 확대
원문

Thanos

Observability2026년 7월 8일

Thanos v0.42.0은 grpc/authz의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)을 고친 보안 릴리스이면서, Receive와 Store의 플래그 제거를 포함한 여러 breaking change와 새로운 TLS/암호 설정 옵션을 함께 담은 혼합 성격의 업데이트입니다.

  • securitygRPC 인가 우회 취약점 패치(CVE-2026-33186, CVSS 9.1)

    조작된 :path 헤더로 grpc/authz 인터셉터의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)이 thanos-community/grpc-go 포크에서 발견되어 이번 버전에서 패치되었습니다. grpc/authz로 경로 기반 접근 제어를 하는 환경은 즉시 업그레이드하세요.

  • breakingReceive: --shipper.ignore-unequal-block-size 제거

    Receive의 --shipper.ignore-unequal-block-size 플래그가 제거되었습니다. TSDB가 shipper의 블록 업로드 완료까지 컴팩션을 지연시켜, 데이터 손실 위험 없이 업로드 중 컴팩션이 가능해진 데 따른 변경입니다. 이 플래그를 사용 중이면 설정에서 제거해야 합니다.

  • breakingStore: --debug.advertise-compatibility-label 제거

    Store의 --debug.advertise-compatibility-label 플래그가 제거되어, 기본적으로 @thanos_compatibility_store_type=store 외부 레이블을 더 이상 광고하지 않습니다. v0.8.0 이전 Thanos Query와의 호환성이 깨지므로, 오래된 Query 컴포넌트와 연동 중이면 업그레이드 순서를 검토하세요.

  • breakingQuery-Frontend: time_taken 필드가 time_taken_ms로 변경

    Query-Frontend의 응답 JSON 필드명이 time_taken에서 time_taken_ms로 바뀌었습니다. 로그 수집기나 이 필드를 파싱하는 도구가 있다면 필드명을 갱신해야 합니다.

주요 변경 (7)
  • 보안: 조작된 :path 헤더로 grpc/authz의 deny 규칙을 우회하는 CVSS 9.1 취약점(CVE-2026-33186) 패치, thanos-community/grpc-go 포크 업데이트로 해결
  • breaking: Receive --shipper.ignore-unequal-block-size 제거(TSDB가 shipper 업로드 완료까지 컴팩션 지연)
  • breaking: Store --debug.advertise-compatibility-label 제거로 구버전 Query(v0.8.0 이전)와 호환성 단절
  • breaking: Query-Frontend JSON 필드 time_taken → time_taken_ms 이름 변경
  • 모든 gRPC 서버에 KeepaliveEnforcementPolicy MinTime 10s 적용(클라이언트 keepalive 간격과 일치)
  • gRPC/Remote-write 서버에 TLS 암호 스위트·커브 설정 플래그 추가, Query에 엔드포인트별 TLS 설정 지원 등 보안 강화 옵션 다수 도입
  • Receive의 탐리버설 방지를 위한 테넌트 ID 검증, 503 재시작 오류 수정 등 다수 버그 수정, 이 외에도 Query-Frontend 패닉 수정과 exemplar 프록시 레이블 처리 등 자잘한 수정 다수
원문

OpenTelemetry

Observability2026년 7월 7일

OpenTelemetry Collector v0.156.0은 버그 수정 중심 릴리스로, 운영자에게 직접 영향을 주는 변경이 하나 있습니다. memory_limiter 프로세서가 연속 강제 GC 대신 지수 백오프로 전환되며, 상한을 두 개의 새 설정 필드로 제어할 수 있습니다. 그 외에 otlp_http 영구 오류 처리, 리시버 기동 순서, env 변수 nil 해석, 재시도 설정 유효성 검사도 수정됐습니다.

  • enhancementmemory_limiter GC 백오프, 새 설정 필드로 조정 가능

    memory_limiter 프로세서가 GC를 실행해도 효과가 없을 때(소프트 리밋 초과 상태 유지 + 회수율 5% 미만) 지수 백오프로 GC 호출을 줄입니다. 백오프 상한은 max_gc_interval_when_soft_limited와 max_gc_interval_when_hard_limited로 조정하며, 기본값은 각각 30s입니다. GC 빈도를 직접 조정해온 환경이라면 이 두 필드를 검토하세요.

주요 변경 (7)
  • memory_limiter 프로세서: 비효율적인 GC에 지수 백오프 적용. 상한은 max_gc_interval_when_soft_limited·max_gc_interval_when_hard_limited(기본값 각 30s)로 제어
  • otlp_http 익스포터: 잘린 2xx 응답 바디 파싱 오류를 영구 오류로 처리해 재시도 시 중복 전송 방지
  • pkg/service: 모든 컴포넌트 시작 완료 후 리시버를 기동하도록 수정(OTLP 등 구현 공유 리시버의 레이스 조건 해소)
  • env 프로바이더: ${env:VAR:-} 구문에서 미설정 변수가 nil 대신 빈 문자열로 해석되도록 수정
  • configretry BackOffConfig 필드, Enabled 플래그와 무관하게 항상 유효성 검사
  • memory_limiter 프로세서가 componentstatus 헬스 이벤트를 발행하도록 개선
  • mdatagen 개선: 리소스 속성에 안정성 레벨·시맨틱 컨벤션 참조 추가, go_struct에 field_name 옵션, enum 유효성 검사기 지원, 기본 타입 내보내기 스키마에 명명된 Go 타입 생성
원문

Prometheus

Observability2026년 7월 1일

Prometheus v3.13.0은 LTS 릴리스로, HIGH 등급 자격 증명 전달 취약점(CVE-2025-4673·CVE-2023-45289)과 MEDIUM 등급 XSS(CVE-2026-44990) 수정이 핵심이며, 페이지네이션 토큰·경로 해석·PromQL 기간 함수명·라이선스 파일 배포 방식 등 네 가지 파괴적 변경과 다수의 신기능 및 성능 개선이 함께 포함됩니다.

  • securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단

    리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.

  • securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)

    UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.

  • breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경

    룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.

  • breaking--http.config.file 상대 경로 기준 디렉터리 변경

    --http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.

  • breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경

    experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.

  • breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동

    릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.

주요 변경 (8)
  • HIGH 보안: 교차 호스트 리다이렉트 시 자격 증명 전달 중단, CVE-2025-4673·CVE-2023-45289 대응 (prometheus/common v0.69.0)
  • MEDIUM 보안: sanitize-html 업데이트로 UI XSS 취약점 CVE-2026-44990 수정
  • 파괴적 변경: 룰 그룹 페이지네이션 토큰이 SHA-256으로 바뀌어 이전 토큰과 호환되지 않음
  • 파괴적 변경: --http.config.file 내 상대 경로 기준이 부모 디렉터리에서 설정 파일 디렉터리로 변경
  • 파괴적 변경: 기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경 (experimental-duration-expr 플래그 사용 시)
  • 파괴적 변경: npm_licenses.tar.bz2가 tarball/이미지에서 제거되고 바이너리 내 /assets/third-party-licenses.txt로 대체
  • 신기능: 메트릭 이름·레이블 이름·레이블 값에 대한 실험적 API 검색 엔드포인트, AWS RDS 필터링, Scaleway VPC/IPAM 전용 인스턴스 지원, 네이티브 히스토그램 smoothed/anchored rate, 쿼리별 samplesRead 통계, Azure Monitor Workspace 인증서 지원, ghcr.io 이미지 배포
  • 성능: 대소문자 무시 전위 매칭 최대 약 2배 빠른 속도, 청크 쓰기 샘플 오버헤드 약 12-15% 감소, V2 히스토그램 WAL 디코더 할당량 최대 50% 감소(created-timestamp 활성 시 메모리 최대 10% 절감); PromQL 패닉 및 TSDB 손상 다수 수정 포함
원문
월별 보기