RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Cortex해제 ×

Cortex

Observability2026년 6월 5일

v1.21.1은 공식 보안 감사 결과를 반영한 패치 릴리스로, XSS, gzip 폭탄, 메모리 증폭 취약점 등 다수의 보안 문제를 수정했습니다. 즉시 업그레이드가 필요합니다.

  • security즉시 업그레이드 — 공식 감사에서 발견된 다수 취약점 패치

    이번 릴리스는 공식 보안 감사(V01–V07) 결과를 백포트한 것입니다. 상태 페이지 XSS, OTLP 수집 경로의 gzip 폭탄, 잘못된 네이티브 히스토그램 페이로드를 통한 메모리 증폭, 가십 포트 플러드/OOM 공격 등이 포함됩니다. 이론적 취약점이 아니라 Cortex 엔드포인트에 접근 가능한 클라이언트라면 누구든 악용할 수 있는 수준입니다. 지금 바로 v1.21.1로 업그레이드하고, 업그레이드 후 -distributor.otlp-max-recv-msg-size 설정이 실제 수집량 대비 적절한지 검토하세요.

  • security/config 엔드포인트 노출 여부 점검 필수

    이전 버전에서는 Swift, etcd, Redis, HTTP basic-auth 자격증명이 /config 엔드포인트에 평문으로 노출됐습니다. 내부 사용자나 스크래핑 시스템이 해당 엔드포인트에 접근할 수 있었다면 자격증명이 유출된 것으로 간주하고 즉시 교체하세요. 마스킹 처리가 됐더라도 네트워크 정책이나 인증 미들웨어로 /config 접근을 별도로 제한하는 것을 권장합니다.

  • enhancementMemberlist 가십 포트 제한 플래그 설정 검토

    새로 추가된 세 가지 플래그(-memberlist.packet-read-timeout, -memberlist.max-packet-size, -memberlist.max-concurrent-connections)로 인바운드 가십 TCP 동작을 제어할 수 있습니다. 기본값은 무난하지만, Cortex 클러스터가 신뢰도가 낮은 네트워크 세그먼트에 노출되어 있거나 가십 관련 OOM이 발생한 적 있다면 명시적으로 값을 지정하세요. 다음 정기 유지보수 창에 Helm values나 설정 관리 도구에 반영해두는 것이 좋습니다.

주요 변경 (7)
  • Alertmanager 및 Store Gateway 상태 페이지의 저장형 XSS 취약점 수정 (text/template → html/template)
  • gzip 압축 해제 폭탄 공격 차단: 압축 해제 크기를 -distributor.otlp-max-recv-msg-size로 제한
  • 네이티브 히스토그램 protobuf 크기를 기본 16KB로 제한하는 -validation.max-native-histogram-size-bytes 추가 (메모리 증폭 방지)
  • Memberlist 가십 포트 강화: 패킷 읽기 타임아웃, 최대 패킷 크기, 최대 동시 연결 수 제어 플래그 추가
  • /config 엔드포인트에서 Swift, etcd, Redis, HTTP basic-auth 자격증명 마스킹 처리
  • TenantID 불일치 PushStream 요청 거부 및 HMAC-SHA256 스트림 인증 추가
  • ingester·store-gateway 클라이언트에서 snappy 압축 사용 시 발생하던 패닉 수정
원문

Cortex

Observability2026년 4월 27일

Cortex v1.21.0은 여러 실험적 기능을 정식으로 졸업시키고, PRW2 데이터 손상 및 패닉 버그를 다수 수정했습니다. Store Gateway의 Parquet 모드와 테넌트 한도를 API로 제어하는 Overrides API도 새로 추가됐습니다.

  • breaking업그레이드 전 이름 변경된 플래그 전수 점검 필요

    -experimental.ruler.enable-api는 -ruler.enable-api로, -experimental.alertmanager.enable-api는 -alertmanager.enable-api로 바뀌었습니다. -distributor.otlp.enable-type-and-unit-labels는 no-op이 되어 -distributor.enable-type-and-unit-labels로 통합됐고, parquet 캐시 플래그에서 'queryable'이 제거됐습니다. users-scanner의 cleanup-interval은 update-interval로 바뀝니다. 현재는 deprecated 상태라 바로 오류가 나지 않지만, 다음 릴리스에서 제거될 수 있으므로 지금 당장 설정 파일과 Helm values를 검토하세요.

  • breakingPRW2 데이터 손상·패닉 수정 — PRW2 사용 중이라면 즉시 업그레이드 대상

    Remote Write V2 핸들러에서 세 가지 버그가 함께 수정됐습니다. Samples/Histograms 얕은 복사로 인한 데이터 손상, 더러운 sync.Pool 재사용으로 인한 index-out-of-range 패닉, 그리고 pool 반환 시 Symbols 배열 미초기화로 인한 메모리 누수입니다. PRW2를 운영 중이라면 이번 업그레이드는 선택이 아닌 필수입니다. 업그레이드 후 인제스천 파이프라인을 검증하고 메트릭 정합성을 확인하세요.

  • enhancement버킷 인덱스 기본 활성화 — 스토리지 권한 사전 확인 필요

    버킷 인덱스가 이번 릴리스부터 기본으로 켜집니다. 의도적으로 비활성화해 두었거나 오브젝트 스토리지 IAM 정책에서 list 작업을 제한해 둔 경우, 업그레이드 후 인덱스 쓰기·읽기가 정상 동작하는지 반드시 확인하세요. 권한 오류는 명확한 설정 오류 메시지 대신 쿼리 실패로 나타날 수 있습니다.

주요 변경 (5)
  • 버킷 인덱스가 기본 활성화로 변경 — 프로덕션에서 비활성화는 공식적으로 미지원
  • Ruler, Alertmanager, users-scanner, parquet 캐시 관련 플래그 및 설정 키 다수 이름 변경
  • PRW2 버그 3건 수정: Samples/Histograms 얕은 복사로 인한 데이터 손상, index-out-of-range 패닉, sync.Pool 재사용 메모리 누수
  • 테넌트 한도를 API로 제어하는 Overrides API 모듈 추가, 기존 모듈은 overrides-configs로 이름 변경
  • Alertmanager v0.31.1 업그레이드(IncidentIO·Mattermost 연동 추가), ring 일시 불가 시 설정 소실 버그 수정
원문