RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Rook

Storage & Data오늘2026년 7월 8일

Rook v1.20.2는 Ceph 오퍼레이터의 버그 수정과 소소한 개선에 집중한 통상적인 패치 릴리스입니다. mgr NetworkPolicy를 ingress 전용으로 강화했고 Ceph는 v20.2.2, ceph-csi-operator는 v1.0.4로 올라갔으며, 별도의 CVE나 API 제거는 없습니다.

  • securitymgr NetworkPolicy를 ingress 전용으로 강화

    mgr용 NetworkPolicy가 ingress 전용으로 제한됩니다. 기존에 mgr로부터 나가는 트래픽을 별도 정책으로 열어둔 경우 영향을 받을 수 있으니, 업그레이드 후 mgr 관련 통신이 정상 동작하는지 확인하세요.

주요 변경 (7)
  • mgr NetworkPolicy를 ingress 전용으로 제한하는 보안 강화
  • Ceph 버전을 v20.2.2로, ceph-csi-operator를 v1.0.4로 업데이트
  • 노드 라벨/어노테이션 변경 시 재조정을 트리거하도록 노드 워처 개선, 초기 캐시 동기화 중에는 스킵하도록 수정
  • 외부 클러스터에서 언마운트 시 VolumeAttachment 리소스가 제대로 삭제되도록 수정
  • 떠 있는 mon의 재스케줄 대기 시간을 단축해 페일오버 응답성 개선
  • Ceph 오퍼랜드 파드용 예시 NetworkPolicy CR 추가 및 Rook 오퍼레이터에서 Ceph 경고를 뮤트하는 API 추가
  • 그 외 소소한 수정 다수: 설정 오버라이드 줄바꿈 처리, OSD 활성화 시 raw activate 폴백 경로에서 불필요한 rbd 디바이스 스캔 제거, 오브젝트 스토어 realm 액세스 키를 URL-safe 문자열로 생성
원문

Artifact Hub

CI/CD & App Delivery어제2026년 7월 7일

Artifact Hub v1.23.0이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Flux

CI/CD & App Delivery어제2026년 7월 7일

Flux v2.9.1은 post-build 변수 치환이 Flux 자체 CRD 스키마를 손상시키던 버그를 고친 패치 릴리스입니다. 이와 함께 SOPS .ini 복호화 오류와 dry-run 시 strategic merge patch 오류도 수정했습니다. 새로운 breaking change나 CVE는 없습니다.

  • breaking변수 치환으로 인한 CRD 스키마 손상 수정

    post-build 변수 치환을 켠 Kustomization에서 매니페스트의 ${...} 값이 Flux CRD 스키마 필드와 우연히 일치하면, 이전 버전에서는 CRD 스키마가 손상될 수 있었습니다. v2.9.1은 Flux 자체 CRD에 kustomize.toolkit.fluxcd.io/substitute: disabled 어노테이션을 붙여 치환 대상에서 제외했습니다. post-build 치환을 사용 중이면 업그레이드하세요.

주요 변경 (4)
  • CRD 스키마 손상 수정: Flux 자체 CRD에 kustomize.toolkit.fluxcd.io/substitute: disabled 어노테이션을 붙여 post-build 치환이 스키마를 덮어쓰지 않도록 함
  • SOPS .ini 파일 복호화 오류 수정
  • dry-run 시 strategic merge patch 오류 수정
  • 새로운 破괴적 변경, deprecation, CVE는 없음
원문

OpenTelemetry

Observability어제2026년 7월 7일

OpenTelemetry Collector v0.156.0은 버그 수정 중심 릴리스로, 운영자에게 직접 영향을 주는 변경이 하나 있습니다. memory_limiter 프로세서가 연속 강제 GC 대신 지수 백오프로 전환되며, 상한을 두 개의 새 설정 필드로 제어할 수 있습니다. 그 외에 otlp_http 영구 오류 처리, 리시버 기동 순서, env 변수 nil 해석, 재시도 설정 유효성 검사도 수정됐습니다.

  • enhancementmemory_limiter GC 백오프, 새 설정 필드로 조정 가능

    memory_limiter 프로세서가 GC를 실행해도 효과가 없을 때(소프트 리밋 초과 상태 유지 + 회수율 5% 미만) 지수 백오프로 GC 호출을 줄입니다. 백오프 상한은 max_gc_interval_when_soft_limited와 max_gc_interval_when_hard_limited로 조정하며, 기본값은 각각 30s입니다. GC 빈도를 직접 조정해온 환경이라면 이 두 필드를 검토하세요.

주요 변경 (7)
  • memory_limiter 프로세서: 비효율적인 GC에 지수 백오프 적용. 상한은 max_gc_interval_when_soft_limited·max_gc_interval_when_hard_limited(기본값 각 30s)로 제어
  • otlp_http 익스포터: 잘린 2xx 응답 바디 파싱 오류를 영구 오류로 처리해 재시도 시 중복 전송 방지
  • pkg/service: 모든 컴포넌트 시작 완료 후 리시버를 기동하도록 수정(OTLP 등 구현 공유 리시버의 레이스 조건 해소)
  • env 프로바이더: ${env:VAR:-} 구문에서 미설정 변수가 nil 대신 빈 문자열로 해석되도록 수정
  • configretry BackOffConfig 필드, Enabled 플래그와 무관하게 항상 유효성 검사
  • memory_limiter 프로세서가 componentstatus 헬스 이벤트를 발행하도록 개선
  • mdatagen 개선: 리소스 속성에 안정성 레벨·시맨틱 컨벤션 참조 추가, go_struct에 field_name 옵션, enum 유효성 검사기 지원, 기본 타입 내보내기 스키마에 명명된 Go 타입 생성
원문

OpenKruise

CI/CD & App Delivery2026년 7월 4일

OpenKruise v1.9.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Lima

Kubernetes Core2026년 7월 3일

Lima v2.1.4는 몇 가지 버그 수정과 nerdctl 업데이트, CLI 및 템플릿 소소한 개선을 담은 통상적인 패치 릴리스입니다. 주요 변경이나 보안 수정, 지원 중단 항목은 없습니다.

주요 변경 (5)
  • 버그 수정: xorrisofs 플래그를 xorrisofs 명령에만 추가하도록 수정
  • 버그 수정: macOS에서 hvf를 사용할 수 없을 때 QEMU가 tcg로 대체되도록 수정
  • 의존성: nerdctl을 v2.3.3에서 v2.3.4로 업데이트
  • 템플릿 업데이트, freebsd-15 템플릿이 9p 마운트를 지원
  • 기능 개선: limactl network list --json 출력에 네트워크 이름 포함
원문

Open Policy Agent (OPA)

Security2026년 7월 2일

OPA v1.18.2는 `opa fmt` 포맷터의 회귀 버그를 되돌린 패치입니다. v1.18.0 이후 포맷이 완료된 정책 파일에서도 불필요한 변경이 발생했다면, 이 버전으로 업그레이드하면 해결됩니다.

주요 변경 (1)
  • `opa fmt`에서 단일 항목 컬렉션(배열, 객체, 셋)을 항상 여러 줄로 펼치던 회귀 버그(v1.18.0 도입) 수정: 이미 올바르게 포맷된 정책에 불필요한 diff가 생기던 문제 해소
원문

wasmCloud

Orchestration & Management2026년 7월 2일

wasmCloud v2.5.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.35.5는 두 가지 버그 수정만 담긴 패치 릴리스입니다. 재시작 후 ImageRef가 달라지는 문제와 gomaxprocs hook의 CPU 계산 오류가 수정되었으며, 브레이킹 체인지나 보안 수정, API 변경은 없습니다.

주요 변경 (2)
  • CRI-O 재시작 후 컨테이너 상태의 ImageRef가 repo@digest에서 raw 이미지 ID로 바뀌던 버그 수정
  • gomaxprocs hook이 워크로드 파티셔닝을 무시하도록 변경하고, 요청 CPU 수의 2배를 최소값으로 설정해 Go 스케줄러 스로틀링 완화
원문

gRPC

Networking & Messaging2026년 7월 2일

gRPC 1.82.0은 Core, PHP, Python, Ruby 전반의 자잘한 수정을 모은 루틴 릴리스이며 보안 이슈나 파괴적 변경은 없습니다. 눈에 띄는 부분은 xDS의 프로토콜 추가 두 가지(A85 ORCA-to-LRS, A114 가중 라운드로빈)와 다수의 소소한 버그 수정입니다.

주요 변경 (8)
  • CVE, 破壊的 API 제거, deprecation 없음
  • xDS에 ORCA-to-LRS 전파(gRFC A85)와 커스텀 백엔드 메트릭 기반 가중 라운드로빈(A114) 지원 추가
  • 호출 자격 증명이 리전별 액세스 경계 정책 메타데이터를 조회하고 첨부할 수 있게 됨
  • Python aio 수정: -O 플래그 실행 시 CPU 100% 점유 문제 해결, fork된 자식 프로세스에서 채널을 닫지 않고 호출만 취소 가능
  • Ruby에 순수 Ruby 구현 호출 자격 증명 추가, 인터셉터가 의도대로 FIFO 순서로 실행되도록 수정
  • POSIX 소켓 코드에서 파일 디스크립터 0이 잘못 무효로 처리되던 문제 수정, 엔드포인트 종료 시 CFStream 콜백 등록 해제
  • PHP 확장 백포트에 PIE 지원 추가, Python aio call/metadata 모듈에 Pyright·Typeguard 타입 체크 적용
  • 그 외 abseil nullopt assertion을 잘못 발생시키던 RetryFilter 버그도 수정
원문

Harbor

Storage & Data2026년 7월 2일

Harbor v2.15.2는 2.15.0의 수정 사항을 백포트한 유지보수 패치입니다. 운영 관점에서 가장 영향이 큰 변경은 캐시 백엔드의 Redis to Valkey 교체이며, 기존 배포 설정을 검토해야 합니다. blob 마운트 토큰 검증 강화, 암호화 정비, Angular 21과 Clarity v18 업그레이드 이후 쌓인 UI/UX 수정도 함께 포함되었습니다.

  • securityblob 마운트 토큰 검증 강화 (medium)

    blob 마운트 시 토큰 검증이 강화되어, iat 클레임이 없는 토큰과 유효하지 않은 소스 프로젝트 참조가 거부됩니다. 모든 환경에 적용됩니다.

  • breaking캐시 백엔드가 Valkey로 교체됨

    캐시 백엔드가 Redis에서 Valkey로 교체되었습니다. Redis를 참조하는 배포 설정이 있다면 Valkey로 변경해야 합니다.

주요 변경 (7)
  • 캐시 백엔드를 Redis에서 Valkey로 교체 (배포 설정 변경 필요)
  • 보안: blob 마운트 토큰 검증 강화, iat 누락 토큰 및 소스 프로젝트 검증 추가 (medium)
  • 보안: 암호화 사용 방식 정비 및 미사용 SMTP 패키지 제거 (low)
  • UI를 Angular 21, Clarity v18, Node.js v22로 업그레이드하고 체크박스, 다크 테마, i18n, 폼 스타일, 태그 선택 등 다수의 UI/UX 수정 적용
  • YAML 라이브러리를 gopkg.in/yaml.v2에서 github.com/goccy/go-yaml로 교체
  • 레지스트리 이미지를 rc.5에서 안정 태그 v2.8.3-harbor.1로 고정
  • 태그 및 아티팩트 변경 시 repository의 update_time이 올바르게 갱신되도록 수정, Cosign tlog 검증 옵션 조정
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.36.2는 gomaxprocs 훅의 CPU 할당 계산 방식을 고치는 일반 패치 릴리스입니다. Go 스케줄러가 스로틀링되는 문제를 줄였습니다. 보안 수정이나 호환성을 깨는 변경 사항은 없습니다.

주요 변경 (2)
  • gomaxprocs 훅이 주입 여부 판단 시 워크로드 파티셔닝을 더 이상 고려하지 않음
  • CPU 할당 계산 방식을 수정해 컨테이너가 요청 CPU 수의 최소 두 배를 받도록 변경, Go 스케줄러 스로틀링 완화
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.34.10은 두 가지 버그를 고친 일반 패치입니다. gomaxprocs CPU 주입 로직 수정과 재시작 후 컨테이너 상태 ImageRef 형식이 달라지던 문제를 처리했으며, 보안·API·설정 변경은 없습니다.

주요 변경 (3)
  • gomaxprocs 훅이 CPU 설정 주입 여부를 결정할 때 워크로드 파티셔닝을 무시하도록 변경
  • gomaxprocs 계산이 요청 CPU 수의 최소 두 배를 보장해 Go 스케줄러 스로틀링 위험을 낮춤
  • CRI-O 재시작 후 컨테이너 상태의 ImageRef가 repo@digest 형식에서 원시 이미지 ID 해시로 바뀌던 버그 수정
원문

etcd

Kubernetes Core2026년 7월 2일

etcd v3.6.13은 --listen-client-http-urls를 설정한 클러스터에서 gRPC 리스너의 CRL 검사가 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 패치입니다. WebSocket bearer 토큰 인증 버그 수정과 v2-deprecation 플래그 옵션 추가도 포함됩니다.

  • securitygRPC 리스너 CRL 검사 우회 패치 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls를 설정한 클러스터에서는 gRPC 리스너가 CRL(인증서 폐기 목록) 검사를 수행하지 않아, 폐기된 클라이언트 인증서로도 인증이 통과될 수 있었습니다. 해당 플래그를 사용하는 환경이라면 v3.6.13으로 업그레이드하세요.

주요 변경 (3)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검사가 우회되던 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 버그 수정: bearer 접두사 토큰을 사용하는 WebSocket 인증 오류 해결
  • 기능 추가: --v2-deprecation 플래그에 write-only-skip-check 옵션을 추가해 v2 콘텐츠 검사 생략 가능
원문

etcd

Kubernetes Core2026년 7월 2일

etcd v3.5.32는 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 릴리스입니다. v2-deprecation 우회 옵션 추가와 버그 수정도 함께 포함되었습니다.

  • securitygRPC 리스너의 CRL 검증 우회 취약점 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls 플래그를 설정한 경우 gRPC 리스너에서 CRL 검증이 작동하지 않아 폐기된 인증서가 허용되었습니다. 해당 플래그와 mTLS, CRL을 함께 사용 중이라면 v3.5.32로 업그레이드하세요.

주요 변경 (6)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검증이 우회되던 문제 수정 (GHSA-3wh4-j44w-pg92)
  • --v2-deprecation 플래그에 write-only-skip-check 옵션 추가로 v2 콘텐츠 검사 우회 가능
  • 서버가 비관리자의 유지보수 상태 요청을 허용하도록 변경
  • etcdutl check v2store 명령이 v2 스냅샷과 WAL 레코드를 모두 검사하도록 개선
  • bearer 형식 토큰을 사용한 WebSocket 인증 버그 수정
  • 토큰 파싱 실패 시 JWT 토큰 내용이 로그에 남지 않도록 처리
원문

Prometheus

Observability2026년 7월 1일

Prometheus v3.13.0은 LTS 릴리스로, HIGH 등급 자격 증명 전달 취약점(CVE-2025-4673·CVE-2023-45289)과 MEDIUM 등급 XSS(CVE-2026-44990) 수정이 핵심이며, 페이지네이션 토큰·경로 해석·PromQL 기간 함수명·라이선스 파일 배포 방식 등 네 가지 파괴적 변경과 다수의 신기능 및 성능 개선이 함께 포함됩니다.

  • securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단

    리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.

  • securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)

    UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.

  • breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경

    룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.

  • breaking--http.config.file 상대 경로 기준 디렉터리 변경

    --http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.

  • breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경

    experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.

  • breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동

    릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.

주요 변경 (8)
  • HIGH 보안: 교차 호스트 리다이렉트 시 자격 증명 전달 중단, CVE-2025-4673·CVE-2023-45289 대응 (prometheus/common v0.69.0)
  • MEDIUM 보안: sanitize-html 업데이트로 UI XSS 취약점 CVE-2026-44990 수정
  • 파괴적 변경: 룰 그룹 페이지네이션 토큰이 SHA-256으로 바뀌어 이전 토큰과 호환되지 않음
  • 파괴적 변경: --http.config.file 내 상대 경로 기준이 부모 디렉터리에서 설정 파일 디렉터리로 변경
  • 파괴적 변경: 기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경 (experimental-duration-expr 플래그 사용 시)
  • 파괴적 변경: npm_licenses.tar.bz2가 tarball/이미지에서 제거되고 바이너리 내 /assets/third-party-licenses.txt로 대체
  • 신기능: 메트릭 이름·레이블 이름·레이블 값에 대한 실험적 API 검색 엔드포인트, AWS RDS 필터링, Scaleway VPC/IPAM 전용 인스턴스 지원, 네이티브 히스토그램 smoothed/anchored rate, 쿼리별 samplesRead 통계, Azure Monitor Workspace 인증서 지원, ghcr.io 이미지 배포
  • 성능: 대소문자 무시 전위 매칭 최대 약 2배 빠른 속도, 청크 쓰기 샘플 오버헤드 약 12-15% 감소, V2 히스토그램 WAL 디코더 할당량 최대 50% 감소(created-timestamp 활성 시 메모리 최대 10% 절감); PromQL 패닉 및 TSDB 손상 다수 수정 포함
원문

Longhorn

Storage & Data2026년 7월 1일

Longhorn v1.11.3은 볼륨 동작, 백업, 인스턴스 관리 전반에 걸친 10여 건의 안정성 문제를 해결한 버그픽스 롤업입니다. CSI external provisioner가 v6.3.0으로 올라가, v1.10.x 또는 v1.11.0에서 업그레이드하려면 Kubernetes v1.34 이상이 선행되어야 합니다.

  • breakingv1.10.x 또는 v1.11.0에서 업그레이드 시 Kubernetes v1.34+ 필요

    CSI external provisioner가 v6.3.0으로 올라가면서 Kubernetes v1.34 이상이 필요합니다. Longhorn v1.10.x 또는 v1.11.0에서 업그레이드할 경우, Longhorn을 먼저 올리기 전에 클러스터의 Kubernetes 버전을 v1.34+로 맞춰야 합니다.

주요 변경 (7)
  • CSI external provisioner v6.3.0으로 상향: v1.10.x 또는 v1.11.0에서 업그레이드 전 Kubernetes v1.34+ 확인 필수
  • iscsid 재시작 후 V1 볼륨이 동작 불가 상태로 남는 문제(PVC 리사이즈 실패 포함) 수정
  • 레플리카 리빌드 중 longhorn-instance-manager에서 nil 포인터 역참조 패닉 수정
  • 반복 trim 작업 실패를 유발하던 데드락, 그리고 볼륨 확장이 멈추는 문제 각각 수정
  • 대상 노드가 ready 상태로 전환 중일 때 마이그레이션 엔진이 삭제되던 문제 수정
  • NetApp 어플라이언스에서 S3 백업 실패, System Backup RecurringJob이 최신 CR을 잘못 삭제하던 문제 수정
  • BackupController 백업 삭제 중 longhorn-manager 패닉, 서포트 번들·웹훅 폴링의 HTTP 응답 바디 누수, 스케일 환경에서 webhook TLS Secret 경합 수정
원문

Istio

Networking & Messaging2026년 7월 1일

Istio 1.28.10은 단일 버그 수정을 담은 일반 패치입니다. krt 컨트롤러에서 Fetch 필터 키가 변경될 때 역방향 인덱스 항목이 누적되던 메모리 누수가 해결되었습니다.

주요 변경 (1)
  • krt 컨트롤러에서 Fetch 필터 키가 바뀔 때(예: 파드를 다른 웨이포인트로 재레이블링) 오래된 역방향 인덱스 항목이 정리되지 않고 남아 메모리가 계속 증가하고 불필요한 재계산이 발생하던 메모리 누수 수정
원문

wasmCloud

Orchestration & Management2026년 7월 1일

wasmCloud v2.5.0은 wasmtime 46 업그레이드와 wasip3 기본 활성화를 중심으로 한 기능 릴리스이며, keyvalue bucket WIT 인터페이스의 breaking 변경과 quinn-proto의 medium 심각도 보안 수정이 함께 포함되어 있습니다. 나머지는 새로운 비동기 keyvalue/blobstore 인터페이스, 오퍼레이터 하드닝, 런타임 및 도구 관련 각종 수정으로 구성됩니다.

  • securityquinn-proto 보안 수정 (RUSTSEC-2026-0185)

    소스에서 wasmCloud를 빌드하거나 의존성 스캔을 돌리는 경우 해당됩니다. 이번 릴리스에서 quinn-proto가 RUSTSEC-2026-0185(medium) 패치를 받았습니다. 애플리케이션 코드 수정 없이 업그레이드만 하면 됩니다.

  • breakingkeyvalue bucket이 공유 types 인터페이스로 이동

    wasmcloud:keyvalue 인터페이스를 사용하는 컴포넌트에 해당됩니다. bucket 타입이 인터페이스 내부 정의에서 빠져나와 공유 types 인터페이스로 옮겨졌습니다. 기존 wasmcloud:keyvalue WIT 기반으로 만든 컴포넌트와 프로바이더는 업그레이드 전에 바인딩을 갱신하고 코드를 다시 생성해야 합니다.

  • breakingwasmtime 46, wasip3 기본 활성화

    이 런타임에서 동작하는 모든 컴포넌트에 해당됩니다. wasmtime이 46으로 올라가고 wasip3 지원이 기본으로 켜집니다. 전체 배포 전에 기존 컴포넌트를 새 런타임에서 먼저 테스트하세요. 특히 wasip3 동작 변화에 민감한 컴포넌트는 주의가 필요합니다.

주요 변경 (7)
  • 런타임이 wasmtime 46으로 업그레이드되고 wasip3가 기본으로 켜졌으며, 동적 링커를 통한 wasip3 크로스 컴포넌트 스트리밍도 추가됨
  • breaking WIT 변경: wasmcloud:keyvalue bucket이 인터페이스별 인라인 정의 대신 공유 types 인터페이스로 이동함
  • quinn-proto의 RUSTSEC-2026-0185 보안 결함 수정 (medium 심각도)
  • 비동기 wasmcloud:keyvalue 및 wasmcloud:blobstore WIT 인터페이스 신규 추가, wasi:keyvalue·wasmcloud:postgres·wasmcloud:messaging/consumer는 (implements ..) 임포트로 멀티플렉싱 가능해짐
  • 엔드투엔드 오퍼레이터 구현이 추가되고 runtime-operator Helm 차트가 린트 및 하드닝되었으며, 오퍼레이터 캐싱이 server-side apply를 올바르게 사용하도록 수정됨
  • wash-runtime 엔진 설정이 WasmProposal을 통해 조합 가능해지고 CLI와 차트에 노출됨, wash-runtime의 P3 HTTP 응답 스트리밍과 타임아웃 시 gRPC 바디 정리도 함께 수정됨
  • 그 외 소소한 수정과 도구 개선: 패키지 수준 참조 WIT 검증, 버전 지정자 remove 처리, wash new의 Windows 경로 처리, wash wit add의 멀티라인 world 선언 지원, AbortOnDrop을 통한 임시 태스크 정리, CI 개선(CARGO_NET_RETRY, s390x 빌드, 네임스페이스 OCI 경로로 WIT 패키지 배포)
원문

Flux

CI/CD & App Delivery2026년 7월 1일

Flux v2.9.0은 대부분의 컨트롤러에 새 기능을 더한 기능 릴리스이며, 수명이 끝난 image.toolkit.fluxcd.io/v1beta2와 notification.toolkit.fluxcd.io/v1beta2 API가 CRD에서 제거된 것이 유일한 주요 변경 사항입니다.

  • breakingv1beta2 image·notification API 제거

    image.toolkit.fluxcd.io/v1beta2 또는 notification.toolkit.fluxcd.io/v1beta2를 아직 쓰는 클러스터에 적용됩니다. 두 API는 수명이 끝나 v2.9.0의 CRD에서 완전히 제거되었습니다. 업그레이드 전에 ImagePolicy, ImageRepository, ImageUpdateAutomation, Alert, Provider, Receiver 리소스를 최신 API 버전으로 옮겨야 하며, 그렇지 않으면 컨트롤러가 해당 리소스를 조정하지 못합니다.

주요 변경 (8)
  • 주요 변경: image.toolkit.fluxcd.io/v1beta2와 notification.toolkit.fluxcd.io/v1beta2가 수명 종료로 CRD에서 제거됨. 업그레이드 전 관련 리소스 마이그레이션 필요.
  • `flux plugin` 명령으로 새 Flux CLI 플러그인 시스템 도입, Mirror·Schema 플러그인 포함.
  • Kustomization에 필드 무시 규칙을 통한 Server-Side Apply 드리프트 제어 추가, Age 포스트 퀀텀 암호 기반 SOPS 복호화도 지원.
  • OpenBao/Vault용 Kustomization Workload Identity 인증, GitRepository용 AWS CodeCommit Workload Identity 인증 신설.
  • HelmRelease에 차트 훅을 포함한 포스트 렌더 전략 추가, `helm --set-literal`과 동일한 리터럴 모드 값 참조 지원.
  • GitRepository와 ImageUpdateAutomation에 SSH 키 기반 Git 커밋 서명·검증 추가, OCIRepository는 에어갭 환경 keyless 검증용 커스텀 Sigstore trusted root 지원.
  • 시크릿 없이 OIDC로 보호되는 웹훅 Receiver 추가, ArtifactGenerator에 모노레포용 경로 패턴 디렉터리 탐색 기능 추가.
  • source-controller v1.9.1, kustomize-controller v1.9.1, notification-controller v1.9.1, helm-controller v1.6.1, image-reflector/automation-controller v1.2.1 등 컴포넌트 업데이트, CLI는 Kubernetes 1.36과 Go 1.26 기반으로 빌드되며 여러 명령 추가와 소소한 버그 수정도 포함.
원문

Kubescape

Security2026년 6월 30일

Kubescape v4.0.10은 기능 추가와 보안 강화가 함께 담긴 릴리스로, 스캔 완료 웹훅의 SSRF 취약점을 막고 config.json 권한과 입력 검증을 강화했으며 죽은 CRD를 정리했습니다. 여기에 `operator remediate`, 암호화 리포트 복호화 같은 신규 기능과 다수의 버그 수정이 함께 포함되었고, 이번 릴리스에서 공개된 CVE 추적 취약점은 없습니다.

  • security스캔 완료 웹훅 SSRF 방어 강화

    스캔 완료 웹훅 콜백에 SSRF 방어 로직이 추가되었습니다. 이 콜백 기능을 사용 중이라면, 조작된 콜백 URL로 인한 아웃바운드 요청 악용을 막기 위해 업그레이드를 권장합니다.

  • breakingconfig.json 권한을 소유자 전용으로 제한

    config.json 파일 권한이 기존보다 넓은 접근 범위에서 소유자 전용으로 변경되었습니다. 다른 사용자 계정으로 이 파일에 접근하는 자동화나 툴이 있다면 접근 실패가 발생할 수 있으니 확인이 필요합니다.

  • breaking고립된 SecurityException CRD 제거

    설치조차 되지 않던 고립된 SecurityException CRD가 제거되었습니다. 매니페스트나 문서에서 이 CRD를 참조하던 경우에만 해당되며, 원래 동작하지 않았으므로 기능적 영향은 없습니다.

  • enhancement--format과 VAP 컨트롤 검증 강화

    --format 플래그는 스캔 시작 전에 잘못된 값을 걸러내고, VAP 구성 가능 컨트롤은 이제 params를 필수로 요구합니다. 검증 없이 --format을 스크립트에 넘기거나 params 없이 VAP 컨트롤을 실행하던 경우, 이제 조용히 넘어가지 않고 즉시 오류로 실패합니다.

주요 변경 (8)
  • 스캔 완료 웹훅 콜백에 SSRF 방어 로직을 추가해 아웃바운드 알림의 요청 위조 취약점을 막았습니다.
  • config.json 권한을 소유자 전용으로 좁혀, 기존 설치본의 기본 파일 접근 방식이 바뀝니다.
  • 설치조차 안 되던 고립 상태의 SecurityException CRD와 관련 테스트를 제거했습니다.
  • --format 플래그가 스캔 전에 잘못된 값을 거부하고, VAP 구성 가능 컨트롤은 params를 필수로 요구하도록 검증이 강화됐습니다.
  • `operator remediate` CLI 서브커맨드(annotate, dry-run 모드), VAP 엔진용 CEL 환경 빌더/평가기, DEK 래핑을 포함한 암호화 리포트 복호화 기능이 새로 추가됐습니다.
  • GVR 조회 실패를 감지해 감점하는 스캔 커버리지 점수 지표와, OPA 프로세서의 컨트롤별 평가 타임아웃(타임아웃 시 0점 처리, 부분 결과 폐기)이 추가됐습니다.
  • nil ScanData, 조직명 없는 이미지 이름 파싱, 스캔 실행 고루틴 등 여러 패닉을 수정했고 스캔 리스너 서버에 HTTP 타임아웃을 설정했습니다.
  • 리소스 중복 제거, 호스트 센서 infoMap 병합, SARIF 라인 번호 해석, 출력 덮어쓰기 방지, 고립된 RoleBinding 처리 등 10여 개의 소소한 수정과 Go 1.26 전환도 포함됩니다.
원문

Karmada

Orchestration & Management2026년 6월 30일

Karmada v1.18.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Karmada

Orchestration & Management2026년 6월 30일

Karmada v1.17.4이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Karmada

Orchestration & Management2026년 6월 30일

Karmada v1.16.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

KubeVela

CI/CD & App Delivery2026년 6월 30일

KubeVela v1.10.9이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

KubeVela

CI/CD & App Delivery2026년 6월 30일

KubeVela v1.9.14이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

OpenFGA

Security2026년 6월 30일

v1.18.1은 CIDR 매칭 동작과 직렬화 결정성을 고치고 실험적 플래그를 BatchCheck까지 확장한 routine 패치입니다. 브레이킹 체인지나 CVE는 없지만, in_cidr 수정으로 IPv4-mapped IPv6 주소의 매칭 동작이 바뀝니다.

  • breakingin_cidr이 IPv4-mapped IPv6 주소를 IPv4 CIDR과 매칭시킴

    무조건 적용됩니다: in_cidr 조건이 IPv4-mapped IPv6 주소(예: ::ffff:192.168.1.1)를 매칭 전에 IPv4 형태로 정규화하므로, 이제 192.168.1.0/24 같은 IPv4 CIDR과 매칭됩니다. 이런 주소가 IPv4 범위에서 제외되길 기대했다면 in_cidr을 사용하는 인가 모델을 점검하세요.

주요 변경 (4)
  • in_cidr 조건이 IPv4-mapped IPv6 주소(RFC 4291 §2.5.5.2)를 IPv4 형태로 정규화해서, ::ffff:192.168.1.1이 192.168.1.0/24와 매칭됨
  • weighted_graph_check, Expand, ListUsers에 진단 로깅 추가: 향후 v2 Check 판정이 v1과 달라질 수 있는 모델을 표시함, 지금 당장 조치는 필요 없음
  • 실험적 weighted_graph_check 플래그가 BatchCheck까지 확장됨: 각 배치 항목을 weighted graph 알고리즘으로 평가하고, 비종단 오류 시 항목별로 표준 알고리즘으로 폴백함
  • serialized_protobuf 컬럼에 대한 인가 모델 직렬화가 결정론적 proto marshaling을 사용하도록 변경되어, map 키 타입 정의를 가진 모델의 저장 바이트 불일치 문제를 고침
원문

NATS

Networking & Messaging2026년 6월 30일

NATS 서버 v2.14.3은 JetStream, MQTT, 클러스터링 버그 수정이 대부분을 차지하는 유지보수 릴리스입니다. MQTT 인증 전 메모리 고갈 및 패닉 문제 2건이 수정되었고, 모니터링 엔드포인트의 JSONP 지원이 제거되는 breaking change가 포함되어 있습니다.

  • securityMQTT 메모리 고갈 및 패닉 수정

    MQTT를 사용하는 서버에 해당합니다. v2.14.3에서 수정: 불완전한 CONNECT 패킷으로 인증 전 메모리를 고갈시킬 수 있던 문제와, PUBLISH remaining-length 언더플로로 서버가 패닉하던 문제입니다. 특히 신뢰할 수 없는 클라이언트에 MQTT를 노출한 경우 업그레이드를 권장합니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    모니터링 엔드포인트(/varz, /connz 등)에서 callback= 파라미터로 JSONP를 쓰던 환경에 해당합니다. v2.14.3에서 완전히 제거되었으므로, 업그레이드 전에 대시보드나 스크립트를 순수 JSON 폴링 방식으로 바꿔야 합니다.

  • breaking리프 trace destination 및 NoAuthUser 권한 검사 강화

    Nats-Trace-Dest를 쓰는 리프 노드 구성과 NoAuthUser를 쓰는 계정에 해당합니다. v2.14.3에서 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하던 문제와, NoAuthUser가 연결 제한을 검사하지 않던 문제가 수정되었습니다. 업그레이드 후 이전에는 허용되던 트래픽이 의도대로 차단될 수 있으니 권한 및 NoAuthUser 설정을 다시 확인하세요.

주요 변경 (7)
  • MQTT 부분 CONNECT 패킷으로 인한 인증 전 메모리 고갈, PUBLISH remaining-length 언더플로 패닉을 v2.14.3에서 수정
  • 권한 검사 강화: 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하지 못하게 되었고, NoAuthUser가 연결 제한을 검사하도록 변경
  • 모니터링 엔드포인트에서 JSONP 콜백 지원 제거 (아직 사용 중인 도구에는 breaking change)
  • JetStream 클러스터링/Raft 안정성 관련 대규모 수정: 종료 시 메타 노드 데이터 레이스, 제한 초과 시 스트림 캐치업 스킵 문제, 메타 복구 후 유령 스트림/컨슈머, 잘림/스냅샷 시 Raft 멤버십 되돌리기 등
  • MQTT 강화: 내부 $MQTT.deliver.pubrel 구독 차단, retained/QoS 재전송 경로에 subscribe deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • 파일스토어 및 메모리 스토어 수정: 압축 해제 시 압축/암호화 블록 손상 문제, DeliverLastPerSubject 컨슈머의 NumPending 과다 집계, 카운터 스트림 스테이징 총합 손상 문제 해결
  • 그 외 PROXY/TLS 스니핑, 게이트웨이 CONNECT 레이스, 클러스터 라우트 간 서비스 임포트 트레이싱, CONNZ/SUBSZ 오버플로 방지, JWT/계정 클레임 갱신 등 스무 건 가량의 소규모 수정과 Go 1.26.4로 업데이트
원문

NATS

Networking & Messaging2026년 6월 30일

v2.12.12는 nats-server의 버그 수정 및 안정화 릴리스로, JetStream/Raft 데이터 정합성과 패닉 관련 수정이 다수 포함되었고 모니터링 엔드포인트의 JSONP 지원이 제거되었습니다. 별도의 CVE는 공개되지 않았지만, 잘못된 MQTT 입력으로 유발되는 메모리 소모 및 패닉 경로를 막는 수정이 포함되어 운영자는 보안 관점에서 챙겨볼 필요가 있습니다.

  • securityMQTT 부분 CONNECT / PUBLISH 언더플로 크래시 수정

    MQTT를 사용 중이라면 업그레이드를 권장합니다. 부분 CONNECT 패킷으로 인증 전 메모리를 소모시킬 수 있는 문제와 PUBLISH remaining-length 언더플로로 서버가 패닉하는 문제가 수정되었습니다. 둘 다 인증되지 않은 클라이언트가 잘못된 입력만으로 유발할 수 있습니다.

  • security모니터링/JetStream 사용량 추적의 정수 오버플로 패닉 수정

    CONNZ/SUBSZ 페이지네이션에서 정수 오버플로로 패닉이 발생하던 문제와 JetStream 원격 사용량 갱신 중 길이 정수 오버플로 패닉이 수정되었습니다. 대규모 클러스터나 모니터링 폴링이 빈번한 환경은 업그레이드로 이 패닉 경로를 제거할 수 있습니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    v2.12.12에서 모니터링 엔드포인트의 JSONP 콜백 지원이 무조건 제거되었습니다. /varz, /connz 등에 JSONP 콜백으로 접근하던 도구나 대시보드는 동작하지 않으며, 일반 JSON 요청으로 전환해야 합니다.

주요 변경 (8)
  • 모니터링 엔드포인트의 JSONP 콜백 지원 제거 (아직 JSONP를 쓰는 도구에는 breaking change)
  • MQTT 강화: 부분 CONNECT의 인증 전 메모리 소모 차단, PUBLISH remaining-length 언더플로 패닉 수정, $MQTT.deliver.pubrel 구독 남용 차단, 보존/QoS 리플레이 경로에서 deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • JetStream/Raft 데이터 정합성 관련 대규모 수정: filestore 압축 손상, 카운터 스트림 스테이징 손상, 메타 복구 시 유령 스트림/컨슈머, raft 체크포인트/ApplyCommit 정확성, 스트림 캐치업 디싱크, truncate/snapshot 시 멤버십 롤백
  • CONNZ/SUBSZ 페이지네이션과 JetStream 원격 사용량 갱신의 정수 오버플로 패닉 수정, resolver 상위 디렉터리가 없을 때 시작 시 발생하던 nil 포인터 패닉 수정
  • 인증, 라우팅, 모니터링, 클러스터 요청 처리 전반의 패닉/치명적 오류/데이터 레이스 다수 수정
  • 게이트웨이/프록시 관련 수정: 게이트웨이 CONNECT 처리 중 레이스, 신뢰 프록시 추적 중 누수, PROXY 프로토콜 감지, allow_non_tls TLS 스니핑, PROXY v1 주소 체계 파싱
  • 서비스 임포트 응답이 클러스터 라우트 간에도 전달되도록 수정, 임포트/익스포트에서 메시지 트레이싱 정상화, 계정 클레임 갱신 시 JWT 상속 기본 권한과 외부 인증 설정도 올바르게 갱신되도록 수정
  • 그 외 일상적 수정: 연결별 로그를 디버그 레벨로 조정, s2_fast 압축 모드에서 writer 옵션 일관성 확보, 마이그레이션을 위한 스트림/컨슈머 할당 처리 리팩터링
원문

Open Policy Agent (OPA)

Security2026년 6월 29일

Open Policy Agent (OPA) v1.18.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Strimzi

Networking & Messaging2026년 6월 27일

Strimzi 1.1.0은 Kafka 4.3.0·4.2.1 지원을 추가하고 Kafka 4.1.x를 제거한 기능 릴리스입니다. 엔티티 오퍼레이터 헬스체크 포트 이름 변경과 KafkaBridge·KafkaMirrorMaker2의 TLS 형식 전환, 두 가지 브레이킹 체인지를 업그레이드 전에 반드시 확인해야 합니다.

  • breaking엔티티 오퍼레이터 헬스체크 포트 이름 변경

    엔티티 오퍼레이터의 헬스체크 포트 이름이 `healthcheck`에서 topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었습니다. 이 포트 이름을 참조하는 PodMonitor, ServiceMonitor, NetworkPolicy 등 커스텀 리소스가 있다면 업그레이드 전에 수정해야 합니다.

  • breakingKafka 4.1.x 지원 제거

    1.1.0부터 Kafka 4.1.x는 지원이 끊겼습니다. Kafka 4.1.x를 실행 중인 클러스터는 이 Strimzi 버전으로 올리기 전에 먼저 4.2.1 또는 4.3.0으로 업그레이드해야 합니다.

  • breakingKafkaBridge·KafkaMirrorMaker2의 TLS 트러스트스토어 형식이 PEM으로 변경

    KafkaBridge와 KafkaMirrorMaker2가 TLS 인증 및 트러스트스토어에 P12/JKS 대신 PEM 파일을 사용하도록 바뀌었습니다. 이 컴포넌트에서 P12/JKS 형식을 기대하는 외부 시스템이나 도구가 있다면 점검이 필요합니다.

  • breakingCRD v1만 지원 — 구 API 버전 사용 불가

    CRD API 버전 v1beta2, v1beta1, v1alpha1은 1.0.0부터 이미 지원이 종료되었습니다. 아직 리소스를 v1로 전환하지 않았다면 1.1.0 업그레이드 전에 변환을 완료해야 합니다.

주요 변경 (8)
  • Apache Kafka 4.3.0·4.2.1 지원 추가, Kafka 4.1.x 지원 제거.
  • 엔티티 오퍼레이터 헬스체크 포트 이름 변경: topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었으므로 참조 리소스를 수정해야 합니다.
  • KafkaBridge·KafkaMirrorMaker2의 TLS 인증 및 트러스트스토어가 P12/JKS에서 PEM으로 전환되었으며, PEM 파일은 KubernetesSecretConfigProvider를 통해 시크릿에서 직접 읽습니다.
  • 실패한 KafkaConnector를 이제 중지할 수 있습니다. 실패 상태의 커넥터를 일시 중지하려 하면 Kafka Connect가 지원하지 않는 작업이라 거부됩니다.
  • 클러스터 오퍼레이터에 `STRIMZI_PKCS12_KEYSTORE_GENERATION` 옵션이 추가되어 CA·KafkaUser 시크릿에서 PKCS12 스토어 생성을 비활성화할 수 있습니다. KafkaUser별로 mTLS `validityDays`·`renewalDays`도 설정 가능해졌습니다.
  • Gateway API `tlsroute` 리스너 타입, 브로커별 리스너 어노테이션·레이블 템플릿, Kafka Connect Build에서 Maven 아티팩트 의존성 스코프 설정이 새로 지원됩니다.
  • `UseBackgroundPodDeletion` 피처 게이트(알파, 기본 비활성)가 추가되어 롤링 업데이트 중 파드 삭제 시 백그라운드 삭제 전파 방식을 선택할 수 있습니다.
  • Strimzi Drain Cleaner가 1.6.0으로, Strimzi Access Operator가 0.3.0으로 업데이트되어 설치 파일에 포함되었습니다.
원문

Volcano

Orchestration & Management2026년 6월 27일

Volcano v1.14.3은 스케줄러 버그 수정 백포트만으로 구성된 정기 패치 릴리스입니다. 신규 기능, 지원 중단, 보안 변경 사항은 없습니다.

주요 변경 (7)
  • Network-Topology-Aware 스케줄링 소프트 모드의 잡·서브잡 처리 오류 수정
  • 인큐 스칼라 리소스 회계에 밀리 단위 적용, 리소스 계산 정밀도 오류 해결
  • 중·대형 클러스터에서 발생하던 HAMi vGPU 스케줄링 실패 수정
  • Ascend vNPU 상태 확인 방식을 Allocatable 리소스 기반으로 변경
  • 선점 시 우선순위가 높은 파드를 먼저 유예(reprieve)하도록 순서 복원
  • 장기 실행 잡에서 job.Status.Conditions가 무한 증가하는 문제를 차단해 메모리·etcd 부담 감소
  • 그 외 소규모 스케줄러 수정: 파드 해제 시 device 어노테이션 정리, minPartitions 미설정 시 minAvailable의 replicas 폴백, 노드 스냅샷 ImageStates 복원, maxFloat·maxInt 표시 오류 수정
원문

Keycloak

Security2026년 6월 27일

Keycloak 26.6.4는 CVE 8건을 수정하는 보안 릴리스로, critical 등급 두 건(권한 상승, JWT 인증 우회)과 high 등급 인가 우회 네 건이 포함되어 있습니다. 가능한 빨리 업그레이드하는 것을 권장하며, Quarkus도 3.33.2.1로 함께 올라갔습니다.

  • securitycritical 등급 취약점 두 건: 그룹 관리자 권한 상승, JWT 인증 우회

    CVE-2026-9099는 그룹 관리자가 realm-admin 권한까지 획득할 수 있는 취약점이고, CVE-2026-11800은 JWT 알고리즘 혼동을 이용한 인증 우회입니다. 둘 다 critical 등급이므로 가능한 빨리 26.6.4로 업그레이드해야 합니다.

  • securityhigh 등급 인가·접근 제어 우회 취약점 네 건

    CVE-2026-9705(등록 액세스 토큰을 이용한 클라이언트 탈취), CVE-2026-9795(스코프 매핑 오류로 인한 권한 상승), CVE-2026-9799(UMA 권한 티켓 우회), CVE-2026-9800(Policy Enforcer의 URI 비교 오류로 인한 인가 우회) 모두 high 등급입니다. UMA 인가, 세분화된 스코프 매핑, Policy Enforcer를 사용 중이라면 이번 업그레이드를 우선순위에 두세요.

  • securitymedium 등급 취약점 두 건: 정보 노출과 XSS

    CVE-2026-9083(파일시스템 경로 탐지를 통한 정보 노출)과 CVE-2026-9086(대소문자 무시 URI 검증 우회로 인한 XSS)은 medium 등급으로 함께 수정되었습니다.

주요 변경 (5)
  • 이번 릴리스에서 CVE 8건이 수정되었고 그중 두 건이 critical입니다: CVE-2026-9099(그룹 관리자의 realm-admin 권한 상승), CVE-2026-11800(JWT 알고리즘 혼동을 통한 인증 우회)
  • high 등급 수정 네 건: 등록 액세스 토큰을 이용한 클라이언트 탈취(CVE-2026-9705), 스코프 매핑 권한 상승(CVE-2026-9795), UMA 권한 티켓 우회(CVE-2026-9799), Policy Enforcer의 URI 비교 오류로 인한 인가 우회(CVE-2026-9800)
  • medium 등급 수정 두 건: 파일시스템 경로 탐지 정보 노출(CVE-2026-9083), URI 검증 우회 XSS(CVE-2026-9086)
  • Quarkus 의존성이 3.33.2.1로 업그레이드됨
  • 그 외 자잘한 빌드·패키징 수정: 26.2 브랜치의 Infinispan protoschema 빌드 문제, JS와 Admin Client 테스트 스위트 CI 수정, keycloak-api-docs-dist 패키징 수정, 마이그레이션 가이드 참조 오류 수정
원문

Operator Framework

Orchestration & Management2026년 6월 27일

Operator Framework v1.42.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Backstage

CI/CD & App Delivery2026년 6월 27일

Backstage v1.52.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

metal3-io

Provisioning & Runtime2026년 6월 26일

metal3-io v0.13.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Open Policy Agent (OPA)

Security2026년 6월 26일

v1.18.0은 버그픽스 중심 릴리스로, 운영자가 반드시 확인해야 할 변경 사항은 RFC 9110 준수를 위한 User-Agent 헤더 하이픈 추가 하나입니다. 나머지는 런타임 개선, 포매터 및 커버리지 도구 수정, Go 툴체인 버전 갱신입니다.

  • breakingUser-Agent 헤더 형식 변경 (RFC 9110 준수)

    OPA가 HTTP 요청 시 전송하는 User-Agent 헤더가 'Open Policy Agent/<version> (<os>, <arch>)'에서 'Open-Policy-Agent/<version> (<os>, <arch>)'로 바뀌었습니다('Open'과 'Policy' 사이에 하이픈 추가). 이전 문자열을 정확히 일치시키는 서버 측 로그 필터, WAF 규칙, 접근 정책이 있다면 v1.18.0 업그레이드 후 반드시 수정해야 합니다.

주요 변경 (7)
  • User-Agent 헤더가 'Open Policy Agent'에서 'Open-Policy-Agent'(하이픈 추가)로 변경됨 — 이전 문자열 정확 일치 필터나 WAF 규칙은 업그레이드 전 점검 필요
  • 컨테이너 환경 리소스 제한 복원 및 확장: GOMAXPROCS 자동 설정 복구, GOMEMLIMIT 자동 설정 신규 지원
  • opa fmt 교정 버그 다수 수정: 단일 항목 이터러블의 멀티라인 형식 유지, 주석 뒤 with 절 유실 문제 해결
  • opa test --coverage 개선: 리포트에 범위 정보 추가, 인라인 규칙 헤드 추적, 논리곱(conjunction) 표현식 커버리지 지원
  • future.keywords.not을 every 블록 내부에서 사용할 때 발생하던 부분 평가 회귀 버그 수정, every 내부 컴프리헨션의 변수 네임스페이싱 문제도 함께 수정
  • 성능 개선: object.get 메모리 할당 감소, topdown dst.Compare(src) 숏컷 제거, format_int 10진수 경로에서 strconv.ParseInt 호출 생략
  • Go 1.26.3 → 1.26.4 업데이트, 웹사이트 및 노드 의존성 일괄 갱신
원문

OpenCost

Observability2026년 6월 26일

이번 OpenCost 릴리스는 GPU 가격, 데이터 레이스, Azure Windows 가격 계산 등을 손보는 통상적인 패치이며, STACKIT 프로바이더가 신규로 추가됐습니다. 브레이킹 체인지나 지원 종료, CVE 수정 사항은 없습니다.

주요 변경 (7)
  • 데이터 레이스 및 안정성 수정 다수: cloudcost Status의 coverage 읽기에 가드가 추가되고 ClusterMap 티커를 정지시켜 누수를 막았으며, customcost Status()는 coverage 맵을 복사하도록 수정, GPUAllocation.Equal은 포인터 필드 값을 올바르게 비교하도록 수정
  • Azure Windows 노드의 온디맨드 가격 계산이 OS를 인식하도록 수정되어, 잘못된 기준 요율을 쓰던 문제를 해결
  • 커스텀 프로바이더의 GPU 기본 가격 오류를 수정하고, 크래시를 막기 위한 nil 필터 가드 추가
  • 클라우드 가격 조회용 HTTP 클라이언트에 타임아웃을 추가해 행업(hang)을 방지
  • STACKIT을 신규 지원 클라우드 프로바이더로 추가
  • BigQueryConfiguration에 queryProjectID 필드 추가, Provider Pricing Data 접근을 위한 GKE Workload Identity Federation 지원 추가
  • 그 외 소소한 변경: get_efficiency 툴에 step 파라미터 노출, Bingen 0.1.1 스트리밍 writer 지원, UI 빌드 도구를 parcel에서 react-router/vite로 전환, Tilt 개발용 Dockerfile.debug 복원, 스팟 가격 인증 실패 로그의 출력량 감소
원문

cert-manager

Security2026년 6월 26일

v1.19.6은 cert-manager-edit ClusterRole에서 발견된 HIGH 등급 RBAC 권한 상승 취약점(사용자가 ACME Challenge/Order를 직접 생성해 Issuer solver 셀렉터를 우회할 수 있던 문제)을 수정하는 보안 패치이며, CVE 3건을 해결하는 Go 툴체인 업데이트도 포함합니다. 이번 RBAC 수정에는 문서화된 주요 권한 변경이 포함되어 있습니다.

  • securityACME Challenge/Order 직접 생성을 통한 RBAC 권한 상승

    v1.19.6에 적용됩니다. 기본 cert-manager-edit 애그리게이트 ClusterRole은 네임스페이스 사용자가 ACME Challenge와 Order 리소스를 직접 생성할 수 있게 해, Issuer solver 셀렉터를 우회할 수 있었습니다. 이번 패치로 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create/patch/update 권한이 해당 역할에서 제거되었습니다. HIGH 등급 취약점(GHSA-8rvj-mm4h-c258)이므로 v1.19.6으로 업그레이드하세요.

  • securityGo 툴체인 1.25.11로 업데이트, CVE 3건 해결

    v1.19.6에서 무조건 적용됩니다. Go가 1.25.11로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 해결합니다. 업그레이드 외에 별도 조치는 필요 없습니다.

  • breakingcert-manager-edit ClusterRole의 Challenge/Order 생성 권한 제거

    Certificate → CertificateRequest → Order → Challenge 흐름을 벗어나 Challenge나 Order 리소스를 직접 생성하는 도구나 워크플로우가 있다면, 업그레이드 후 해당 권한을 잃게 되므로 별도로 권한을 부여해야 합니다.

주요 변경 (4)
  • HIGH 등급 RBAC 취약점 수정(GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole이 ACME Challenge/Order 직접 생성을 허용해 Issuer solver 셀렉터를 우회할 수 있었음
  • 주요 변경(breaking): cert-manager-edit이 더 이상 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create/patch/update 권한을 부여하지 않음. Challenge/Order를 직접 생성하는 도구는 권한을 별도로 부여해야 함
  • Go를 1.25.11로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 해결
  • 앞서 Go 1.25.10 업데이트와 기타 의존성 업데이트 다수 포함
원문

cert-manager

Security2026년 6월 26일

v1.20.3은 cert-manager-edit ClusterRole의 HIGH 심각도 RBAC 과잉 권한(GHSA-8rvj-mm4h-c258)을 수정하고 Go를 v1.26.4로 올려 CVE 3건을 해결한 보안 릴리스입니다. 업그레이드 전에 Challenge·Order 리소스를 직접 생성하는 워크플로가 있는지 반드시 확인하세요.

  • securitycert-manager-edit ClusterRole RBAC 과잉 권한 (GHSA-8rvj-mm4h-c258)

    GHSA-8rvj-mm4h-c258(HIGH): cert-manager-edit 집계 ClusterRole이 네임스페이스 사용자에게 Challenge·Order 리소스 직접 생성 권한을 부여해, Issuer 솔버 셀렉터를 우회할 수 있었습니다. v1.20.3에서 수정되었으므로, 클러스터에 신뢰하지 않는 네임스페이스 사용자가 있다면 즉시 업그레이드하세요.

  • securityGo v1.26.4 업데이트 (CVE 3건)

    Go가 v1.26.4로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 세 건의 CVE가 수정됩니다. 별도 설정 변경 없이 cert-manager를 업그레이드하면 적용됩니다.

  • breakingBreaking: cert-manager-edit에서 Challenge·Order 직접 생성 권한 제거

    cert-manager-edit ClusterRole에서 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create·patch·update 권한이 제거되었습니다. 정상 흐름(Certificate → CertificateRequest → Order → Challenge)을 거치지 않고 Challenge나 Order를 직접 생성하는 자동화 도구·CI 워크플로가 있다면, 업그레이드 전에 반드시 수정하세요.

주요 변경 (4)
  • HIGH 심각도 RBAC 취약점 수정 (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole에서 Challenge·Order 직접 생성을 허용하는 권한을 제거해 Issuer 솔버 셀렉터 우회 경로를 차단했습니다.
  • Breaking 변경: cert-manager-edit 집계 ClusterRole에서 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create·patch·update 권한이 삭제되었습니다.
  • Go를 v1.26.4로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 수정했습니다.
  • 버그 수정: Challenge 리소스에 포함되어 있던 issuer owner reference가 제거되어 Challenge 가비지 컬렉션이 정상 작동합니다.
원문
이전 →