Argo
v3.1.13CI/CD & App DeliverygRPC CVE 패치와 RollingSync UI 버그 수정이 포함된 패치 릴리스입니다. 보안 수정 사항으로 인해 신속한 업그레이드가 권장됩니다.
securityCVE-2026-33186 대응을 위해 즉시 업그레이드하세요
CVE-2026-33186은 Argo CD 내부 및 외부 gRPC 통신에 사용되는 grpc-go 라이브러리에서 발견된 취약점입니다. 3.1 브랜치에 완화 패치가 백포트되었으며, 3.1.13 미만의 모든 3.1.x 인스턴스가 영향을 받습니다. 정기 업데이트가 아닌 우선 패치로 취급하여 신속히 업그레이드하세요. 공급망 보안 정책을 운영 중이라면 업그레이드 후 cosign으로 이미지 서명을 검증하는 것도 잊지 마세요.
securitylodash 버전을 직접 고정한 경우 별도 점검이 필요합니다
이번 lodash 4.17.23 업그레이드는 Argo CD UI 번들에만 적용됩니다. 팀 내 애플리케이션 코드나 CI 파이프라인에서 lodash를 별도로 고정하고 있다면, 해당 버전도 독립적으로 감사하세요.
enhancementRollingSync UI 수정으로 싱크 웨이브 오설정을 더 쉽게 발견할 수 있습니다
기존에는 레이블이 일치하는 클러스터나 앱이 없는 RollingSync 스텝이 UI에서 그냥 숨겨졌습니다. 이번 수정으로 해당 스텝이 명시적으로 표시되어 잘못된 롤아웃 웨이브 설정을 바로 파악할 수 있습니다. 업그레이드 후 RollingSync를 적극 활용 중인 ApplicationSet을 점검하여 스텝 레이블이 의도한 클러스터 또는 앱과 실제로 매칭되는지 확인하세요.
주요 변경 (4)
- grpc-go의 CVE-2026-33186 완화 — gRPC 통신을 사용하는 모든 배포에 영향
- RollingSync에서 레이블이 일치하는 스텝이 없을 때 UI에 표시되지 않던 버그 수정
- lodash 4.17.21 → 4.17.23 업그레이드로 프론트엔드 의존성 취약점 해소
- 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 출처 증명 유지