RATATOSKRATATOSK
로그인

containerd

v1.7.31Kubernetes Core
2026년 4월 15일

v1.7.31은 spdystream의 CVE-2026-35469를 패치하고, 재시작 후 CNI DEL이 실행되지 않던 버그와 gRPC 에러를 통한 자격증명 노출 문제를 수정합니다.

  • securityCVE-2026-35469 패치: 즉시 v1.7.31로 업그레이드

    CVE-2026-35469는 SPDY 멀티플렉싱에 쓰이는 moby/spdystream 라이브러리의 취약점입니다. 수정본은 이번 릴리스에 포함된 spdystream v0.5.1에 담겨 있습니다. 1.7.x 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 특히 CRI 스트리밍 서버가 노출되어 있거나 kubectl exec/attach/port-forward 트래픽이 containerd를 통해 흐르는 클러스터라면 더욱 시급합니다.

  • security파드 이벤트 로그에서 자격증명 노출 여부 점검

    원시 에러 메시지에 레지스트리 자격증명이 포함된 채로 gRPC를 통해 반환되고 파드 이벤트에 노출되는 버그가 있었습니다. 업그레이드 후, 수정 전 기간의 파드 이벤트 로그(kubectl get events 또는 로그 수집 시스템)를 검토해 인증 토큰, 비밀번호, 이미지 풀 시크릿이 포함된 항목이 있는지 확인하세요. 노출된 자격증명이 발견되면 즉시 교체해야 합니다.

  • breaking업그레이드 후 CNI 네트워크 정리 동작 검증 필요

    CNI DEL 버그 수정으로, 기존에 containerd 재시작 후 스테일 네트워크 상태를 남기던 컨테이너가 이제 제대로 정리됩니다. 올바른 동작이지만, CNI DEL이 생략된다고 가정하는 자동화 스크립트나 워크플로가 있다면 미리 테스트하세요. 비정상 재시작 이력이 있는 노드는 업그레이드 후 첫 파드 삭제 시 정리 작업이 실행될 수 있습니다.

주요 변경 (5)

  • CVE-2026-35469 대응: spdystream v0.2.0 → v0.5.1 업그레이드
  • containerd 재시작 후 CNI DEL이 실행되지 않던 버그 수정 — 네트워크 정리가 조용히 건너뛰어지던 문제 해결
  • gRPC 에러 메시지 정제로 레지스트리 자격증명이 파드 이벤트에 노출되던 문제 수정
  • runc 바이너리를 v1.3.5로 업데이트
  • tar 추출 과정의 TOCTOU 경쟁 조건 버그 수정