RATATOSKRATATOSK
로그인

containerd

v1.7.32Kubernetes Core
2026년 5월 21일

containerd 1.7.32는 CVE-2026-46680 보안 패치를 포함하며, 기본 seccomp 프로파일에서 AF_ALG 소켓을 차단하고 OCI spec USER 처리 버그도 수정했습니다.

  • securityCVE-2026-46680 즉시 패치 — 1.7.32로 업그레이드

    이번 릴리스의 핵심은 CVE-2026-46680입니다. containerd 보안 어드바이저리(GHSA-fqw6-gf59-qr4w)에서 심각도와 공격 범위를 먼저 확인하되, 1.7.x를 운영 중이라면 패치를 미루지 마세요. 유지보수 창을 조정하더라도 업그레이드 자체는 최우선으로 계획해야 합니다.

  • security기본 seccomp에서 AF_ALG 차단 — 커스텀 워크로드 사전 점검 필요

    기본 seccomp 정책이 이제 AF_ALG(커널 암호화) 소켓 패밀리를 차단합니다. 하드웨어 암호화 오프로딩이나 HSM 연동 워크로드는 업그레이드 후 시작에 실패할 수 있습니다. 일반 컨테이너에는 영향이 없지만, 특수한 암호화 기능을 쓰는 컨테이너라면 기본값을 완화하는 대신 커스텀 seccomp 프로파일로 명시적으로 허용하는 방식으로 대응하세요.

  • breaking범위 초과 USER 값은 이제 명시적 오류로 처리

    기존에는 OCI spec에 유효 범위를 벗어난 UID/GID가 있으면 예측 불가한 사용자 이름 조회가 조용히 실행됐습니다. 이제는 컨테이너 시작 자체가 실패합니다. 고 숫자 UID를 사용하는 이미지가 있다면 업그레이드 전에 미리 점검하세요. 특히 레거시 이미지나 직접 빌드한 OCI spec을 쓰는 경우 주의가 필요합니다.

  • enhancementAppArmor 2.x 호환성 복구 — 구형 배포판 운영자 확인

    Ubuntu 20.04, Debian Bullseye 등 AppArmor 2.x를 탑재한 배포판에서 1.7.x 일부 버전이 AppArmor 프로파일 로드 오류를 일으켰습니다. abi 지시어를 조건부로 설정하도록 수정되었으니, 관련 오류를 겪었던 환경이라면 업그레이드 후 프로파일 로딩 상태를 확인하세요.

주요 변경 (5)

  • CVE-2026-46680 패치 — 1.7.x 사용자는 즉시 업그레이드 필요
  • 기본 seccomp 소켓 정책에서 AF_ALG 소켓 패밀리 차단으로 컨테이너 샌드박스 강화
  • OCI spec의 범위 초과 USER 값에 대해 이제 명시적 오류 반환 (기존에는 예측 불가한 사용자 조회 발생)
  • hosts.toml에서 [host] 섹션 없이 루트 레벨 필드만 있어도 파싱 가능하도록 수정
  • AppArmor abi 지시어를 조건부로 설정해 AppArmor 3.0 미만 버전과의 호환성 복구