containerd
v1.7.33Kubernetes Core2026년 6월 19일
containerd 1.7.33은 containerd 자체 CVE 2건과 go-jose CVE 1건을 패치하고, runc를 v1.3.6으로, Go 런타임을 업데이트했습니다. 업그레이드 이유는 보안 패치가 전부입니다.
securityCVE 3건 수정 — 1.7.33으로 바로 업그레이드
containerd 본체에서 CVE-2026-53488과 CVE-2026-47262, go-jose에서 CVE-2026-34986이 수정됐습니다. 세부 내용은 GitHub 보안 어드바이저리를 확인하세요. containerd 1.7.x를 운영 중이라면 이전 패치 버전에 머물 이유가 없으므로 즉시 업그레이드하는 것이 좋습니다.
security이미지 config에서 예약 레이블 전파 차단
이미지 config에 포함된 reserved label이 외부로 전파되지 않도록 수정됐습니다. 레이블 기반 접근 제어나 정책 적용을 운영 중이라면 업그레이드 후 동작을 검증하고, CVE-2026-47262 어드바이저리에서 영향 범위를 확인하세요.
enhancementrunc v1.3.6 반영 확인 필요
containerd에 번들된 runc가 v1.3.6으로 올라갔습니다. runc를 별도로 관리하는 환경이라면 설치된 버전이 v1.3.6 이상인지 확인해 containerd와 버전을 맞추세요.
주요 변경 (5)
- containerd 코어 CVE-2026-53488, CVE-2026-47262 패치
- go-jose CVE-2026-34986 대응으로 go-jose/v3 v3.0.5로 업그레이드
- runc 바이너리 v1.3.6으로 업데이트
- Go 런타임 1.26.4 / 1.25.11로 업데이트
- openBoundedUserFile에서 사용자 DB 파일 읽기 크기 제한 추가(하드닝)