containerd
v2.0.9Kubernetes Corecontainerd 2.0.9는 CVE-2026-46680 보안 취약점 패치와 tar 추출 시 TOCTOU 경쟁 조건 수정, containerd 재시작 시 컨테이너 종료 이벤트 유실 문제 등 여러 버그를 수정했습니다.
securityCVE-2026-46680 즉시 패치
CVE-2026-46680 보안 취약점이 이번 릴리스에서 수정됐습니다. containerd 2.0.x를 사용 중이라면 즉시 2.0.9로 업그레이드하세요. GHSA 보안 권고문에서 영향받는 구성과 심각도를 확인한 뒤 유지보수 일정을 잡되, 가능한 한 빨리 적용하는 것을 권장합니다.
securitytar 추출 TOCTOU 수정 — 외부 이미지 사용 환경은 특히 주목
tar 추출 중 발생하는 TOCTOU 경쟁 조건은 악의적으로 조작된 이미지 레이어로 경로 탈출을 시도하는 데 악용될 수 있습니다. 신뢰할 수 없는 서드파티 이미지를 pull하는 환경이라면 업그레이드와 함께 이미지 소스 제한 정책도 함께 점검하세요.
breakingAppArmor 3.0 미만 환경은 업그레이드 후 프로파일 동작 확인 필요
AppArmor ABI 필드가 이제 조건부로 설정됩니다. AppArmor 3.0 미만 시스템에서는 기존에 호환되지 않는 ABI가 프로파일에 삽입되던 문제가 해결되는 것이지만, 커스텀 프로파일로 이 문제를 우회해왔다면 업그레이드 후 AppArmor 동작을 반드시 검증하세요.
enhancement컨테이너 종료 이벤트 유실 수정 — 파드 교체가 잦은 환경에서 효과적
containerd 재시작 후 컨테이너가 예상치 못한 상태로 멈추는 현상, 특히 파드가 빠르게 순환되는 Kubernetes 환경에서 자주 발생했다면 이 수정이 근본 원인을 해결합니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.
주요 변경 (5)
- CVE-2026-46680 보안 취약점 패치 — 즉시 업그레이드 필요
- tar 추출 과정의 TOCTOU 경쟁 조건 수정으로 이미지 언팩 시 경로 탈출 위험 감소
- 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 — 커널 공격 표면 축소
- CRI 정보 캐시 전에 도착하는 컨테이너 종료 이벤트가 유실되던 버그 수정
- 샌드박스 서비스의 Create 필드 전달 오류 및 이벤트 토픽 설정 버그 수정