RATATOSKRATATOSK
로그인

containerd

v2.1.8Kubernetes Core
2026년 6월 3일

CVE-2026-46680 보안 패치와 함께 샌드박스 서비스 버그, AppArmor 호환성, OCI USER 스펙 처리 문제를 수정한 패치 릴리스입니다.

  • securityCVE-2026-46680 즉시 패치 적용

    이번 릴리스의 핵심은 CVE-2026-46680 수정입니다. GHSA 어드바이저리에서 공격 범위와 심각도를 먼저 확인하세요. containerd 2.1.x를 운영 중이라면 이번 업그레이드를 최우선 배포 작업으로 처리해야 합니다. 의존성 변경이 없어 업그레이드 절차는 단순합니다.

  • breakingOCI USER 범위 초과 값이 이제 명시적 오류로 실패 — 스펙 사전 점검 필요

    기존에는 OCI 스펙의 USER 값이 유효 UID/GID 범위를 벗어나도 사용자명/그룹 조회로 암묵적으로 처리되어 설정 오류가 숨겨졌습니다. 이제는 명시적 에러가 반환되므로, 숫자형 USER 값을 사용하는 컨테이너가 있다면 업그레이드 후 갑자기 실패할 수 있습니다. 프로덕션 배포 전에 컨테이너 스펙을 반드시 점검하세요.

  • enhancementAppArmor 3.0 미만 환경이나 샌드박스 런타임 사용자는 업그레이드 적극 권장

    AppArmor abi 조건부 설정 수정은 구버전 AppArmor(예: Ubuntu 20.04의 2.x)를 사용하는 환경에서 실질적인 차단 요인이었습니다. 샌드박스 서비스 버그도 이벤트 기반 워크플로와 샌드박스 생성 설정에 직접 영향을 줍니다. Kata Containers 등 샌드박스 기반 런타임을 쓰고 있다면 이번 수정이 특히 중요합니다.

주요 변경 (5)

  • CVE-2026-46680 수정 — 업그레이드 전 어드바이저리에서 영향 범위 확인 필요
  • OCI 스펙에서 범위를 벗어난 USER 값에 대해 이제 명시적 에러 반환 (기존에는 사용자명/그룹 조회로 암묵적 처리)
  • 샌드박스 서비스 버그 수정: Create 필드 미전달 및 이벤트 토픽 오류 해결
  • AppArmor 3.0 미만 버전 호환성 복구 — abi 필드를 조건부로 설정하도록 변경
  • 휘발성 스냅샷터가 'volatile'과 'fsync=volatile' 두 가지 마운트 옵션 형식 모두 지원