containerd
v2.2.4Kubernetes Corecontainerd v2.2.4는 두 건의 CVE 패치와 함께 overlay, sandbox, AppArmor, seccomp 관련 버그를 수정한 보안 중심 패치 릴리스입니다.
securityCVE 두 건 포함 — 즉시 v2.2.4로 업데이트
containerd 코어(CVE-2026-46680)와 go-jose 의존성(CVE-2026-34986) 각각 하나씩, 총 두 건의 CVE가 수정됐습니다. 프로덕션 배포 모두에 해당하는 내용이므로 정기 점검 일정을 기다릴 이유가 없습니다. 긴급 패치 프로세스로 처리하세요. Kubernetes 노드에서 containerd를 런타임으로 사용 중이라면 오케스트레이터 종류와 무관하게 모두 영향을 받습니다.
securityAF_ALG 기본 차단 추가 — 커스텀 워크로드 사전 검토 필요
기본 seccomp 프로파일이 AF_ALG(소켓 기반 커널 암호화 API)를 차단하도록 강화됐습니다. 일반적인 워크로드에는 영향이 없지만, 암호화 처리나 하드웨어 오프로드 목적으로 AF_ALG 소켓을 직접 사용하는 컨테이너는 시스템 콜 거부가 발생할 수 있습니다. 업그레이드 전에 커스텀 또는 관대한 seccomp 프로파일을 사용하는 워크로드를 점검해두세요.
enhancementUserNS + overlay 환경의 레이어 추출 오류 수정
사용자 네임스페이스(rootless 컨테이너 포함)에서 overlay 스냅샷터를 쓸 때 'rebase' 기능이 레이어 추출 실패를 일으키던 문제가 해결됐습니다. UserNS 컨텍스트에서 자동으로 비활성화되므로 별도 설정 변경 없이 업그레이드만 하면 됩니다. 업데이트 후 rootless 워크로드의 마운트 정상 동작 여부를 확인하는 정도면 충분합니다.
주요 변경 (5)
- containerd 코어의 CVE-2026-46680 패치 (GHSA-fqw6-gf59-qr4w)
- go-jose v4.1.4 업그레이드로 CVE-2026-34986 수정 — JWT/JWK 처리 영역 취약점
- 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 — 커널 암호화 API 공격 면적 축소
- 사용자 네임스페이스에서 overlay의 'rebase' 기능 비활성화 — 레이어 추출 실패 문제 해결
- OCI 스펙의 USER 값이 범위를 벗어날 경우 묵시적 오류 대신 명시적 에러 반환