containerd
v2.3.1Kubernetes Corecontainerd 2.3.1은 CVE-2026-46680을 패치하고, 기본 seccomp 정책 강화 및 런타임/스냅샷터 버그를 수정한 패치 릴리스입니다.
securityCVE-2026-46680 즉시 패치 — 2.3.0에서 업그레이드 필수
이번 릴리스에서 CVE-2026-46680이 수정됐습니다. 2.3.0을 운영 중이라면 취약점 세부 정보가 공개되기 전에 모든 노드에 2.3.1을 배포하세요. 패키지 매니저나 배포 파이프라인을 통해 빠르게 적용하는 것이 좋습니다.
security기본 seccomp 정책에서 AF_ALG 차단 — 커널 암호화 API 사용 워크로드 사전 검증 필요
기본 seccomp 프로파일이 AF_ALG(커널 소켓 기반 암호화 API)를 차단하도록 강화됐습니다. 대부분의 컨테이너 워크로드에는 영향이 없지만, AF_ALG를 직접 사용하는 애플리케이션은 업그레이드 후 동작이 중단될 수 있습니다. 프로덕션 적용 전에 strace 또는 소켓 호출 감사를 통해 영향 여부를 확인하세요. 커스텀 seccomp 프로파일을 직접 지정한 경우엔 영향받지 않습니다.
breaking비-runc 런타임 사용자: 업그레이드 후 샌드박스 태스크 API 동작 검증 필요
Kata Containers, gVisor 등 대체 런타임을 쓰는 환경이라면 샌드박스 태스크 API 수정 사항이 실제 컨테이너 생성 및 태스크 관리에 미치는 영향을 반드시 확인하세요. Runc 옵션의 태스크 필드가 deprecated 처리됐으니, 커스텀 Runc 옵션 설정에서 해당 필드를 제거하는 작업도 미리 진행해두는 것이 좋습니다.
주요 변경 (5)
- CVE-2026-46680 보안 취약점 패치 — 2.3.0 사용 중이라면 즉시 업그레이드 필요
- 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 추가
- OCI 스펙의 범위 초과 USER 값 처리 시 예상치 못한 username/group 조회 대신 명시적 오류 반환
- 비-runc 런타임의 샌드박스 태스크 API 엔드포인트 수정 및 Runc 옵션 태스크 필드 지원 중단(deprecated) 처리
- 서버 종료 시 메타데이터·마운트 플러그인 BoltDB 파일이 정상적으로 닫히도록 수정