Crossplane
v2.2.3Orchestration & Management2026년 6월 23일
Crossplane v2.2.3은 패키지 서명 검증의 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)을 패치하고, Go 툴체인과 의존성 보안 업데이트를 포함한 패치 릴리스입니다.
security태그 기반 패키지 설치를 사용한다면 즉시 v2.2.3으로 업그레이드
Crossplane 패키지를 태그로 설치하고 직접 통제하지 않는 레지스트리를 사용하는 경우, 이 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)에 노출됩니다. 악의적인 레지스트리가 서명 검증 단계에는 올바른 이미지를, 실제 설치 단계에는 서명되지 않은 다른 이미지를 반환할 수 있었습니다. v2.2.3으로 즉시 업그레이드하세요. 추가 방어 수단으로, 패키지 설치 시 태그 대신 다이제스트 참조로 전환하는 것도 고려할 만합니다.
securityGo 1.25.11 및 golang.org/x/net v0.55.0 업스트림 보안 패치 반영
Go 툴체인과 net 패키지 업데이트는 업스트림 보안 수정을 포함합니다. v2.2.3으로 업그레이드하는 것 외에 별도 조치는 필요 없지만, 컨테이너 이미지 CVE 스캔을 운영 중이라면 이전 버전 이미지에서 관련 취약점이 탐지될 수 있으므로 v2.2.3을 컴플라이언스 스캔 기준 이미지로 삼으세요.
주요 변경 (4)
- TOCTOU 취약점(GHSA-wfqx-gjrf-g28r) 수정: 태그 참조를 다이제스트로 한 번만 변환해 서명 검증과 이미지 풀에 동일하게 사용
- Go 툴체인 1.25.11로 업그레이드
- golang.org/x/net v0.55.0으로 업데이트
- crossplane-runtime v2.2.3으로 업데이트