RATATOSKRATATOSK
로그인

Crossplane

v2.3.3Orchestration & Management
2026년 6월 23일

Crossplane v2.3.3은 OCI 패키지 서명 검증의 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94)을 수정하고, namespaced XR에서 `crossplane render`가 잘못된 namespace를 주입하던 버그를 고칩니다.

  • securityOCI 서명 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94) — 즉시 업그레이드 필요

    이 취약점은 악의적인 OCI 레지스트리가 서명 검증을 통과한 뒤 서명되지 않은 패키지 콘텐츠를 제공할 수 있는 문제입니다. OCI 레지스트리에서 패키지를 설치하는 모든 Crossplane 환경에 해당됩니다. v2.3.3으로 업그레이드하고, 취약한 버전에서 설치된 패키지는 재설치를 검토하세요. 기술 세부사항은 crossplane-runtime v2.3.3 어드바이저리를 확인하세요.

  • securitygolang.org/x/net, x/sys CVE 패치 — 소스 빌드 환경 확인 필요

    Crossplane을 소스에서 빌드하거나 자체 provider/function에서 이 라이브러리를 vendor로 관리하는 팀은 의존성 버전을 v2.3.3 기준으로 맞춰야 합니다. 공식 이미지를 사용 중이라면 v2.3.3 이미지에 이미 패치된 버전이 포함되어 있습니다.

  • breakingnamespaced XR에서 crossplane render의 namespace 주입 동작 변경

    CI 파이프라인이나 로컬 테스트에서 `crossplane render`를 namespaced XR 대상으로 실행한다면, 이제 injected resource ref에 namespace가 붙지 않습니다. 실제 reconciler 동작에 맞춘 수정이지만, 기존 render 테스트 결과가 달라질 수 있습니다. 업그레이드 후 render 테스트를 다시 돌려 예상치 못한 차이가 없는지 확인하세요.

주요 변경 (4)

  • OCI 패키지 서명 검증 TOCTOU 취약점 수정 — crossplane-runtime v2.3.3 통해 반영 (GHSA-mf7q-r4rv-jv94)
  • namespaced XR의 resource ref에 namespace가 잘못 설정되던 `crossplane render` 버그 수정 — KCL 바인딩 등 strict schema 함수가 깨지는 문제 해결
  • Go 툴체인을 1.25.11로 업그레이드
  • apis 모듈 내 golang.org/x/net 및 golang.org/x/sys를 CVE 패치 버전으로 업데이트