Dapr
v1.17.2Orchestration & ManagementDapr v1.17.2는 Go 표준 라이브러리 CVE 3건 수정, CRD 수동 업데이트가 필요한 브레이킹 체인지, 대규모 액터 배포의 배치 장애 및 스트리밍 OOM 문제를 포함한 긴급 패치입니다.
securityGo 표준 라이브러리 CVE 3건 — 즉시 업그레이드 필요
Go 1.24.x에서 net/url의 IPv6 SSRF(GO-2026-4601), os.Root 경로 탈출(GO-2026-4602), html/template XSS(GO-2026-4603)가 발견됐습니다. 사용자 입력 URL을 처리하거나 템플릿 렌더링이 관련된 서비스라면 실질적인 위험이 있습니다. Go 툴체인 업그레이드로 해결되므로 애플리케이션 코드 변경 없이 v1.17.2로 업그레이드하면 됩니다.
breakingHelm 업그레이드 전 CRD 수동 업데이트 — 안 하면 daprd 기동 실패
Configuration CRD의 `stateRetentionPolicy` 필드 타입이 integer에서 string으로 바뀌었습니다. Helm은 CRD를 자동으로 업데이트하지 않으므로, CRD 업데이트 없이 `helm upgrade`를 실행하면 duration 문자열을 쓰는 Configuration 오브젝트가 Kubernetes 검증에서 거부되고 daprd가 설정을 불러오지 못할 수 있습니다. 공식 Kubernetes 업그레이드 가이드의 CRD 업데이트 절차를 먼저 수행하세요. 현재 워크플로우 상태 보존 정책을 사용하지 않더라도 CRD는 업데이트해두는 편이 좋습니다.
enhancement대규모 액터 배포 및 스트리밍 워크로드는 이번 패치를 우선 적용하세요
보안 외에 두 가지 수정이 특히 중요합니다. 첫째, 1.17.x에서 50개 이상의 액터 레플리카 환경은 배치 전파 타임아웃이 연쇄적으로 발생하는 문제가 있었는데, 이번 릴리즈의 배치 처리 개선으로 해결됐습니다. 둘째, 파일 업로드·SSE·청크 데이터 같은 스트리밍 요청/응답이 사이드카 메모리에 통째로 버퍼링되어 OOM 킬이 발생하던 문제도 수정됐습니다. 두 패턴 중 하나라도 해당한다면 일반 정기 업그레이드가 아닌 긴급 패치로 취급하세요.
주요 변경 (5)
- Go 1.25.8 업그레이드로 html/template XSS, os.Root 경로 탈출, net/url IPv6 파싱 등 CVE 3건 수정
- 브레이킹 체인지: 워크플로우 상태 보존 정책 CRD 필드 타입이 integer에서 string으로 변경 — Helm 업그레이드 전 CRD 수동 업데이트 필수
- 50개 이상 레플리카 환경에서 발생하던 액터 배치 전파 타임아웃 연쇄 장애 수정
- 서비스 호출 시 스트리밍 요청/응답 전체를 메모리에 버퍼링하던 문제 수정 — 사이드카 OOM 방지
- 그레이스풀 셧다운 중 DLQ 오라우팅 수정, 벌크 퍼블리시 네임스페이스 프리픽스 누락 수정