Flux
v2.8.7CI/CD & App DeliveryFlux v2.8.7은 go-git의 CVE를 패치하고, ssa:IfNotPresent 어노테이션이 붙은 클러스터 범위 리소스가 매 조정 주기마다 삭제·재생성되던 버그를 수정한 패치 릴리스입니다.
securityCVE-2026-45022 패치를 위해 즉시 업그레이드
이번 CVE는 Git 저장소를 직접 클론하고 상호작용하는 source-controller와 image-automation-controller에 영향을 줍니다. 외부 또는 반신뢰 Git 소스를 사용하는 환경이라면 우선순위를 높여 대응해야 합니다. 'flux install' 또는 Helm 릴리스를 v2.8.7로 업데이트하세요.
breakingssa:IfNotPresent를 사용하는 클러스터 범위 리소스 상태를 반드시 점검
ClusterRole, CRD 등 네임스페이스 없는 클러스터 범위 리소스에 kustomize.toolkit.fluxcd.io/ssa: IfNotPresent 어노테이션을 사용하고 있었다면, 버그 수정 전까지 매 조정마다 리소스가 삭제·재생성됐을 수 있습니다. 업그레이드 후 해당 리소스 상태를 확인하고, 의존 워크로드가 조용히 영향을 받지는 않았는지 감사하세요.
enhancementv2.6에서 올라온다면 공식 업그레이드 절차 반드시 확인
v2.6 → v2.8.7로 바로 올릴 경우, Flux 팀이 제공하는 v2.7+ 업그레이드 절차를 건너뛰면 문제가 생길 수 있습니다. 구버전 Flux를 운영 중인 환경이라면 업데이트 적용 전에 해당 가이드를 반드시 먼저 검토하세요.
주요 변경 (4)
- go-git v5.19.0 업데이트로 CVE-2026-45022 수정 (source-controller, image-automation-controller)
- ssa:IfNotPresent 어노테이션이 있는 네임스페이스 미지정 리소스가 매 조정마다 삭제·재생성되던 kustomize-controller 버그 수정
- source-controller, kustomize-controller, image-automation-controller 전반의 fluxcd/pkg 의존성 업데이트
- helm-controller v1.5.4, kustomize-controller v1.8.5, source-controller v1.8.4 컴포넌트 버전 업