RATATOSKRATATOSK
로그인

NATS

v2.12.6Networking & Messaging
2026년 3월 25일

v2.12.6은 MQTT, JetStream, WebSocket, 리프노드, mTLS 등 핵심 서브시스템에서 CVE 11건을 수정한 긴급 보안 릴리스입니다. 2.12.5에서 발생한 JetStream 컨슈머 할당 손실 회귀 버그도 함께 수정됐습니다.

  • security즉시 업그레이드 필요 — 핵심 서브시스템 전반에 CVE 11건 패치

    이번 릴리스는 MQTT(3건), JetStream(2건), 리프노드(2건), WebSocket(1건), mTLS(1건), 커맨드라인 자격증명(1건), 퍼블리시 권한(1건)에 걸친 CVE를 모두 수정합니다. 이 기능들을 프로덕션에서 하나라도 사용 중이라면 구버전을 유지할 이유가 없습니다. 자신의 배포 환경에서 영향 받는 서브시스템을 확인하고 MQTT·리프노드 사용자는 특히 빠르게 적용하세요.

  • breakingJWT 크기 1MB 제한이 신규 적용됨

    1MB를 초과하는 JWT는 거부됩니다. 대부분의 환경에는 영향이 없지만, 대규모 권한 세트나 복잡한 계정 구조로 JWT를 발급하는 경우 업그레이드 전에 JWT 크기를 반드시 확인하세요. 오퍼레이터 JWT와 동적으로 발급되는 자격증명을 점검하는 것이 좋습니다.

  • breaking2.12.5에서 JetStream 컨슈머 할당 무음 유실 가능 — 업그레이드 후 확인 필수

    2.12.5의 회귀 버그로 인해 비동기 스냅샷을 사용하는 클러스터 환경에서 스트림 업데이트 시 컨슈머 할당이 조용히 사라질 수 있었습니다. 2.12.5 클러스터 JetStream을 운영 중이라면 업그레이드 전후로 컨슈머 수를 비교해 데이터 손실 여부를 확인하세요. 이번 릴리스 주기에서 운영 측면에서 가장 위험한 버그입니다.

주요 변경 (5)

  • MQTT, JetStream, WebSocket, 리프노드, mTLS, 자격증명 처리 관련 CVE 11건 패치
  • JetStream 회귀 버그 수정: 비동기 스냅샷 활성화 클러스터에서 스트림 업데이트 시 컨슈머 할당이 유실되던 문제 (2.12.5에서 도입)
  • JWT 크기 상한 1MB 신규 적용
  • MQTT 보안 강화: 모니터링 엔드포인트에서 패스워드 노출 차단, 암묵적 권한 범위 제한, 세션 복원 시 클라이언트 ID 검증 추가
  • WebSocket 파서 재작성으로 압축 프레임의 무제한 메모리 할당 문제 해결