RATATOSKRATATOSK
로그인

Vitess

v22.0.4Storage & Data
2026년 2월 27일

백업 MANIFEST 파일 취약점과 관련된 두 개의 중요한 CVE를 해결한 보안 중심 릴리스로, 임의 명령 실행 및 경로 순회 공격을 방지합니다.

  • securityCVE-2026-27965 및 CVE-2026-27969에 대한 즉시 업그레이드 필요

    두 개의 중요한 CVE로 인해 백업 저장소 쓰기 권한을 가진 공격자가 임의 명령을 실행하고 경로 순회 공격을 수행할 수 있습니다. 즉시 v22.0.4로 업그레이드하고 신뢰할 수 있는 주체만 쓰기 권한을 갖도록 백업 저장소 접근 제어를 검토하세요.

  • breakingMANIFEST 기반 압축 해제기 사용 시 VTTablet 구성 업데이트

    MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 무시됩니다. 복원 프로세스가 이 동작에 의존하는 경우 VTTablet 구성에 --external-decompressor-use-manifest 플래그를 추가하되, 이로 인해 보안 위험이 다시 발생할 수 있음을 이해하세요.

  • security백업 저장소 접근 권한 감사 및 보안 강화

    이러한 취약점은 백업 저장소에 대한 쓰기 권한이 필요하므로, 백업 위치에 대한 쓰기 권한을 가진 주체를 검토하세요. 적절한 접근 제어를 구현하고 가능한 경우 변조를 방지하기 위해 불변 백업 저장소 사용을 고려하세요.

주요 변경 (4)

  • 백업 MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 더 이상 사용되지 않음
  • MANIFEST 파일 수정을 통한 경로 순회 공격 방지
  • MANIFEST 기반 압축 해제기에 대한 명시적 선택을 위한 --external-decompressor-use-manifest 플래그 추가
  • 보안 중심 개선사항이 포함된 37개의 병합된 풀 리퀘스트