Volcano
v1.13.3Orchestration & Managementv1.13.3은 웹훅 서버의 DoS 취약점(CVE-2026-44247)을 패치하고 스케줄러 버그 4건을 수정합니다. v1.13.2 이하를 사용 중이라면 즉시 업그레이드하세요.
securityCVE-2026-44247 즉시 패치 필요 — v1.13.2 이하 전체 영향
웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 임의 크기의 HTTP 바디를 전송해 웹훅 서버를 OOM으로 종료시킬 수 있습니다. 웹훅 서버가 죽으면 Job·Queue 어드미션이 전부 막히므로 멀티테넌트 클러스터에서 실질적 피해가 큽니다. 사용 중인 브랜치에 맞춰 v1.13.3(또는 v1.12.4, v1.14.2)으로 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서버의 443 포트 접근을 신뢰할 수 있는 소스로만 제한하세요.
breaking멀티 큐 선점 동작 변경 — 업그레이드 후 워크로드 검증 필요
선점 관련 두 가지 수정으로 스케줄링 결정 결과가 달라질 수 있습니다. preemptorTasks 덮어쓰기 방지와 QueueOrderFn 적용으로, 기존에 선점하던 Job이 더 이상 선점하지 않거나 그 반대 상황이 생길 수 있습니다. 업그레이드 전에 스테이징 환경에서 멀티 큐 선점 시나리오를 반드시 검증하세요.
enhancement스케줄러 기동 시 경쟁 조건 제거 — 재시작이 잦은 환경에 유효
OOM 재시작이나 롤링 업데이트로 스케줄러 파드가 자주 재시작되는 환경에서 특히 효과적입니다. 이전에는 초기화 완료 전에 스케줄링이 시작되는 좁은 경쟁 구간이 있었고, 이로 인해 이벤트 누락이 생길 수 있었습니다. 별도 설정 변경 없이 업그레이드만 하면 되며, 업그레이드 후 스케줄러 기동 로그에서 이상 징후를 확인하세요.
주요 변경 (5)
- CVE-2026-44247 수정: 웹훅 서버의 HTTP 요청 바디 크기 제한 부재로 OOM 킬 유발 가능 — 웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 누구든 악용 가능
- 스케줄러 수정: 멀티 큐 선점 시 preemptorTasks 맵이 덮어쓰이는 버그 제거로 잘못된 선점 결정 방지
- 스케줄러 수정: 선점 액션에서 QueueOrderFn을 이제 올바르게 준수하여 큐 우선순위 정렬 일관성 확보
- 기동 시 경쟁 조건(race condition) 수정: 이벤트 핸들러 초기화가 완료된 후에만 스케줄링 시작
- 스냅샷 경로의 불필요한 deepcopy 제거로 메모리 할당 부담 감소