RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

CoreDNS

Kubernetes Core2026년 7월 10일

CoreDNS v1.14.5는 DoH/DoH3 전송, Forward 구성, dnstap/file/secondary/transfer 견고성을 개선한 유지보수 릴리스입니다. TLS 기본값, DoQ 타임아웃 처리, Per-upstream 읽기 타임아웃 설정 등 세 가지 동작 변경이 포함되므로 업그레이드 전에 구성을 확인하세요.

  • breakingTLS 기본값이 Go 표준으로 변경

    Go의 기본 TLS 설정으로 변경됩니다. 기존에 커스텀 TLS 구성에 의존했다면 동작을 확인하세요.

  • breakingDoQ 스트림 읽기에 타임아웃 적용

    DoQ 스트림 읽기가 서버 읽기 타임아웃으로 제한됩니다. DoQ를 사용 중이면 읽기 타임아웃 설정을 검토하세요.

  • breakingForward 플러그인 빈 설정 파일 처리 복구

    Forward 플러그인이 설정 파일이 비어 있을 때 계속 진행하도록 복구되었습니다. 이전에 오류 동작에 의존했다면 설정을 재검토하세요.

주요 변경 (8)
  • TLS 기본값을 Go 표준으로 변경
  • DoQ 스트림 읽기에 서버 읽기 타임아웃 적용
  • Forward 플러그인의 빈 설정 파일 처리 복구 (이전 동작 복원)
  • Forward 플러그인에 DoH 지원 추가
  • Per-upstream 읽기 타임아웃 구성 가능
  • Transfer 플러그인에서 범위가 지정된 IPv6 주소 지원 및 Notify 소스 주소 구성 추가
  • Plugin/dnstap 연결 재접속 안정성 개선, Plugin/file SOA 처리 개선, Plugin/secondary 카탈로그 존 구문 분석 추가
  • 약 13개의 추가 버그 수정: Join 패닉, 캐시 AD 비트, dnstap 데드락, AXFR 패닉, nil 포인터 패닉, 데이터 레이스 등
원문

containerd

Kubernetes Core2026년 7월 10일

containerd v2.3.3은 CRI 샌드박스 처리, NRI, 이미지 배포, EROFS 블록 정렬을 다루는 버그 수정 패치입니다. 보안 취약점이나 주요 API 변경은 없습니다.

주요 변경 (7)
  • CRI가 실행 중이 아닌 샌드박스에 대한 CreateContainer 호출을 거부하도록 개선
  • RunPodSandbox가 훅 실패 시 샌드박스 종료를 보장하여 마운트 누수 방지
  • NRI GetIPs의 nil 포인터 역참조 버그 수정
  • 레지스트리 클라이언트가 403 응답에서 OCI 에러 본문을 노출하도록 개선
  • EROFS 스냅샷터가 모든 플랫폼에서 4K 블록 크기를 일관되게 정렬
  • Windows에서 SystemTemp 환경 변수 설정으로 임시 디렉터리 오버라이드 지원
  • Go 1.26.5 및 runhcs v0.15.0-rc.3로 업데이트
원문

containerd

Kubernetes Core2026년 7월 9일

containerd v2.2.6은 CRI 계층의 포드 샌드박스 생명주기 처리 문제와 포인터 역참조 버그, 이미지 배포 캐시 오염을 다룬 루틴 패치입니다. 운영자 개입이 필요한 변경은 없습니다.

주요 변경 (5)
  • CRI: NRI GetIPs 호출 중 nil 포인터 역참조 수정(포드 샌드박스 종료 및 컨테이너 종료 시)
  • CRI: 실행 중이 아닌 샌드박스에 CreateContainer 호출 거부
  • CRI: RunPodSandbox 훅 실패 시 샌드박스 종료 보장(마운트 누수 방지)
  • 이미지 분배: /blobs 엔드포인트 폴백 제한으로 콘텐츠 스토어 오염 방지
  • Go 1.26.5/1.25.12로 업데이트
원문

containerd

Kubernetes Core2026년 7월 9일

containerd v2.0.11은 이미지 참조 해석 중 콘텐츠 저장소 오염을 유발하던 버그를 고친 정기 패치 릴리스입니다. 주요 변경 사항은 없으며, Go 툴체인만 함께 업데이트됩니다.

주요 변경 (3)
  • 이미지 참조 해석 중 /blobs 엔드포인트 폴백을 제한하여 콘텐츠 저장소 오염 방지
  • Go 툴체인 1.26.5/1.25.12로 업데이트
  • CI의 fog-json 의존성 고정
원문

containerd

Kubernetes Core2026년 7월 9일

containerd v1.7.34는 컨테이너 종료 이벤트가 손실될 수 있던 CRI 버그를 수정한 정기 패치 릴리스입니다. Go 도구 체인과 표준 라이브러리 의존성이 함께 갱신되었으며 운영 관점의 주의 사항은 없습니다.

주요 변경 (3)
  • CRI 버그 수정: 컨테이너 정보 캐싱 전 종료 이벤트가 손실되는 문제 해결
  • Go 1.26.5/1.25.12로 상향
  • golang.org/x/* 의존성 업데이트: crypto(v0.52.0), mod(v0.35.0), net(v0.55.0), sync(v0.20.0), sys(v0.45.0), term(v0.43.0), text(v0.37.0)
원문

Helm

Kubernetes Core2026년 7월 9일

Helm v3.21.3은 정기 패치로, containerd v1 의존성을 제거하여 govulncheck가 지적한 취약점을 해결했습니다.

주요 변경 (2)
  • containerd v1 의존성 제거(govulncheck 취약점 해결)
  • 코드 리뷰 피드백 적용
원문

Helm

Kubernetes Core2026년 7월 9일

Helm v4.2.3의 공식 릴리스 노트가 실질적인 변경 내용 없이 커뮤니티 링크와 변경 로그 자리 표시자만 포함되어 있어 구체적인 업그레이드 정보를 제공할 수 없습니다.

원문

etcd

Kubernetes Core2026년 7월 8일

etcd v3.7.0은 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 고친 보안 릴리스입니다. 업그레이드 가이드는 호환성 변경 가능성을 언급하지만 세부 내용은 이번 자료에 포함되어 있지 않습니다.

  • securitygRPC 리스너 CRL 검증 우회 수정

    --listen-client-http-urls 플래그를 사용하는 경우 gRPC 리스너에서 CRL(인증서 폐기 목록) 검증이 우회되는 취약점이 있었습니다(GHSA-3wh4-j44w-pg92, HIGH). 폐기된 인증서로도 접근이 허용될 수 있으므로 해당 플래그를 쓰는 클러스터는 v3.7.0으로 업그레이드하세요.

주요 변경 (2)
  • 보안: --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 강제 검증이 우회되는 HIGH 등급 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 업그레이드 가이드에 호환성 변경 가능성이 언급되어 있으나 제공된 자료에는 구체적 내용이 없음
원문

Lima

Kubernetes Core2026년 7월 3일

Lima v2.1.4는 몇 가지 버그 수정과 nerdctl 업데이트, CLI 및 템플릿 소소한 개선을 담은 통상적인 패치 릴리스입니다. 주요 변경이나 보안 수정, 지원 중단 항목은 없습니다.

주요 변경 (5)
  • 버그 수정: xorrisofs 플래그를 xorrisofs 명령에만 추가하도록 수정
  • 버그 수정: macOS에서 hvf를 사용할 수 없을 때 QEMU가 tcg로 대체되도록 수정
  • 의존성: nerdctl을 v2.3.3에서 v2.3.4로 업데이트
  • 템플릿 업데이트, freebsd-15 템플릿이 9p 마운트를 지원
  • 기능 개선: limactl network list --json 출력에 네트워크 이름 포함
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.35.5는 두 가지 버그 수정만 담긴 패치 릴리스입니다. 재시작 후 ImageRef가 달라지는 문제와 gomaxprocs hook의 CPU 계산 오류가 수정되었으며, 브레이킹 체인지나 보안 수정, API 변경은 없습니다.

주요 변경 (2)
  • CRI-O 재시작 후 컨테이너 상태의 ImageRef가 repo@digest에서 raw 이미지 ID로 바뀌던 버그 수정
  • gomaxprocs hook이 워크로드 파티셔닝을 무시하도록 변경하고, 요청 CPU 수의 2배를 최소값으로 설정해 Go 스케줄러 스로틀링 완화
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.36.2는 gomaxprocs 훅의 CPU 할당 계산 방식을 고치는 일반 패치 릴리스입니다. Go 스케줄러가 스로틀링되는 문제를 줄였습니다. 보안 수정이나 호환성을 깨는 변경 사항은 없습니다.

주요 변경 (2)
  • gomaxprocs 훅이 주입 여부 판단 시 워크로드 파티셔닝을 더 이상 고려하지 않음
  • CPU 할당 계산 방식을 수정해 컨테이너가 요청 CPU 수의 최소 두 배를 받도록 변경, Go 스케줄러 스로틀링 완화
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.34.10은 두 가지 버그를 고친 일반 패치입니다. gomaxprocs CPU 주입 로직 수정과 재시작 후 컨테이너 상태 ImageRef 형식이 달라지던 문제를 처리했으며, 보안·API·설정 변경은 없습니다.

주요 변경 (3)
  • gomaxprocs 훅이 CPU 설정 주입 여부를 결정할 때 워크로드 파티셔닝을 무시하도록 변경
  • gomaxprocs 계산이 요청 CPU 수의 최소 두 배를 보장해 Go 스케줄러 스로틀링 위험을 낮춤
  • CRI-O 재시작 후 컨테이너 상태의 ImageRef가 repo@digest 형식에서 원시 이미지 ID 해시로 바뀌던 버그 수정
원문

etcd

Kubernetes Core2026년 7월 1일

etcd v3.6.13은 --listen-client-http-urls를 설정한 클러스터에서 gRPC 리스너의 CRL 검사가 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 패치입니다. WebSocket bearer 토큰 인증 버그 수정과 v2-deprecation 플래그 옵션 추가도 포함됩니다.

  • securitygRPC 리스너 CRL 검사 우회 패치 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls를 설정한 클러스터에서는 gRPC 리스너가 CRL(인증서 폐기 목록) 검사를 수행하지 않아, 폐기된 클라이언트 인증서로도 인증이 통과될 수 있었습니다. 해당 플래그를 사용하는 환경이라면 v3.6.13으로 업그레이드하세요.

주요 변경 (3)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검사가 우회되던 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 버그 수정: bearer 접두사 토큰을 사용하는 WebSocket 인증 오류 해결
  • 기능 추가: --v2-deprecation 플래그에 write-only-skip-check 옵션을 추가해 v2 콘텐츠 검사 생략 가능
원문

etcd

Kubernetes Core2026년 7월 1일

etcd v3.5.32는 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 릴리스입니다. v2-deprecation 우회 옵션 추가와 버그 수정도 함께 포함되었습니다.

  • securitygRPC 리스너의 CRL 검증 우회 취약점 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls 플래그를 설정한 경우 gRPC 리스너에서 CRL 검증이 작동하지 않아 폐기된 인증서가 허용되었습니다. 해당 플래그와 mTLS, CRL을 함께 사용 중이라면 v3.5.32로 업그레이드하세요.

주요 변경 (6)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검증이 우회되던 문제 수정 (GHSA-3wh4-j44w-pg92)
  • --v2-deprecation 플래그에 write-only-skip-check 옵션 추가로 v2 콘텐츠 검사 우회 가능
  • 서버가 비관리자의 유지보수 상태 요청을 허용하도록 변경
  • etcdutl check v2store 명령이 v2 스냅샷과 WAL 레코드를 모두 검사하도록 개선
  • bearer 형식 토큰을 사용한 WebSocket 인증 버그 수정
  • 토큰 파싱 실패 시 JWT 토큰 내용이 로그에 남지 않도록 처리
원문
월별 보기