RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

gRPC

Networking & Messaging2026년 7월 2일

gRPC 1.82.0은 Core, PHP, Python, Ruby 전반의 자잘한 수정을 모은 루틴 릴리스이며 보안 이슈나 파괴적 변경은 없습니다. 눈에 띄는 부분은 xDS의 프로토콜 추가 두 가지(A85 ORCA-to-LRS, A114 가중 라운드로빈)와 다수의 소소한 버그 수정입니다.

주요 변경 (8)
  • CVE, 破壊的 API 제거, deprecation 없음
  • xDS에 ORCA-to-LRS 전파(gRFC A85)와 커스텀 백엔드 메트릭 기반 가중 라운드로빈(A114) 지원 추가
  • 호출 자격 증명이 리전별 액세스 경계 정책 메타데이터를 조회하고 첨부할 수 있게 됨
  • Python aio 수정: -O 플래그 실행 시 CPU 100% 점유 문제 해결, fork된 자식 프로세스에서 채널을 닫지 않고 호출만 취소 가능
  • Ruby에 순수 Ruby 구현 호출 자격 증명 추가, 인터셉터가 의도대로 FIFO 순서로 실행되도록 수정
  • POSIX 소켓 코드에서 파일 디스크립터 0이 잘못 무효로 처리되던 문제 수정, 엔드포인트 종료 시 CFStream 콜백 등록 해제
  • PHP 확장 백포트에 PIE 지원 추가, Python aio call/metadata 모듈에 Pyright·Typeguard 타입 체크 적용
  • 그 외 abseil nullopt assertion을 잘못 발생시키던 RetryFilter 버그도 수정
원문

Istio

Networking & Messaging2026년 7월 1일

Istio 1.28.10은 단일 버그 수정을 담은 일반 패치입니다. krt 컨트롤러에서 Fetch 필터 키가 변경될 때 역방향 인덱스 항목이 누적되던 메모리 누수가 해결되었습니다.

주요 변경 (1)
  • krt 컨트롤러에서 Fetch 필터 키가 바뀔 때(예: 파드를 다른 웨이포인트로 재레이블링) 오래된 역방향 인덱스 항목이 정리되지 않고 남아 메모리가 계속 증가하고 불필요한 재계산이 발생하던 메모리 누수 수정
원문

NATS

Networking & Messaging2026년 6월 30일

NATS 서버 v2.14.3은 JetStream, MQTT, 클러스터링 버그 수정이 대부분을 차지하는 유지보수 릴리스입니다. MQTT 인증 전 메모리 고갈 및 패닉 문제 2건이 수정되었고, 모니터링 엔드포인트의 JSONP 지원이 제거되는 breaking change가 포함되어 있습니다.

  • securityMQTT 메모리 고갈 및 패닉 수정

    MQTT를 사용하는 서버에 해당합니다. v2.14.3에서 수정: 불완전한 CONNECT 패킷으로 인증 전 메모리를 고갈시킬 수 있던 문제와, PUBLISH remaining-length 언더플로로 서버가 패닉하던 문제입니다. 특히 신뢰할 수 없는 클라이언트에 MQTT를 노출한 경우 업그레이드를 권장합니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    모니터링 엔드포인트(/varz, /connz 등)에서 callback= 파라미터로 JSONP를 쓰던 환경에 해당합니다. v2.14.3에서 완전히 제거되었으므로, 업그레이드 전에 대시보드나 스크립트를 순수 JSON 폴링 방식으로 바꿔야 합니다.

  • breaking리프 trace destination 및 NoAuthUser 권한 검사 강화

    Nats-Trace-Dest를 쓰는 리프 노드 구성과 NoAuthUser를 쓰는 계정에 해당합니다. v2.14.3에서 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하던 문제와, NoAuthUser가 연결 제한을 검사하지 않던 문제가 수정되었습니다. 업그레이드 후 이전에는 허용되던 트래픽이 의도대로 차단될 수 있으니 권한 및 NoAuthUser 설정을 다시 확인하세요.

주요 변경 (7)
  • MQTT 부분 CONNECT 패킷으로 인한 인증 전 메모리 고갈, PUBLISH remaining-length 언더플로 패닉을 v2.14.3에서 수정
  • 권한 검사 강화: 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하지 못하게 되었고, NoAuthUser가 연결 제한을 검사하도록 변경
  • 모니터링 엔드포인트에서 JSONP 콜백 지원 제거 (아직 사용 중인 도구에는 breaking change)
  • JetStream 클러스터링/Raft 안정성 관련 대규모 수정: 종료 시 메타 노드 데이터 레이스, 제한 초과 시 스트림 캐치업 스킵 문제, 메타 복구 후 유령 스트림/컨슈머, 잘림/스냅샷 시 Raft 멤버십 되돌리기 등
  • MQTT 강화: 내부 $MQTT.deliver.pubrel 구독 차단, retained/QoS 재전송 경로에 subscribe deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • 파일스토어 및 메모리 스토어 수정: 압축 해제 시 압축/암호화 블록 손상 문제, DeliverLastPerSubject 컨슈머의 NumPending 과다 집계, 카운터 스트림 스테이징 총합 손상 문제 해결
  • 그 외 PROXY/TLS 스니핑, 게이트웨이 CONNECT 레이스, 클러스터 라우트 간 서비스 임포트 트레이싱, CONNZ/SUBSZ 오버플로 방지, JWT/계정 클레임 갱신 등 스무 건 가량의 소규모 수정과 Go 1.26.4로 업데이트
원문

NATS

Networking & Messaging2026년 6월 30일

v2.12.12는 nats-server의 버그 수정 및 안정화 릴리스로, JetStream/Raft 데이터 정합성과 패닉 관련 수정이 다수 포함되었고 모니터링 엔드포인트의 JSONP 지원이 제거되었습니다. 별도의 CVE는 공개되지 않았지만, 잘못된 MQTT 입력으로 유발되는 메모리 소모 및 패닉 경로를 막는 수정이 포함되어 운영자는 보안 관점에서 챙겨볼 필요가 있습니다.

  • securityMQTT 부분 CONNECT / PUBLISH 언더플로 크래시 수정

    MQTT를 사용 중이라면 업그레이드를 권장합니다. 부분 CONNECT 패킷으로 인증 전 메모리를 소모시킬 수 있는 문제와 PUBLISH remaining-length 언더플로로 서버가 패닉하는 문제가 수정되었습니다. 둘 다 인증되지 않은 클라이언트가 잘못된 입력만으로 유발할 수 있습니다.

  • security모니터링/JetStream 사용량 추적의 정수 오버플로 패닉 수정

    CONNZ/SUBSZ 페이지네이션에서 정수 오버플로로 패닉이 발생하던 문제와 JetStream 원격 사용량 갱신 중 길이 정수 오버플로 패닉이 수정되었습니다. 대규모 클러스터나 모니터링 폴링이 빈번한 환경은 업그레이드로 이 패닉 경로를 제거할 수 있습니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    v2.12.12에서 모니터링 엔드포인트의 JSONP 콜백 지원이 무조건 제거되었습니다. /varz, /connz 등에 JSONP 콜백으로 접근하던 도구나 대시보드는 동작하지 않으며, 일반 JSON 요청으로 전환해야 합니다.

주요 변경 (8)
  • 모니터링 엔드포인트의 JSONP 콜백 지원 제거 (아직 JSONP를 쓰는 도구에는 breaking change)
  • MQTT 강화: 부분 CONNECT의 인증 전 메모리 소모 차단, PUBLISH remaining-length 언더플로 패닉 수정, $MQTT.deliver.pubrel 구독 남용 차단, 보존/QoS 리플레이 경로에서 deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • JetStream/Raft 데이터 정합성 관련 대규모 수정: filestore 압축 손상, 카운터 스트림 스테이징 손상, 메타 복구 시 유령 스트림/컨슈머, raft 체크포인트/ApplyCommit 정확성, 스트림 캐치업 디싱크, truncate/snapshot 시 멤버십 롤백
  • CONNZ/SUBSZ 페이지네이션과 JetStream 원격 사용량 갱신의 정수 오버플로 패닉 수정, resolver 상위 디렉터리가 없을 때 시작 시 발생하던 nil 포인터 패닉 수정
  • 인증, 라우팅, 모니터링, 클러스터 요청 처리 전반의 패닉/치명적 오류/데이터 레이스 다수 수정
  • 게이트웨이/프록시 관련 수정: 게이트웨이 CONNECT 처리 중 레이스, 신뢰 프록시 추적 중 누수, PROXY 프로토콜 감지, allow_non_tls TLS 스니핑, PROXY v1 주소 체계 파싱
  • 서비스 임포트 응답이 클러스터 라우트 간에도 전달되도록 수정, 임포트/익스포트에서 메시지 트레이싱 정상화, 계정 클레임 갱신 시 JWT 상속 기본 권한과 외부 인증 설정도 올바르게 갱신되도록 수정
  • 그 외 일상적 수정: 연결별 로그를 디버그 레벨로 조정, s2_fast 압축 모드에서 writer 옵션 일관성 확보, 마이그레이션을 위한 스트림/컨슈머 할당 처리 리팩터링
원문

Strimzi

Networking & Messaging2026년 6월 27일

Strimzi 1.1.0은 Kafka 4.3.0·4.2.1 지원을 추가하고 Kafka 4.1.x를 제거한 기능 릴리스입니다. 엔티티 오퍼레이터 헬스체크 포트 이름 변경과 KafkaBridge·KafkaMirrorMaker2의 TLS 형식 전환, 두 가지 브레이킹 체인지를 업그레이드 전에 반드시 확인해야 합니다.

  • breaking엔티티 오퍼레이터 헬스체크 포트 이름 변경

    엔티티 오퍼레이터의 헬스체크 포트 이름이 `healthcheck`에서 topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었습니다. 이 포트 이름을 참조하는 PodMonitor, ServiceMonitor, NetworkPolicy 등 커스텀 리소스가 있다면 업그레이드 전에 수정해야 합니다.

  • breakingKafka 4.1.x 지원 제거

    1.1.0부터 Kafka 4.1.x는 지원이 끊겼습니다. Kafka 4.1.x를 실행 중인 클러스터는 이 Strimzi 버전으로 올리기 전에 먼저 4.2.1 또는 4.3.0으로 업그레이드해야 합니다.

  • breakingKafkaBridge·KafkaMirrorMaker2의 TLS 트러스트스토어 형식이 PEM으로 변경

    KafkaBridge와 KafkaMirrorMaker2가 TLS 인증 및 트러스트스토어에 P12/JKS 대신 PEM 파일을 사용하도록 바뀌었습니다. 이 컴포넌트에서 P12/JKS 형식을 기대하는 외부 시스템이나 도구가 있다면 점검이 필요합니다.

  • breakingCRD v1만 지원 — 구 API 버전 사용 불가

    CRD API 버전 v1beta2, v1beta1, v1alpha1은 1.0.0부터 이미 지원이 종료되었습니다. 아직 리소스를 v1로 전환하지 않았다면 1.1.0 업그레이드 전에 변환을 완료해야 합니다.

주요 변경 (8)
  • Apache Kafka 4.3.0·4.2.1 지원 추가, Kafka 4.1.x 지원 제거.
  • 엔티티 오퍼레이터 헬스체크 포트 이름 변경: topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었으므로 참조 리소스를 수정해야 합니다.
  • KafkaBridge·KafkaMirrorMaker2의 TLS 인증 및 트러스트스토어가 P12/JKS에서 PEM으로 전환되었으며, PEM 파일은 KubernetesSecretConfigProvider를 통해 시크릿에서 직접 읽습니다.
  • 실패한 KafkaConnector를 이제 중지할 수 있습니다. 실패 상태의 커넥터를 일시 중지하려 하면 Kafka Connect가 지원하지 않는 작업이라 거부됩니다.
  • 클러스터 오퍼레이터에 `STRIMZI_PKCS12_KEYSTORE_GENERATION` 옵션이 추가되어 CA·KafkaUser 시크릿에서 PKCS12 스토어 생성을 비활성화할 수 있습니다. KafkaUser별로 mTLS `validityDays`·`renewalDays`도 설정 가능해졌습니다.
  • Gateway API `tlsroute` 리스너 타입, 브로커별 리스너 어노테이션·레이블 템플릿, Kafka Connect Build에서 Maven 아티팩트 의존성 스코프 설정이 새로 지원됩니다.
  • `UseBackgroundPodDeletion` 피처 게이트(알파, 기본 비활성)가 추가되어 롤링 업데이트 중 파드 삭제 시 백그라운드 삭제 전파 방식을 선택할 수 있습니다.
  • Strimzi Drain Cleaner가 1.6.0으로, Strimzi Access Operator가 0.3.0으로 업데이트되어 설치 파일에 포함되었습니다.
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.28.9는 ISTIO-SECURITY-2026-005 권고 아래 Envoy CVE 14건을 묶어 수정한 보안 릴리스로, 최고 심각도 HIGH 항목은 HTTP/3 DoS, 압축 해제 메모리 고갈, JSON 파싱 depth 제한입니다.

  • securityEnvoy CVE 14건 일괄 수정, 최고 심각도 HIGH

    ISTIO-SECURITY-2026-005 권고에 Envoy CVE 14건이 포함되어 있으며 최고 심각도는 HIGH입니다. 대상 CVE는 GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS), CVE-2026-48044(Zstd 메모리 고갈), CVE-2026-48042(JSON 파싱 depth), CVE-2026-48743(HTTP/3 content-length 검증)입니다. 해당 버전을 사용 중이면 1.28.9로 업그레이드하세요.

  • securityext_authz use-after-free (조건부)

    CVE-2026-47205는 라우트별 서비스 오버라이드가 활성화된 상태에서 다운스트림 연결이 인가 확인 도중 리셋될 때 ext_authz 필터에서 use-after-free 크래시를 유발합니다. 해당 설정을 쓰는 경우 우선 검토하세요.

  • breakingJSON nesting depth 제한 도입

    CVE-2026-48042로 JSON 파서의 nesting depth 기본값이 1000으로 제한됩니다. 더 깊은 nesting이 필요하면 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 10K까지 완화할 수 있으나, 이는 원래의 DoS 취약점을 다시 열 수 있습니다.

주요 변경 (8)
  • ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건 수정, 최고 심각도 HIGH
  • HIGH: HTTP/3 QPACK blocked decoding으로 인한 DoS (GHSA-p7c7-7c47-pwch)
  • HIGH: MaxInflateRatio 검사 지연으로 인한 Zstd 압축 해제 메모리 고갈 (CVE-2026-48044)
  • HIGH: JSON 파서 nesting depth 기본 1000으로 제한, envoy.reloadable_features.limit_json_parser_nesting_depth로 조정 가능 (CVE-2026-48042)
  • HIGH: HTTP/3 headers-only content-length 검증 수정, envoy.reloadable_features.quic_validate_headers_only_content_length로 제어 (CVE-2026-48743)
  • MEDIUM 다수: 연결 리셋 시 ext_authz use-after-free, direct response 라우트에서 gRPC stats 필터 크래시, NUL 바이트 포함 SAN 검증 우회, OAuth2 필터 AES-256-CBC 쿠키 복호화 패딩 오라클(AES-256-GCM 지원 추가)
  • 추가 MEDIUM 수정: TLV 길이 불일치, ext_proc 예상치 못한 응답 처리, HTTP 303 내부 리다이렉트 문제, DNS 쿼리 이름 길이 검사, TcpStatsdSink 버퍼 오버플로, 필터 해제 후 토큰 콜백 호출
  • 보안 패치와 함께 안정성 개선을 위한 일반 버그 수정도 포함
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.29.5는 ISTIO-SECURITY-2026-005에 해당하는 Envoy CVE 14건을 수정한 보안 릴리스로, HIGH 심각도 DoS·크래시·use-after-free 취약점 다수가 포함됩니다. 게이트웨이 리비전 레이블 변경 시 트래픽 중단, ambient ipset 헬스 프로브 누락, krt 메모리 누수, 멀티클러스터 컨트롤러 패닉도 함께 수정되었습니다.

  • securityEnvoy CVE 14건 수정(최대 심각도 HIGH) — ISTIO-SECURITY-2026-005

    ISTIO-SECURITY-2026-005에 묶인 Envoy CVE 14건이 1.29.5에서 모두 수정되었습니다. 심각도 HIGH 항목으로는 HTTP/3 QPACK 디코딩 DoS(GHSA-p7c7-7c47-pwch), MaxInflateRatio를 우회하는 압축 페이로드 과팽창(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), QUIC content-length 유효성 검사 문제(CVE-2026-48743), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692)가 있습니다. 1.29.x 운영 환경 전체를 1.29.5로 즉시 업그레이드하세요.

  • securityOAuth2 필터 AES-256-CBC 패딩 오라클(CVE-2026-47775)

    OAuth2 필터에서 AES-256-CBC 쿠키 암호화를 사용 중이라면 즉시 업그레이드해야 합니다. 이번 패치에서 padding oracle이 수정되었고, AES-256-GCM이 gcm. 알고리즘 마커와 함께 새로 지원됩니다. 업그레이드 후 AES-256-CBC에서 AES-256-GCM으로의 전환을 계획하세요.

  • securityext_authz 라우트별 오버라이드에서 use-after-free(CVE-2026-47205)

    ext_authz에서 라우트별 서비스 오버라이드를 사용하는 경우, 인가 요청이 진행 중일 때 다운스트림 연결이 리셋되면 use-after-free 크래시가 발생할 수 있었습니다(CVE-2026-47205). 1.29.5로 업그레이드하면 해당 크래시 경로가 제거됩니다.

  • breakingJSON 중첩 깊이 상한 1000으로 축소(CVE-2026-48042)

    JSON 파서 중첩 깊이 기본값이 10000에서 1000으로 낮아졌습니다. 더 깊은 중첩이 필요하다면 런타임 플래그 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 임시 복원할 수 있으나, 깊은 중첩 의존성을 제거하는 방향으로 전환을 준비하세요.

주요 변경 (7)
  • ISTIO-SECURITY-2026-005로 묶인 Envoy CVE 14건 수정(최대 HIGH): HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), 압축 페이로드 과팽창(CVE-2026-48044), REQUESTED_SERVER_NAME 포매터 크래시(CVE-2026-47220), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692), QUIC 헤더 유효성 검사(CVE-2026-48743) 등
  • OAuth2 필터 padding oracle 수정(CVE-2026-47775), AES-256-GCM 신규 지원 — AES-256-CBC 사용 환경은 전환 필요
  • JSON 파서 중첩 깊이 기본값 1000으로 변경(기존 10000); envoy.reloadable_features.limit_json_parser_nesting_depth=false로 임시 복원 가능(CVE-2026-48042)
  • ext_authz 라우트별 서비스 오버라이드 use-after-free 수정(CVE-2026-47205), ext_proc 예기치 않은 응답 처리 및 gRPC 통계 필터 UAF/크래시도 함께 수정
  • Kubernetes Gateway 또는 ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단 수정 — 이전 컨트롤 플레인이 게이트웨이 파드에 빈 xDS 설정을 푸시하던 문제 해결
  • 노드 또는 kubelet 재시작 후 ambient 등록 파드가 호스트 헬스 프로브 ipset에서 누락되어 kubelet 프로브가 ztunnel로 전달되고 거부되던 문제 수정
  • krt 컨트롤러의 역방향 인덱스 잔류로 인한 메모리 누수 수정, 멀티클러스터 시크릿 컨트롤러의 채널 중복 close 패닉 수정, 1.29.2 이전 사이드카 설정 생성 버그 수정
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.30.2는 보안과 버그 수정을 함께 담은 패치 릴리스로, ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건(QPACK 기반 HTTP/3 DoS가 high 등급, 나머지는 medium~high)을 수정했고 pilot-agent 메트릭 병합 방식 변경과 AuthorizationPolicy 트러스트 도메인 필드 추가 등 운영자가 챙겨야 할 변경도 포함합니다.

  • securityISTIO-SECURITY-2026-005, Envoy CVE 14건 수정 (일부 high 등급)

    모든 1.30.x 배포에 적용됩니다. QPACK 블록 디코딩을 이용한 HTTP/3 스택 DoS를 수정했고, JSON 파서의 중첩 깊이를 1000으로 제한했습니다(envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정한 경우에만 기존 10K 한도로 완화 가능). 헤더만 있는 요청/응답의 content-length 검증도 envoy.reloadable_features.quic_validate_headers_only_content_length 플래그로 강화되었습니다. 1.30.2로 업그레이드하세요.

  • securityext_authz, ext_proc, gRPC stats, OAuth2 필터의 use-after-free/크래시 수정 다수

    ext_authz에서 per-route 서비스 오버라이드가 활성화된 상태로 인증 확인 중 다운스트림 연결이 끊기는 경우(CVE-2026-47205), 또는 ext_proc, gRPC stats, OAuth2 필터를 사용하는 경우에 해당됩니다. use-after-free와 패딩 오라클 문제가 수정되었고, OAuth2 필터는 gcm. 마커를 통한 AES-256-GCM 쿠키 암호화도 지원합니다.

  • breakingpilot-agent 메트릭 병합이 protobuf content type을 거부함

    pilot-agent 메트릭 병합(PILOT_AGENT_MERGE_ENVOY_STATS)을 사용하는 배포에 적용됩니다. 허용되는 content type이 text/plain과 application/openmetrics-text로 제한되어, protobuf 기반으로 병합된 메트릭을 수집하던 구성은 깨질 수 있습니다. 업그레이드 전 스크래핑 설정을 확인하세요.

  • enhancementAuthorizationPolicy에 트러스트 도메인 매칭 기능 추가

    mTLS 트러스트 도메인 기반 접근 제어가 필요한 AuthorizationPolicy 작성자에게 적용됩니다. Source에 추가된 trustDomains, notTrustDomains 필드로 피어 인증서의 트러스트 도메인을 기준으로 요청을 매칭하거나 제외할 수 있습니다.

주요 변경 (8)
  • ISTIO-SECURITY-2026-005에서 Envoy CVE 14건을 수정했으며 최고 등급은 high입니다. 가장 눈에 띄는 것은 HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제기의 메모리 소진(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), JSON 중첩 깊이를 1000으로 제한한 항목(CVE-2026-48042)입니다
  • ext_authz(연결 리셋 중 per-route 오버라이드), ext_proc, gRPC stats 필터, 비동기 토큰 콜백 경로에서 use-after-free/크래시가 수정되었습니다
  • OAuth2 필터는 AES-256-CBC 쿠키 복호화의 패딩 오라클 문제를 해결했고 AES-256-GCM 지원을 추가했습니다
  • pilot-agent 메트릭 병합이 허용 content type을 text/plain과 application/openmetrics-text로 제한하면서 protobuf 지원이 빠졌고, 병합 동작을 제어하는 PILOT_AGENT_MERGE_ENVOY_STATS 환경 변수가 새로 추가되었습니다
  • AuthorizationPolicy의 Source에 trustDomains, notTrustDomains 필드가 추가되어 트러스트 도메인 기반 요청 매칭이 가능해졌습니다
  • Kubernetes Gateway/ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단과, WasmPlugin의 TrafficExtension 변환으로 인한 중복·과다 xDS 푸시 문제를 수정했습니다
  • 앰비언트 모드에서는 노드/kubelet 재시작 후 파드가 호스트 헬스 프로브 ipset에서 빠져 kubelet 프로브가 ztunnel로 리다이렉트되어 거부되던 문제를 수정했습니다
  • 그 외 소소한 수정 여러 건: Gateway API CRD가 최소 버전보다 낮을 때의 로그를 warn 레벨로 변경, 1.29.2 이전 사이드카 설정 생성 수정, krt 컨트롤러의 오래된 역인덱스 항목으로 인한 메모리 누수 수정
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.38.3은 보안 전용 릴리스로, 15개 CVE와 상위 의존성 wasmtime의 CVE 1건을 수정합니다. 그 중 TLS SAN NUL 바이트 인증 우회(CVE-2026-47778)와 HTTP/3→HTTP/1 요청 스머글링(CVE-2026-48743) 두 건이 Critical로, 나머지 13건은 크래시·DoS·힙 오버플로·데이터 유출 등을 포함하는 High 등급입니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 포함되면 비교 시 문자열이 잘려 인증서 기반 인증을 우회할 수 있습니다. 조건 없이 v1.38.3으로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3 → HTTP/1 요청 스머글링 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청이 HTTP/1 백엔드로 스머글링될 수 있습니다. HTTP/3을 HTTP/1로 프록시하는 배포 환경은 모두 영향을 받으며, v1.38.3으로 업그레이드해야 합니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 "skipped" TLV를 그대로 내보내 공격자가 제어하는 데이터 최대 65 KB가 업스트림 애플리케이션 스트림으로 유입됩니다. v1.38.3으로 업그레이드해야 합니다.

  • breakingIntel DLB 연결 밸런서 확장 제거됨

    컨트리뷰션 확장 envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서)가 소스 아카이브 손상으로 v1.38.3에서 Bazel 빌드 레이어 전체에서 비활성화됐습니다. 이 확장에 의존하던 배포 환경은 다른 연결 밸런서로 전환해야 합니다.

  • breakingTLS 인증서 Brotli 압축 기본값 비활성화로 변경

    런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli가 기본값 비활성화로 변경됐습니다. 비활성화 상태에서는 QUIC이 zlib 전용 인증서 압축을 사용하고, TCP TLS는 인증서 압축을 수행하지 않습니다. Brotli 압축에 의존하던 경우 업그레이드 후 해당 플래그를 명시적으로 다시 활성화해야 합니다.

주요 변경 (8)
  • CRITICAL: TLS SAN NUL 바이트 잘림으로 인증서 인증 우회 가능 (CVE-2026-47778, 전체 15개 CVE 중 최고 심각도)
  • CRITICAL: Content-Length가 있는 헤더 전용 HTTP/3 요청을 통한 HTTP/1 요청 스머글링 (CVE-2026-48743)
  • HIGH: PROXY Protocol v2가 업스트림 스트림으로 최대 65 KB 유출 (CVE-2026-47692); OAuth2 PKCE 패딩 오라클 (CVE-2026-47775) 및 스트림 종료 후 비동기 토큰 완료 시 UAF/크래시 (CVE-2026-48090)
  • HIGH: authz 퍼-라우트 (CVE-2026-47205), 라우터 내부 리다이렉트 (CVE-2026-47221), REQUESTED_SERVER_NAME (CVE-2026-47220), Connect→direct_response의 grpc_stats 필터 (CVE-2026-47204), ext_proc 단일 gRPC 메시지 응답 (CVE-2026-47207)에서 크래시 수정
  • HIGH: zstd RLE 집 밤 DoS (CVE-2026-48044), JSON 깊은 중첩 소멸자 스택 오버플로 (CVE-2026-48042), DNS UDP 필터 비정상 종료 (CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로 (CVE-2026-48706), HTTP/3 QPACK 블록 디코딩 DoS (GHSA-p7c7-7c47-pwch)
  • CVE-2026-47261 해결을 위해 wasmtime 의존성 업그레이드 (중간 심각도)
  • 소스 아카이브 손상으로 Intel DLB 컨트리뷰션 확장(envoy.network.connection_balance.dlb) 전체 빌드에서 비활성화
  • 런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli 기본값이 비활성화로 변경됨 — TCP TLS 인증서 압축이 중단되고 QUIC은 zlib 전용으로 복귀
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.37.5는 보안 전용 릴리스로, Envoy 자체 CVE/GHSA 15건과 upstream 의존성 CVE 1건을 수정합니다. 심각도는 Critical까지 올라가며, HTTP/3→HTTP/1 요청 밀수, TLS SAN 인증 우회, PROXY Protocol v2 업스트림 스트림 유출 등 Critical 3건이 특히 주목됩니다. v1.37.x 배포라면 지체 없이 업그레이드해야 합니다.

  • securityCritical: HTTP/3 → HTTP/1 요청 밀수 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청으로 HTTP/1 업스트림에 요청을 밀수할 수 있습니다. HTTP/3을 종료하고 HTTP/1 백엔드로 프록시하는 모든 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityCritical: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 삽입된 인증서는 비교 시 그 지점에서 잘려 의도하지 않은 패턴에 매칭됩니다. TLS SAN 검증으로 인증 결정을 내리는 배포에서 인증 우회가 발생합니다. 즉시 업그레이드하세요.

  • securityCritical: PROXY Protocol v2 TLV 업스트림 스트림 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 건너뛰어야 할 TLV를 그대로 출력해, 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림에 유입됩니다. 업스트림 방향으로 PROXY Protocol v2 헤더를 생성하는 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityHigh: OAuth2 필터 패딩 오라클 및 UAF (CVE-2026-47775, CVE-2026-48090)

    CVE-2026-47775 (GHSA-396h-jpq4-vc7p)는 PKCE 코드 검증자 패딩 오라클 취약점이고, CVE-2026-48090 (GHSA-3cj2-c63f-q26f)는 스트림 해제 후 비동기 토큰 완료 시 UAF 위험입니다. 둘 다 envoy.filters.http.oauth2를 사용하는 배포에 적용됩니다.

  • securityHigh: HTTP/3 QPACK 블로킹 디코딩 DoS (GHSA-p7c7-7c47-pwch)

    HTTP/3 QPACK 블로킹 디코딩(GHSA-p7c7-7c47-pwch)을 악용해 HTTP/3 스택을 DoS 상태로 만들 수 있습니다. HTTP/3을 서비스하는 모든 배포에 적용됩니다.

  • securityHigh: grpc_stats 필터 세그폴트 (CVE-2026-47204)

    CVE-2026-47204 (GHSA-3jxh-8p6x-7pf6): Connect 프로토콜 요청이 direct_response 라우트로 전달될 때 grpc_stats 필터가 세그폴트를 일으킵니다. envoy.filters.http.grpc_stats를 사용하는 배포에 적용됩니다.

  • breakingIntel DLB 연결 밸런서 contrib 익스텐션 빌드 시 비활성화

    envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서) contrib 익스텐션이 소스 아카이브 손상으로 인해 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화되었습니다. 이 익스텐션을 사용하는 배포는 소스 문제가 해결될 때까지 로컬 우회 방법이나 대체 밸런싱 전략을 사용해야 합니다.

주요 변경 (5)
  • Critical CVE 3건 수정: HTTP/3→HTTP/1 요청 밀수(CVE-2026-48743), TLS SAN NUL 바이트 인증 우회(CVE-2026-47778), PROXY Protocol v2 업스트림 스트림 65 KB 유출(CVE-2026-47692).
  • High 심각도 CVE 9건 추가 수정: OAuth2 패딩 오라클·UAF(CVE-2026-47775, CVE-2026-48090), HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), grpc_stats 세그폴트(CVE-2026-47204), DNS UDP 필터 비정상 종료(CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706), 깊은 JSON 중첩 스택 오버플로(CVE-2026-48042), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), REQUESTED_SERVER_NAME 크래시(CVE-2026-47220), ext_proc gRPC 응답 크래시(CVE-2026-47207), authz 퍼라우트 크래시(CVE-2026-47205).
  • zstd 압축 해제 RLE 집 밤 DoS(CVE-2026-48044, High) 수정. zstd 필터를 사용하는 배포에 적용됩니다.
  • wasmtime 의존성 업그레이드로 CVE-2026-47261 해결.
  • envoy.network.connection_balance.dlb(Intel DLB) contrib 익스텐션이 소스 아카이브 손상으로 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화됨. 릴리스 노트에 로컬 우회 방법이 안내되어 있습니다.
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.36.9는 보안 패치만 포함된 릴리스로, TLS SAN 처리, HTTP/3, PROXY 프로토콜, JSON 파싱, OAuth2, ext_proc, grpc_stats, zstd, DNS, statsd에 걸쳐 15개 CVE(2개 critical, 나머지 high/medium)를 수정합니다. TLS SAN 인증 우회와 HTTP/3 요청 스머글링은 광범위하게 악용될 수 있으므로 즉시 업그레이드해야 합니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778 / GHSA-f8x4-rw5x-f3r7)

    TLS SAN에 NUL 바이트가 포함된 경우 SAN이 잘려 인증서 기반 인증 검사를 우회할 수 있습니다. 모든 배포에 영향을 미치므로 즉시 v1.36.9로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3-to-HTTP/1 요청 스머글링 (CVE-2026-48743 / GHSA-8phg-2h2q-jgxf)

    nonzero Content-Length를 가진 headers-only HTTP/3 요청이 HTTP/1 백엔드로 밀수될 수 있습니다. HTTP/3를 HTTP/1 백엔드로 프록시하는 환경에 영향을 줍니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692 / GHSA-wh36-hm39-mm3r)

    PROXY Protocol v2 헤더 생성기가 TLV를 잘못 방출해 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림으로 흘러들어갑니다. PROXY Protocol v2 헤더 생성기를 사용하는 환경에 해당합니다.

  • securityHIGH: 깊은 중첩 JSON으로 인한 스택 오버플로 (CVE-2026-48042 / GHSA-f24p-rxw2-g6pv)

    중첩 깊이가 매우 큰 JSON 입력이 들어오면 객체 소멸자에서 스택 오버플로가 발생해 프록시가 크래시됩니다. 모든 배포에 영향을 줍니다.

  • securityHIGH: wasmtime 의존성 CVE (CVE-2026-47261)

    CVE-2026-47261 해결을 위해 wasmtime 의존성이 업데이트되었습니다. Wasm 확장을 사용하는 모든 배포에 적용됩니다.

  • breakingDLB 커넥션 밸런서 확장 비활성화 (기능 제거)

    contrib Intel DLB 커넥션 밸런서 확장(envoy.network.connection_balance.dlb)이 소스 아카이브 문제로 인해 모든 플랫폼의 Bazel 빌드에서 비활성화되었습니다. 이 확장을 사용하던 빌드는 조용히 기능을 잃게 됩니다.

주요 변경 (8)
  • CRITICAL (2개): TLS SAN NUL 바이트 잘림으로 인한 인증 우회(CVE-2026-47778)와, headers-only HTTP/3 요청의 nonzero Content-Length를 이용한 HTTP/1 백엔드 요청 스머글링(CVE-2026-48743).
  • HIGH: PROXY Protocol v2 헤더 생성기가 skipped TLV를 잘못 방출해 공격자 제어 데이터 최대 65 KB가 업스트림 스트림으로 유출(CVE-2026-47692).
  • HIGH: 깊은 중첩 JSON 소멸자에서 스택 오버플로 발생, 전 배포 영향(CVE-2026-48042).
  • HIGH: 여러 필터의 크래시 및 보안 문제 수정 -- ext_proc 단일 gRPC 메시지 응답(CVE-2026-47207), grpc_stats가 direct_response 라우트에 Connect 프로토콜 요청 시 세그폴트(CVE-2026-47204), authz 퍼 라우트 크래시(CVE-2026-47205), 라우터 내부 리다이렉트 크래시(CVE-2026-47221).
  • HIGH: OAuth2 필터 두 가지 수정 -- PKCE 코드 검증자 패딩 오라클(CVE-2026-47775)과 스트림 해제 후 지연된 비동기 토큰 완료로 인한 UAF 위험(CVE-2026-48090).
  • HIGH: zstd RLE zip-bomb 압축 증폭(CVE-2026-48044), DNS UDP 필터 비정상 종료(CVE-2026-48497), HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706).
  • CVE-2026-47261 해결을 위한 wasmtime 의존성 업데이트(HIGH, 모든 배포 적용).
  • 소스 아카이브 문제로 contrib envoy.network.connection_balance.dlb(Intel DLB) 확장이 모든 빌드에서 비활성화.
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.35.13은 CVE 13건을 수정한 주요 보안 릴리스로, 그중 2건은 critical입니다. 업스트림 스트림에 최대 65KB가 유출되는 PROXY 프로토콜 v2 TLV 유출 결함과, 인증서 기반 인증을 우회할 수 있는 TLS SAN NUL 절단 결함이 포함됩니다. 소스 아카이브 문제로 contrib Intel DLB 커넥션 밸런서 확장도 비활성화됐습니다.

  • securityPROXY 프로토콜 v2 TLV 유출 (CVE-2026-47692)

    PROXY 프로토콜 v2 헤더 생성을 사용하는 모든 v1.35.13 배포에 해당합니다. CVE-2026-47692는 공격자가 조작한 "skipped" TLV로 인해 업스트림 애플리케이션 스트림에 최대 65KB가 유출되는 취약점입니다. 이 기능을 쓴다면 즉시 업그레이드하세요.

  • securityTLS SAN NUL 절단으로 인한 인증 우회 (CVE-2026-47778)

    SAN 기반으로 클라이언트 인증서를 검증하는 배포에 해당합니다. CVE-2026-47778은 TLS SAN에 삽입된 NUL 바이트로 인해 파싱된 이름이 잘려서, 의도하지 않은 호스트명과 일치하며 인증을 우회할 수 있는 취약점입니다. 즉시 업그레이드하세요.

  • security핵심 필터와 HTTP/3에 걸친 추가 CVE 11건

    ext_proc, 라우터 내부 리다이렉트, OAuth2(패딩 오라클과 비동기 토큰 완료 지연으로 인한 use-after-free 두 건), zstd 압축 해제, grpc_stats, JSON 파싱, DNS 필터, HTTP/3(content-length 검증 미비와 별도의 QPACK 기반 DoS), TcpStatsdSync 등에서 추가로 11건의 높은 심각도 CVE가 수정됐습니다. 각각 특정 필터나 코덱에 얽힌 크래시, DoS, 메모리 안전성 문제입니다. 전체 수정을 적용하려면 업그레이드하고, 사용 중인 필터를 확인해 우선순위를 정하세요.

  • securitywasmtime 의존성 업데이트로 CVE-2026-47261 수정

    com_github_wasmtime 의존성을 올려 별도의 wasmtime CVE(CVE-2026-47261)를 수정했습니다. Wasm 필터를 사용하는 배포에 해당합니다.

  • breakingIntel DLB 커넥션 밸런서 확장 비활성화

    contrib 확장 envoy.network.connection_balance.dlb(Intel DLB 커넥션 밸런서)가 소스 아카이브 문제로 모든 빌드와 플랫폼에서 Bazel 빌드 레벨에서 비활성화됐습니다. 이 확장을 활성화해 빌드하던 곳은 다른 커넥션 밸런서로 전환해야 합니다.

주요 변경 (7)
  • 이번 릴리스에서 CVE 13건이 수정됐고 그중 2건은 심각도 critical입니다: PROXY 프로토콜 v2 TLV 유출(CVE-2026-47692, 업스트림 스트림으로 최대 65KB 유출)과 TLS SAN NUL 절단으로 인한 인증 우회(CVE-2026-47778).
  • 핵심 요청 처리 경로에서 다수의 높은 심각도 결함이 수정됐습니다: ext_proc 단일 메시지 응답 처리(CVE-2026-47207), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), direct_response 라우트로의 Connect 프로토콜 요청 시 grpc_stats 세그폴트(CVE-2026-47204), 깊게 중첩된 JSON 소멸 시 스택 오버플로(CVE-2026-48042).
  • OAuth2 필터에서 서로 다른 두 건이 수정됐습니다: 코드 검증자 패딩 오라클(CVE-2026-47775), 스트림 종료 후 비동기 토큰 완료 지연으로 인한 use-after-free(CVE-2026-48090).
  • HTTP/3 스택이 두 가지 문제에서 강화됐습니다: 헤더만 있는 요청/응답의 content-length 미검증(CVE-2026-48743), QPACK 블록 디코딩을 악용한 DoS.
  • 그 외 높은 심각도 수정: zstd RLE 압축 해제 시 zip bomb(CVE-2026-48044), 긴 쿼리 이름으로 인한 DNS 필터 크래시(CVE-2026-48497), 큰 stats 이름으로 인한 TcpStatsdSync 버퍼 오버플로(CVE-2026-48706).
  • 업스트림 wasmtime 의존성을 올려 Wasm 필터의 CVE-2026-47261을 해결했습니다.
  • contrib 확장 envoy.network.connection_balance.dlb(Intel DLB)가 소스 아카이브 문제로 모든 빌드에서 Bazel 레벨에서 비활성화됐습니다.
원문

Linkerd

Networking & Messaging2026년 6월 19일

Linkerd edge-26.6.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Strimzi

Networking & Messaging2026년 6월 17일

Strimzi 1.0.1은 CVE 두 건을 패치하고, Entity Operator의 cross-namespace 감시 기능을 기본 비활성화로 변경했습니다. v1 CRD만 지원하는 정책은 1.0.0에서 이어집니다.

  • securityCVE 두 건 수정 — 빠른 업그레이드 권장

    CVE-2026-55225와 CVE-2026-55226이 1.0.1에서 수정됐습니다. 패치 릴리스 한 번에 CVE 두 건이 포함된 만큼, 정기 유지보수 시점을 기다리지 말고 업그레이드를 우선시하는 게 낫습니다. 세부 내용은 Strimzi 보안 어드바이저리를 확인하세요.

  • breakingwatchedNamespace 사용 중이라면 환경 변수 설정 필수

    Kafka CR의 Entity Operator 섹션에 watchedNamespace를 Kafka 클러스터와 다른 네임스페이스로 설정해 두었다면, 업그레이드 후 Topic/User Operator가 해당 네임스페이스를 감시하지 않습니다. Cluster Operator 디플로이먼트에 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED=true를 추가해야 합니다. 설정 누락 시 토픽·유저 reconciliation이 조용히 멈추므로, 모든 네임스페이스의 Kafka CR을 미리 확인하세요.

  • breaking업그레이드 전 CRD를 반드시 v1로 변환

    1.0.1은 v1 CRD만 인식합니다. 1.0.0으로의 마이그레이션 때 변환을 건너뛰었거나 구버전에서 직접 올린다면, 오퍼레이터 매니페스트를 적용하기 전에 Strimzi 1.0.1 배포 가이드의 CRD 변환 절차를 먼저 실행하세요. 변환 없이 오퍼레이터를 배포하면 reconciliation이 실패합니다.

주요 변경 (4)
  • v1beta2, v1beta1, v1alpha1 CRD API 버전이 모두 제거됨 — 업그레이드 전 CRD 변환 필수
  • CVE-2026-55225, CVE-2026-55226 두 건 패치
  • Entity Operator cross-namespace 감시 기능이 기본 비활성화로 변경됨
  • 새 환경 변수 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED로 해당 기능을 명시적으로 켜야 함
원문

Cilium

Networking & Messaging2026년 6월 16일

Cilium v1.19.5는 정책 적용 버그, Gateway API 패닉, 로드밸런서 오동작 등을 수정한 버그픽스 중심 패치입니다. CVE는 없지만 업그레이드 전 확인이 필요한 항목이 있습니다.

  • breaking업그레이드 전 `l2podAnnouncements.interface` Helm 값 교체 필수

    `l2podAnnouncements.interface` Helm 키가 제거되었습니다. 이 키는 에이전트가 더 이상 읽지 않는 configmap 항목을 써서, L2 pod announcements가 활성화된 클러스터에서 crash-loop를 유발합니다. 업그레이드 전에 Helm values 파일에서 이 키를 찾아 `l2podAnnouncements.interfacePattern`으로 교체하세요. 교체하지 않으면 업그레이드 후 에이전트가 기동되지 않습니다.

  • breakingNamespaceSelector를 쓰는 CiliumEgressGatewayPolicy 동작 재확인 필요

    CiliumEgressGatewayPolicy의 NamespaceSelector 필드가 손상되어 해당 규칙이 실제로 적용되지 않는 버그가 있었습니다. 1.19.5로 업그레이드한 후에는 NamespaceSelector를 사용하는 이그레스 정책이 실제로 트래픽을 차단하는지 확인하세요. 이전까지 허용되던 트래픽이 수정 후 차단될 수 있습니다.

  • enhancementselectorless ipBlock 정책 사용 중이라면 동작 변화 확인

    와일드카드 네임스페이스 셀렉터가 pod selector 없는 ipBlock 규칙을 우회하던 버그가 수정되었습니다. 명시적 네임스페이스 셀렉터 없이 ipBlock만 쓰는 CiliumNetworkPolicy가 있다면 업그레이드 후 정책 적용 결과가 바뀔 수 있으니 실제 트래픽 패턴을 점검하세요.

주요 변경 (5)
  • selectorless ipBlock 규칙에서 와일드카드 네임스페이스가 정책을 우회하던 버그 수정
  • `l2podAnnouncements.interface` Helm 값 제거 — `interfacePattern`으로 마이그레이션하지 않으면 업그레이드 후 crash-loop 발생
  • CiliumEgressGatewayPolicy의 NamespaceSelector가 손상되어 이그레스 정책이 조용히 무력화되던 버그 수정
  • ClusterIP/LoadBalancer VIP가 노드 로컬 IP와 겹칠 때 노드 연결이 끊기던 버그 수정
  • 수천 개 서비스가 백엔드를 공유하는 환경에서 성능 저하 없이 동작하도록 로드밸런싱 내부 구조 리팩터링
원문

Cilium

Networking & Messaging2026년 6월 16일

Cilium 1.18.11은 메모리 누수, 소켓 처리 충돌, Gateway API 라우팅 버그를 고치는 패치 릴리스입니다. 호환성을 깨는 변경이 없으므로 1.18.x를 운영 중인 팀이 안전하게 적용할 수 있습니다.

  • security소켓 처리 에이전트 크래시가 보이면 패치 적용

    Cilium 1.18.11은 filterAndDestroySockets의 nil 포인터 역참조를 고칩니다. 에이전트 파드가 갑자기 재시작되거나 소켓 필터링 관련 panic 로그가 보이면 즉시 업그레이드하세요. 1.18.10 이하를 운영 중이라면 이 안정성 문제를 만날 수 있습니다.

  • breaking업그레이드 후 Cilium 관리 대상이 아닌 인터페이스의 MTU 설정 검증

    1.18.11은 MTU 처리를 변경해 Cilium이 관리하지 않는 인터페이스를 건너뜁니다. 인프라가 Cilium으로 외부 인터페이스(예: 호스트 관리 veth 쌍)의 MTU를 조정하는 데 의존한다면 스테이징 환경에서 먼저 테스트하세요. Cilium 소유 인터페이스를 altname으로 표시해야 MTU가 수정됩니다.

  • enhancementKubernetes Gateway API에 TLS 라우트를 사용하면 적용 권장

    이 패치는 Gateway API 지원의 두 가지 버그를 고칩니다: TLSRoute passthrough의 가중치 백엔드 라우팅과 혼합 리스너 처리. Gateway API를 TLS 종료 또는 passthrough로 운영하면 이 업그레이드로 조용한 라우팅 실패를 없앨 수 있습니다. 설정 변경은 필요 없으며 기존 Gateway API 리소스를 스테이징 클러스터에서 먼저 테스트하세요.

주요 변경 (5)
  • 큰 StateDB 트랜잭션에서 watch 채널 해시맵 재사용 시 발생하는 메모리 누수 해결
  • Gateway API TLSRoute passthrough 리스너에서 가중치가 있는 백엔드 트래픽 분할 수정
  • 소켓 필터링 코드의 nil 포인터 역참조 수정으로 에이전트 크래시 방지
  • MTU 변경 동작을 Cilium이 관리하는 인터페이스에만 적용하도록 수정
  • troubleshoot 명령어의 kvstore 및 clustermesh 진단 정보 확대
원문

Cilium

Networking & Messaging2026년 6월 16일

Cilium v1.17.17은 멀티풀 환경에서 CiliumNode 재시도 로직을 고치고 troubleshoot 명령어 출력을 개선한 패치 릴리스입니다. 호환성을 깨는 변경은 없습니다.

  • enhancement멀티풀 배포 환경에서 업그레이드 후 테스트

    Cilium v1.17.17에서는 CiliumNode 조회 재시도 메커니즘을 고쳤습니다. 멀티풀 IP 할당(클러스터당 여러 리소스 풀)을 운영 중이면, 업그레이드 후 파드 스케줄링과 IP 할당을 점검하세요.

  • enhancement개선된 troubleshoot 출력으로 클러스터 진단하기

    Troubleshoot kvstore와 clustermesh 명령어가 이제 더 자세한 진단 정보를 표시합니다. kvstore나 clustermesh 연결 문제를 조사할 때, 업그레이드 후 이 명령어들을 다시 실행해 더 풍부한 출력으로 원인을 빠르게 파악하세요.

  • enhancementEnvoy v1.37.x 업데이트 후 동작 확인

    번들된 Envoy 프록시가 v1.37.x로 올라갔습니다. Envoy v1.37.x 릴리스 노트에서 HTTP/2, 로드 밸런싱, 관찰성 영역의 동작 변화를 검토하세요. Envoy 1.36.x의 특정 동작에 의존 중이 아니면 조치 불필요합니다.

주요 변경 (4)
  • 멀티풀 환경에서 CiliumNode Get 에러 재시도가 정상 작동하도록 수정
  • Troubleshoot kvstore와 clustermesh 명령어에서 진단 정보 추가 제공
  • Envoy 프록시를 v1.37.x로 업데이트, Helm 차트의 레지스트리 접두사 오버라이드 지원
  • Go 패키지, Kubernetes 유틸리티, Ubuntu 기본 이미지 의존성 갱신
원문

Linkerd

Networking & Messaging2026년 6월 16일

Linkerd edge-26.6.2는 정책 및 프로필 검증 버그를 고치고, 외부 워크로드에 네임스페이스 제한을 강화하며, Envoy 프록시 v2.357.0으로 업그레이드합니다.

  • security프로필 검증이 이제 nil 설정 거부

    프로필 검증의 nil 체크는 잘못된 설정으로 인한 크래시 경로를 닫습니다. 즉시 조치는 필요 없지만, 프로필을 프로그래밍 방식으로 생성한다면 적용 전에 항상 유효한 구조임을 확인하세요.

  • breaking네임스페이스 제한 외부 워크로드가 라우팅에 영향

    외부 워크로드와 엔드포인트가 이제 네임스페이스 경계를 준수합니다. Linkerd 설정에서 외부 워크로드 간 네임스페이스 호출을 하고 있다면, 업그레이드 후 라우팅이 정상 작동하는지 확인하세요. 기존 크로스 네임스페이스 접근에 의존하는 정책을 수정하세요.

  • enhancement통합 failure accrual로 로드 밸런싱 세부 조정

    통합 failure accrual 및 response-penalty 로드 biasing으로 프록시가 느리거나 실패한 엔드포인트를 처리하는 방식을 더 세밀하게 제어할 수 있습니다. 먼저 카나리 네임스페이스에서 테스트한 후 failure 임계값과 penalty 가중치를 SLO에 맞게 조정하세요. Linkerd 문서에서 새 정책 옵션을 확인하세요.

주요 변경 (5)
  • 정책 검증: 부적절한 AuthN 정책 체크 제거; 아웃바운드 인덱스 규칙 오타 수정.
  • 프로필 검증: nil 체크 추가로 검증 중 크래시 방지.
  • 네임스페이스 격리: 외부 워크로드와 엔드포인트가 네임스페이스 경계 준수하여 크로스 네임스페이스 누출 방지.
  • 로드 밸런싱: 정책 엔진에서 통합 failure accrual 및 response-penalty biasing 구현.
  • 프록시 업그레이드: Envoy v2.357.0, Go 1.25.11 빌드 사용.
원문

Envoy

Networking & Messaging2026년 6월 11일

Envoy v1.38.2는 소규모 패치 릴리스입니다. RTDS 런타임 버그 수정 1건과 HTTP/2 쿠키 관련 opt-in 기능 2건이 포함되며, 보안 수정은 없습니다.

  • breakingRTDS 런타임 가드 삭제 동작 변경 — 오버라이드 제거 로직 검증 필요

    RTDS 런타임 가드 오버라이드를 삭제할 때 기본값으로 복원되길 기대했다면, 기존 버전에서는 그 동작이 잘못되어 있었습니다. v1.38.2 업그레이드 후에는 삭제 시 기본값이 올바르게 복원됩니다. 런타임 오버라이드를 제거하는 자동화 스크립트나 CI 파이프라인이 있다면, 업그레이드 전후로 동작을 확인하세요.

  • enhancementHTTP/2 쿠키 헤더 크기 제한 플래그 활용 검토

    envoy.reloadable_features.http2_max_cookies_size_in_kb를 설정하면 HTTP/2에서 재조합된 cookie 헤더의 최대 크기를 제한할 수 있습니다. 신뢰할 수 없는 트래픽을 처리하거나 대형 쿠키가 빈번히 유입되는 환경이라면, 적절한 값을 설정해 메모리 사용을 줄이세요. 기본값은 무제한이므로 명시적으로 opt-in해야 합니다.

주요 변경 (3)
  • RTDS 런타임 수정: 런타임 가드 오버라이드를 삭제할 때 기본값으로 올바르게 복원되지 않던 버그 수정
  • HTTP/2 헤더 통계용 opt-in 히스토그램 추가 (envoy.reloadable_features.http2_record_histograms) — 향후 릴리스에서 제거 예정인 임시 기능
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조합된 cookie 헤더 크기를 제한 가능 (기본값: 무제한)
원문

Envoy

Networking & Messaging2026년 6월 11일

Envoy v1.37.4는 RTDS 버그 수정 하나와 HTTP/2 쿠키 관련 옵트인 기능 두 가지를 포함한 소규모 패치입니다. CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리 중이라면, 기존에는 오버라이드를 삭제해도 이전 값이 남아 있었습니다. 이번 수정으로 삭제 시 프로세스 전체 기본값으로 복원됩니다. 오버라이드 삭제 후 적용될 기본값이 의도한 값인지 확인하세요. 특히 기존 버그 동작을 우회하는 방식으로 설정했던 경우 반드시 검토가 필요합니다.

  • enhancement신뢰할 수 없는 HTTP/2 클라이언트가 있다면 쿠키 크기 제한 설정을 고려하세요

    이번 릴리스 이전에는 HTTP/2 재조립 cookie 헤더에 크기 제한이 없었습니다. 외부 HTTP/2 트래픽을 프록시한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb를 적절한 값(예: 32–64 KB)으로 설정해 비정상적으로 큰 쿠키가 업스트림에 전달되는 상황을 막을 수 있습니다. 기본값은 무제한이므로 명시적으로 설정해야 합니다.

  • enhancementHTTP/2 헤더 히스토그램을 스테이징에서 먼저 켜서 트래픽 특성을 파악하세요

    envoy.reloadable_features.http2_record_histograms를 활성화하면 헤더 수, 바이트 크기, 쿠키 관련 메트릭을 히스토그램으로 수집할 수 있습니다. HTTP/2 헤더 부하를 파악하는 데 유용하지만, 향후 릴리스에서 제거될 임시 기능입니다. 프로덕션 대시보드에 장기 의존하지 않도록 주의하세요.

주요 변경 (4)
  • RTDS 버그 수정: 런타임 가드 오버라이드 삭제 시 프로세스 전체 기본값으로 정상 복원되도록 수정
  • HTTP/2 헤더 통계 히스토그램 옵트인 추가 — envoy.reloadable_features.http2_record_histograms로 활성화
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조립된 cookie 헤더 크기 상한 설정 가능 (기본값: 무제한)
  • HTTP/2 헤더 히스토그램은 임시 기능으로, 향후 릴리스에서 제거 예정
원문

Envoy

Networking & Messaging2026년 6월 11일

Envoy v1.36.8은 RTDS 버그 수정 1건과 HTTP/2 관찰성 기능 2건을 담은 소규모 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingHTTP/2 헤더 히스토그램은 임시 기능 — 영구 대시보드에 연결하지 마세요

    http2_record_histograms 기능과 그 runtime guard는 향후 Envoy 릴리스에서 제거될 예정이라고 명시되어 있습니다. HTTP/2 헤더 디버깅 목적으로 활성화하더라도, 이 메트릭을 영구 대시보드나 알림에 연결해두면 업그레이드 시 깨집니다. 임시 디버깅 용도로만 쓰세요.

  • enhancementHTTP/2 헤더·쿠키 크기 문제를 디버깅할 때 새 히스토그램 활용

    HTTP/2 요청이 예상보다 크거나 쿠키 관련 이상 동작이 보인다면 envoy.reloadable_features.http2_record_histograms를 켜서 헤더 항목 수, 바이트 크기, 쿠키 메트릭을 수집하세요. 업스트림 서비스를 과도하게 큰 쿠키 헤더로부터 보호해야 한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb로 크기 상한도 함께 설정하는 것이 좋습니다.

주요 변경 (4)
  • RTDS runtime guard override 삭제 시 프로세스 전체 기본값이 제대로 복원되지 않던 버그 수정
  • envoy.reloadable_features.http2_record_histograms로 HTTP/2 헤더 히스토그램(항목 수, 바이트 크기, 쿠키 길이, 쿠키 수) 활성화 가능 (opt-in)
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 추가 — 재조합된 cookie 헤더 크기 상한 설정 (기본값: 제한 없음)
  • HTTP/2 히스토그램과 관련 runtime guard는 향후 릴리스에서 제거 예정 — 임시 기능임이 명시됨
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.35.12는 RTDS 런타임 가드 버그 수정 1건과 HTTP/2 쿠키·헤더 관찰용 opt-in 기능 2건이 포함된 마이너 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리하고 있다면 스테이징에서 동작을 검증하세요. 이전에는 오버라이드를 삭제해도 기존 값이 유지됐지만, 이제는 프로세스 기본값으로 복원됩니다. 삭제 후에도 값이 유지된다고 가정하는 자동화 스크립트가 있다면 동작이 달라집니다.

  • enhancementHTTP/2 쿠키 크기 제한 플래그로 메모리 사용량 통제

    envoy.reloadable_features.http2_max_cookies_size_in_kb는 기본적으로 비활성화 상태입니다. 신뢰할 수 없는 HTTP/2 트래픽을 받는 환경이라면, 재조합된 cookie 헤더로 인한 메모리 소비를 제한하기 위해 적절한 값을 설정하세요. 먼저 새로 추가된 히스토그램으로 실제 쿠키 크기를 측정한 뒤 상한값을 결정하는 순서가 좋습니다.

주요 변경 (3)
  • RTDS 런타임 가드 오버라이드를 삭제했을 때 프로세스 기본값으로 제대로 복원되지 않던 버그 수정
  • HTTP/2 헤더 히스토그램(엔트리 수, 바이트 크기, 쿠키 길이, 쿠키 수) opt-in 추가 — envoy.reloadable_features.http2_record_histograms로 활성화, 향후 릴리스에서 제거 예정
  • envoy.reloadable_features.http2_max_cookies_size_in_kb로 재조합된 cookie 헤더 크기를 제한할 수 있음 (기본값: 제한 없음)
원문

NATS

Networking & Messaging2026년 6월 9일

NATS v2.12.11은 단일 버그 수정 패치입니다. v2.12.7에서 도입된 JetStream regression으로 per-subject 메시지 수 제한이 설정된 스트림에서 'Message Not Found' 오류가 발생하는 문제를 고쳤습니다.

  • breakingmax_msgs_per_subject 설정 중이라면 즉시 업그레이드

    NATS 2.12.7~2.12.10을 운영하면서 스트림에 MaxMsgsPerSubject(max_msgs_per_subject)를 설정했다면, subject 상태가 잘못 추적되어 'Message Not Found' 오류가 간헐적으로 발생할 수 있습니다. 컨슈머가 메시지를 놓치거나 예기치 않게 동작할 수 있으므로, 2.12.11로 바로 업그레이드하세요. 이미 2.14.x를 사용 중이라면 영향받지 않습니다.

주요 변경 (4)
  • JetStream regression 수정: v2.12.7에서 생긴 subject 상태 추적 오류로 max_msgs_per_subject 설정 시 'Message Not Found' 오류 발생
  • Go 런타임 1.25.11로 업데이트
  • v2.14.x는 해당 regression 미적용 — 2.12.7~2.12.10 사용자만 영향받음
  • 그 외 변경 사항 없음
원문

gRPC

Networking & Messaging2026년 6월 9일

gRPC v1.81.1은 Windows·ARM 메모리 안전성 버그를 수정한 패치 릴리스입니다. API 호환성을 깨는 변경은 없습니다.

  • breakingPython 3.9, Ruby 3.1 지원 종료 — 런타임 버전 확인 필요

    Python 3.9 또는 Ruby 3.1에서 gRPC를 쓰고 있다면 v1.81.1로 업그레이드 시 빌드가 깨집니다. 업그레이드 전에 서비스 런타임 버전을 확인하고, Python 3.10+, Ruby 3.2+로 먼저 올리세요.

  • enhancementWindows·ARM 배포 환경은 이번 패치 적용 권장

    Windows EventEngine race 2건과 ARM completion queue 종료 race가 수정됐습니다. use-after-free나 assertion crash는 재현이 어렵지만 서비스를 간헐적으로 죽이는 유형입니다. Windows 서버나 Graviton 같은 ARM 호스트에서 gRPC를 운영 중이라면 패치를 적용하세요.

  • enhancementgrpc-status에서 protobuf 7.x 사용 가능

    grpc-status 패키지의 protobuf 상한이 7.x까지 풀렸습니다. protobuf 최신 버전을 요구하는 다른 라이브러리와 함께 쓸 때 버전 충돌로 고생했다면, 이제 상한 고정을 제거해도 됩니다.

주요 변경 (5)
  • EventEngine: Windows use-after-free 및 assertion 오류 유발 race condition 2건 수정
  • Core: ARM 등 약한 메모리 모델 아키텍처에서 completion queue 종료 race 수정
  • Python: Python 3.9 지원 종료, protobuf 의존성 상한을 7.x까지 허용
  • Ruby: EOL 상태인 Ruby 3.1 지원 종료, CallCredentials 참조 누락 버그 수정
  • Python: AsyncIO 스택에 observability 지원 추가
원문

Linkerd

Networking & Messaging2026년 6월 6일

프록시 두 번 업데이트(v2.355.0, v2.356.0)와 ReadAllLimit 바이트 경계 버그 수정이 포함된 의존성 유지보수 릴리스입니다.

  • enhancement프록시 버전이 두 개 묶인 릴리스 — 각 변경 이력 별도 확인 필요

    이번 엣지 릴리스에는 프록시 v2.355.0과 v2.356.0이 한꺼번에 포함됐습니다. 트래픽 정책, 재시도, 프로토콜 감지 동작을 면밀히 추적하는 팀이라면 스테이징에 배포하기 전 프록시 전용 변경 이력을 따로 확인하세요. 두 버전이 합쳐진 탓에 회귀 문제 발생 시 원인을 좁히기가 까다롭습니다.

  • enhancementReadAllLimit 수정 — 바이트 한도 정확히 맞는 요청 거부 문제 해결

    바이트 한도에 딱 맞는 입력이 잘못 거부되던 버그가 수정됐습니다. API 게이트웨이나 요청 본문 크기 검증 로직에서 설정된 한도와 정확히 일치하는 요청이 의도치 않게 차단됐다면 이번 수정으로 해결됩니다. 설정 변경은 불필요하지만, 기존에 의심스러운 413 류 거부 오류가 있었다면 검증해볼 만합니다.

주요 변경 (5)
  • 단일 릴리스에 프록시 v2.355.0, v2.356.0 두 버전 동시 포함
  • ReadAllLimit에서 정확히 바이트 한도에 맞는 입력을 올바르게 허용하도록 수정
  • Rust 프록시 의존성 hyper 1.10.1로 업그레이드
  • prometheus/common 0.68.1까지 두 단계 업데이트
  • 프론트엔드 의존성 업데이트: webpack-cli 7.0.3, query-string 9.4.0, launch-editor 2.14.1
원문

Istio

Networking & Messaging2026년 6월 5일

Istio 1.29.4는 Envoy의 CVSS 7.5 DoS 취약점(CVE-2026-47774)을 패치하고, 클러스터 전체 unhealthy 엔드포인트로 트래픽이 라우팅될 수 있던 앰비언트 모드 버그 등 6건의 결함을 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 인증 없이 DoS 가능

    CVE-2026-47774는 외부 공격자가 인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있는 취약점입니다. 쿠키 헤더 크기가 요청 헤더 검증에서 완전히 반영되지 않고, HPACK 블록 제한이 인코딩된 바이트 기준으로만 적용되는 두 가지 문제가 결합된 결과입니다. 인그레스 게이웨이처럼 HTTP/2를 외부에 노출하는 환경이라면 지금 바로 1.29.4로 업그레이드해야 합니다.

  • breaking앰비언트 모드: publishNotReadyAddresses + 트래픽 분산 조합 점검 필요

    publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode 트래픽 분산을 함께 쓰는 Service가 하나라도 있으면, 동일 프리셋을 사용하는 모든 Service에 healthPolicy:AllowAll이 전파되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 전후로 ztunnel 로그에서 AllowAll 항목을 확인해 수정이 제대로 적용됐는지 검증하세요.

  • enhancement구형 커널 환경: nftables → iptables 자동 전환으로 CNI 안정성 향상

    JSON을 지원하지 않는 nft 바이너리가 있는 호스트에서 CNI 에이전트가 파드 제거마다 오류를 기록하며 무한 재시도하던 문제가 수정됐습니다. 이제 시작 시점에 JSON 지원 여부를 감지해 iptables 백엔드로 자동 전환합니다. 별도 조치는 불필요하지만, CNI 에이전트 로그에서 'JSON support not compiled-in' 오류가 반복됐던 환경이라면 업그레이드 후 오류가 사라지는지 확인하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 가능 — 쿠키 헤더 크기 계산 누락 및 HPACK 디코딩 크기 제한 미적용이 원인
  • 앰비언트 모드 버그 수정: publishNotReadyAddresses:true + 트래픽 분산 프리셋 조합 시 동일 프리셋을 쓰는 모든 Service의 healthPolicy가 AllowAll로 오염되던 문제
  • CNI 에이전트 시작 시 nft 바이너리의 JSON 지원 여부를 검사해 미지원 환경에서 iptables 백엔드로 자동 전환
  • 동일 노드에 두 파드가 동시에 앰비언트 메시에 합류할 때 istio-cni에서 발생하던 concurrent map writes 패닉 수정
  • 수동 배포 Gateway 하에서 ListenerSet으로 정의된 HTTPS 리스너의 TLS 인증서 미전달 문제 수정
원문

Istio

Networking & Messaging2026년 6월 5일

Istio 1.28.8은 Envoy HTTP/2 메모리 고갈 취약점(CVSS 7.5)을 패치하고, TLS 인증서 전달 오류, 라우트 필터 상태 미보고, ambient 모드 헬스 정책 오염 버그를 수정합니다.

  • securityHTTP/2 엔드포인트 노출 중이라면 즉시 CVE-2026-47774 패치 적용

    인증 없이도 조작된 HTTP/2 요청만으로 Envoy 프로세스 메모리를 고갈시킬 수 있습니다. 쿠키 헤더 바이트가 크기 검증에서 누락되고, HPACK 제한이 인코딩 크기에만 적용되어 디코딩 후 실제 크기를 제어하지 못하는 구조적 결함입니다. 외부 트래픽이나 신뢰할 수 없는 HTTP/2 트래픽을 받는 클러스터는 지금 바로 1.28.8로 업그레이드하세요. 즉시 업그레이드가 어렵다면 Envoy 요청 헤더 크기 제한 설정이나 WAF 규칙으로 임시 대응하세요.

  • breakingambient 모드에서 publishNotReadyAddresses + 존 기반 트래픽 분산 조합 즉시 점검 필요

    ambient 모드에서 publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode를 함께 쓰는 서비스가 있다면, 해당 트래픽 분산 프리셋을 공유하는 모든 서비스의 ztunnel 헬스 정책이 AllowAll로 오염되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 후 영향받은 서비스의 엔드포인트 헬스 동작을 재확인하고, 문제가 활성화된 기간 동안 비정상 파드로 트래픽이 유입됐는지 점검하세요.

  • enhancement라우트 필터 묵살 버그 수정으로 설정 디버깅 신뢰성 향상

    기존에는 HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 아무 오류 없이 사라져 트래픽 동작 이상의 원인을 찾기가 매우 어려웠습니다. 이제 invalid filter status가 Gateway API 리소스 상태에 명시적으로 표시됩니다. 업그레이드 후 과거 감으로 디버깅했던 라우트 설정을 재검토하면 헤더 필터 거부 여부를 바로 확인할 수 있습니다.

주요 변경 (4)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 유발 가능 — 쿠키 헤더 크기 미산정 및 HPACK 디코딩 크기 제한 부재가 원인
  • ListenerSet + 수동 Gateway 배포 조합에서 HTTPS 리스너가 TLS 인증서를 전달하지 못하던 문제 수정
  • HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 조용히 삭제되던 문제 수정 — 이제 invalid filter status로 명시적 보고
  • ambient 모드에서 publishNotReadyAddresses:true + PreferSameZone/PreferSameNode 조합이 동일 트래픽 분산 프리셋을 공유하는 전체 서비스의 헬스 정책을 오염시키던 심각한 버그 수정
원문

Istio

Networking & Messaging2026년 6월 5일

Istio 1.30.1은 Envoy HTTP/2에서 발생하는 CVSS 7.5 DoS 취약점 패치와 함께 CNI 에이전트 패닉, 트래픽 분산 정책 오염 버그, 일관 해시 로드밸런싱 회귀 등 13개 버그를 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 비인증 HTTP/2 DoS 공격 가능

    인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있습니다. Cookie 헤더 크기 계산 누락과 HPACK 디코딩 한도 미적용이 원인입니다. Istio 1.30.x를 운영 중이라면 지금 바로 1.30.1로 업그레이드하세요. 특히 신뢰할 수 없는 외부 트래픽에 노출된 인그레스 게이트웨이가 가장 위험한 지점입니다.

  • breaking앰비언트 모드 + 트래픽 분산 정책 사용자: 서비스 즉시 점검

    publishNotReadyAddresses: true와 PreferSameZone 또는 PreferSameNode를 함께 사용하는 Service가 있다면, 해당 버그로 인해 동일 프리셋을 공유하는 무관한 다른 Service들에도 healthPolicy: AllowAll이 적용되었을 수 있습니다. 결과적으로 준비되지 않은 파드로 트래픽이 라우팅됐을 가능성이 있습니다. 1.30.1 업그레이드 후 엔드포인트 상태를 검증하고, 준비되지 않은 파드에 트래픽이 유입됐는지 확인하세요.

  • enhancement업그레이드 후 'istioctl analyze'로 Gateway API CRD 버전 점검

    1.30.0에서 Gateway API CRD를 업데이트하지 않고 Istio만 업그레이드하면 TLS 패스스루가 조용히 깨지는 문제가 있었습니다. istiod가 관련 리소스를 오류 없이 필터링하기 때문에 원인 파악이 어려웠는데, 새 IST0176 검사가 이를 명확히 잡아냅니다. 업그레이드 후 istioctl analyze를 실행하고 IST0176 경고가 있으면 운영 환경에서 라우팅 장애로 번지기 전에 조치하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): Cookie 헤더 및 HPACK 디코딩을 악용한 Envoy HTTP/2 메모리 고갈 — 즉시 패치 필요
  • CNI 에이전트 치명적 패닉 수정: 동일 노드에서 앰비언트 메시에 파드 동시 추가 시 맵 동시 쓰기 경쟁 발생
  • 앰비언트 모드 트래픽 분산 버그 수정: publishNotReadyAddresses + PreferSameZone/Node 조합이 무관한 다른 Service의 healthPolicy를 클러스터 전체에서 오염시키는 문제
  • istioctl analyze에 IST0176 검사 추가 — Istio 최소 요구 버전 미만의 Gateway API CRD 감지
  • 호스트의 nft 바이너리에 JSON 지원이 없을 경우 nftables 백엔드가 iptables로 자동 폴백, CNI 파드 제거 시 무한 재시도 루프 종료
원문

Envoy

Networking & Messaging2026년 6월 5일

HTTP/2 CVE 2건과 oauth2 취약점 2건을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 운영 중이라면 즉시 업그레이드해야 합니다.

  • securityHTTP/2·oauth2 CVE — 다음 정기 점검을 기다리지 말고 지금 패치하세요

    HPACK 쿠키 폭탄을 통한 메모리 소진(CVE-2026-47774), nghttp2 취약점(CVE-2026-27135), oauth2 HMAC 타이밍 오라클, oauth2 크래시 유발 버그까지 총 4개의 보안 이슈가 수정됐습니다. oauth2 필터를 쓰고 있다면 HMAC 타이밍 사이드채널이 특히 위험합니다. 공격자가 반복 요청으로 HMAC 시크릿의 유효성을 추적할 수 있습니다. v1.38.1로 즉시 업그레이드하세요. HTTP/2 헤더 제한 동작은 기본값으로 활성화되므로, 명확한 이유 없이 `envoy.reloadable_features.http2_include_cookies_in_limits`로 되돌리지 마세요.

  • breakingHTTP 응답 본문에서 upstream 장애 이유가 제거됩니다 — 클라이언트 에러 처리 로직을 점검하세요

    이전까지 HTTP 응답 본문에 포함되던 upstream transport failure reason이 사라집니다. 이 정보를 파싱하거나 표시하는 다운스트림 클라이언트나 대시보드가 있다면 업그레이드 전에 반드시 확인해야 합니다. 액세스 로그에는 여전히 기록되니 모니터링 방식을 조정하세요. 이전 동작이 꼭 필요하다면 `envoy.reloadable_features.hide_transport_failure_reason_in_response_body`로 일시적으로 복원할 수 있습니다.

  • breakingEDS 배치 업데이트 시 LB 재구성 병합이 opt-in으로 전환됩니다

    EDS 배치 호스트 업데이트 중 로드밸런서 재구성 병합이 기본 비활성화됩니다. 파드 수가 많은 Kubernetes 환경에서 롤링 배포가 잦다면 LB 재구성 빈도가 늘어 CPU 부하가 증가할 수 있습니다. 업그레이드 후 컨트롤 플레인과의 상호작용 패턴을 벤치마킹하세요. 성능 저하가 확인되면 `envoy.reloadable_features.coalesce_lb_rebuilds_on_batch_update`로 이전 동작을 복원하세요.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기 위반 시 리셋됨. 비압축 쿠키가 헤더 크기/개수 제한에 포함되어 HPACK 쿠키 폭탄 공격 차단
  • CVE-2026-27135: nghttp2 패치 적용 — HTTP/2 트래픽 전반에 영향
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 시크릿 유효성 유출 방지
  • oauth2: 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 성공하던 크래시 수정
  • 라우터가 HTTP 응답 본문에 upstream transport failure reason을 더 이상 포함하지 않음 — 액세스 로그(%UPSTREAM_TRANSPORT_FAILURE_REASON%)에서만 확인 가능
원문

Envoy

Networking & Messaging2026년 6월 4일

v1.37.3은 HTTP/2 CVE 2건과 oauth2 취약점을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 사용 중이라면 즉시 업그레이드해야 합니다.

  • securityHTTP/2 운영 환경은 즉시 패치하세요

    이번 릴리스에서 HTTP/2 관련 CVE 두 건이 수정됩니다. CVE-2026-47774는 대량의 쿠키를 전송해 헤더 크기 제한을 우회하고 메모리를 과도하게 소비시키는 쿠키-봄 공격을 허용하는 취약점이고, CVE-2026-27135는 nghttp2 라이브러리 수준의 취약점입니다. HTTP/2 트래픽을 처리하는 환경이라면 v1.37.3으로 즉시 업그레이드하세요. 새로운 쿠키 계산 방식은 기본 활성화되며, 문제가 발생하면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 임시 비활성화할 수 있지만 영구적인 해결책으로 쓰면 안 됩니다.

  • security업그레이드 후 oauth2 HMAC 시크릿을 교체하세요

    HMAC 검증의 타이밍 사이드채널을 통해 공격자가 특정 시크릿의 유효 여부를 탐색했을 가능성이 있습니다. 특히 인터넷에 노출된 환경이라면 업그레이드 후 oauth2 HMAC 시크릿을 교체하는 것이 좋습니다. AES-CBC 크래시 수정도 단순한 안정성 문제가 아닙니다. 1/256 확률의 오복호화는 예측 불가능한 인증 동작으로 이어질 수 있었습니다.

  • breaking쿠키가 많은 요청은 HTTP/2 스트림 리셋이 발생할 수 있습니다

    CVE-2026-47774 수정으로 인해 쿠키가 `mutable_max_request_headers_kb` 및 `max_headers_count` 제한에 포함됩니다. 이전에는 통과되던 쿠키 다수 포함 요청이 제한에 걸려 스트림 리셋으로 거부될 수 있습니다. 프로덕션 배포 전에 스테이징에서 쿠키가 많은 트래픽 패턴을 테스트하고, 현재 설정된 헤더 크기 제한이 실제 워크로드에 적합한지 검토하세요.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기를 초과하면 리셋되도록 변경, 비압축 쿠키도 헤더 제한에 포함해 HPACK 쿠키-봄 공격 차단
  • CVE-2026-27135: nghttp2 상위 취약점 패치 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 비밀키 유효 여부가 노출될 수 있었던 문제
  • oauth2: AES-CBC 복호화 크래시 수정 — 시크릿 불일치 상황에서 약 1/256 확률로 복호화가 잘못 성공해 내부 어서션이 실패하던 버그
  • load_report: ADS 스트림 종료 시 레이스 컨디션을 gRPC 스트림 정리 로직 추가로 해결
원문

Envoy

Networking & Messaging2026년 6월 4일

v1.36.7은 HTTP/2 관련 CVE 2건, oauth2 필터의 HMAC 타이밍 사이드채널 및 충돌 버그를 수정한 보안 패치입니다. 즉시 업그레이드가 필요합니다.

  • securityHTTP/2 CVE 2건 — 즉시 패치 적용 필요

    CVE-2026-47774는 HPACK 압축 쿠키를 이용해 Envoy 메모리를 고갈시키는 공격 벡터입니다. 패치 후에는 쿠키가 `mutable_max_request_headers_kb` 및 `max_headers_count` 제한에 포함됩니다. 업그레이드 후 정상 요청이 리셋된다면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 일시적으로 되돌릴 수 있지만, 먼저 헤더 크기 설정을 점검하세요. CVE-2026-27135는 별도 우회 방법이 없으므로 반드시 업그레이드해야 합니다.

  • securityoauth2 필터 사용 중이라면 이번 릴리스를 최우선으로 배포하세요

    HMAC 타이밍 사이드채널은 공격자가 반복 요청으로 시크릿 유효성을 추론할 수 있는 취약점입니다. AES-CBC 충돌 버그(불량 토큰 기준 1/256 확률)는 의도적으로 트리거할 수 있어 서비스 안정성에도 영향을 줍니다. 두 이슈 모두 설정으로 우회할 방법이 없으므로, oauth2 필터를 쓰는 환경이라면 이번 패치를 최우선으로 배포하세요.

  • breaking배포 전 헤더 크기 제한 설정 반드시 검토

    기존에 헤더 크기 계산에서 제외됐던 쿠키가 이제 제한에 포함됩니다. 쿠키가 많거나 큰 애플리케이션은 업그레이드 후 `max_headers_count` 또는 `mutable_max_request_headers_kb` 초과로 HTTP/2 스트림이 리셋될 수 있습니다. 롤아웃 전에 실 트래픽의 쿠키 크기를 기준으로 현재 제한값을 점검하고, 필요하다면 reloadable feature 플래그로 시간을 버세요. 단, 장기간 비활성화 상태로 두는 건 피해야 합니다.

주요 변경 (5)
  • CVE-2026-47774: HPACK 쿠키 폭탄 공격 차단 — 비압축 쿠키가 이제 헤더 크기/개수 제한에 포함됨
  • CVE-2026-27135: nghttp2 레이어 패치 직접 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 시크릿 유효성 추론 가능성 차단
  • oauth2: AES-CBC 복호화가 시크릿 불일치 상황에서 약 1/256 확률로 성공하던 충돌 버그 수정
  • load_report: ADS 스트림과의 종료 시 경쟁 조건을 gRPC 스트림 정리로 해결
원문

Envoy

Networking & Messaging2026년 6월 4일

v1.35.11은 HTTP/2 CVE 2건과 oauth2 취약점 2건을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 사용 중이라면 즉시 업그레이드하세요.

  • securityHTTP/2 HPACK 쿠키-봄 취약점 즉시 패치 필요

    CVE-2026-47774는 공격자가 HPACK으로 압축된 대량의 쿠키를 담은 요청을 보내 메모리를 과도하게 소모시키는 공격입니다. 이번 수정으로 위반 스트림은 즉시 리셋되고, 쿠키도 기존 헤더 크기 제한에 포함됩니다. HTTP/2 트래픽을 처리하는 모든 Envoy 인스턴스에 패치를 배포하세요. 쿠키가 많은 워크로드에서 회귀 문제가 발생하면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 일시적으로 되돌릴 수 있지만, 이는 임시방편이므로 근본적인 해결책을 병행하세요.

  • securityoauth2 필터 사용 중이라면 두 가지 버그 모두 해당

    이번 릴리스에서 oauth2 관련 독립적인 두 문제를 수정했습니다. 하나는 HMAC 검증의 타이밍 차이를 이용해 시크릿 유효성을 추론할 수 있는 사이드채널 문제이고, 다른 하나는 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 잘못 성공하며 크래시를 일으키는 버그입니다. Envoy의 내장 oauth2 필터로 토큰 검증을 수행 중이라면 즉시 업그레이드해야 합니다.

  • enhancement메트릭 수가 많은 환경에서 stats eviction 도입 검토

    새로 추가된 `stats_eviction_interval` 설정으로 Envoy가 미사용 메트릭을 주기적으로 메모리에서 제거합니다. 요청별·사용자별 동적 레이블 등 고카디널리티 메트릭을 다루는 환경이라면 메모리 절감 효과를 기대할 수 있습니다. 다만 eviction은 해당 인터페이스를 구현한 extension에만 적용되므로, 스테이징에서 먼저 동작을 확인한 뒤 적용하는 편이 안전합니다.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 크기 위반 시 리셋되며, 압축 해제된 쿠키가 헤더 제한에 포함되어 HPACK 쿠키-봄 공격 차단
  • CVE-2026-27135: nghttp2 업스트림 패치 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 취약점 수정 — 반복 프로빙으로 시크릿 유효성 추론 가능했던 문제
  • oauth2: 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 성공하며 어서션 크래시를 유발하던 버그 수정
  • Stats: 미사용 메트릭을 주기적으로 메모리에서 제거하는 eviction 기능 추가 (`stats_eviction_interval` 설정)
원문

NATS

Networking & Messaging2026년 6월 3일

v2.14.2는 JetStream 데이터 무결성 문제, 락 해제 버그, 프로토콜 손상 위험을 다수 수정한 안정성 패치입니다. JetStream을 운영 중이라면 즉시 업그레이드를 권장합니다.

  • security프로토콜 손상 경로 차단 — WebSocket 및 JetStream 사용자 필수 확인

    $JS.ACK 주제 재작성과 압축 WebSocket 버퍼 처리에서 각각 발생하던 프로토콜 손상 버그가 수정됐습니다. 잘못된 프레임이 생성되면 스트림 상태나 클라이언트 세션이 오염될 수 있습니다. WebSocket 엔드포인트를 외부에 노출하거나 JetStream ACK에 의존하는 환경이라면 보안 이슈에 준해 업그레이드를 우선 처리하세요.

  • breaking두 건의 락 미해제 버그 — 운영 중단 위험, 즉시 패치 필요

    파일스토어와 컨슈머 코드 경로 각각에서, 특정 오류 조건(쓰기 오류, 시작 시퀀스 오류) 발생 시 락이 영원히 반환되지 않는 버그가 있었습니다. 재시작 없이는 회복되지 않으며, 설명되지 않는 JetStream 정지 현상이 있었다면 이 버그가 원인일 가능성이 높습니다. v2.14.2로 즉시 업그레이드하세요.

  • enhancement주제 수가 많은 스트림의 CPU 급등 문제 자동 해결

    파일스토어의 블록 스킵 체크가 주제 수가 매우 많은 스트림에서 CPU를 무한 점유하는 현상이 있었는데, 업그레이드 후 별도 설정 변경 없이 자동으로 해결됩니다. 이 문제를 피하려고 스트림 설계를 억지로 단순화했다면, 업그레이드 후 원래 의도한 구조로 되돌리는 것을 검토해볼 만합니다.

주요 변경 (5)
  • $JS.ACK 주제 재작성과 압축 WebSocket 버퍼 오용, 두 경로에서 발생하던 프로토콜 손상 수정
  • 파일스토어 락 버그 수정 — 쓰기 오류 발생 시 락이 해제되지 않아 서버가 멈추는 문제 해결
  • 컨슈머 락 버그 수정 — 시작 시퀀스 오류 처리 후 락이 반환되지 않던 문제 해결
  • 주제 수가 극단적으로 많은 스트림에서 블록 스킵 체크가 CPU를 무한 점유하던 문제 수정
  • 캐치업 중 비활성 정지 이후 Raft 피어 추적 오류 및 온라인 노드 제거 후 피어 세트 드리프트 수정
원문

NATS

Networking & Messaging2026년 6월 3일

v2.12.10은 프로토콜 수준의 데이터 손상 위험, JetStream Raft/쿼럼 버그, 고카디널리티 스트림의 CPU 폭주 문제를 수정한 버그픽스 릴리스입니다.

  • securityx/crypto 및 nkeys 즉시 업데이트

    golang.org/x/crypto가 v0.52.0으로, nkeys가 v0.4.16으로 업데이트됐습니다. 두 라이브러리는 NATS 인증 흐름의 암호화 연산을 담당합니다. 클러스터가 외부에 노출되어 있거나 분산 인증을 사용한다면 정기 점검을 기다리지 말고 지금 바로 패치하세요.

  • breakingWebSocket·JetStream 사용자는 프로토콜 손상 수정을 위해 즉시 업그레이드 필요

    압축 WebSocket 클라이언트의 버퍼 오용과 $JS.ACK 주제 재작성, 두 가지 독립적인 프로토콜 손상 버그가 수정됐습니다. 둘 다 메시지 프레이밍을 조용히 망가뜨릴 수 있습니다. WebSocket 클라이언트나 ACK가 있는 JetStream 워크로드를 운영 중이라면 2.12.9 이하를 그대로 두는 건 실질적인 위험입니다. 서버를 먼저 업그레이드한 뒤 클라이언트를 업데이트하세요.

  • enhancement고카디널리티 JetStream 스트림 CPU 폭주 수정 — 설정 검토 병행 필요

    주제 수가 매우 많은 스트림에서 블록 스킵 체크가 CPU 폭주를 일으킬 수 있었는데, 해당 케이스에서 체크가 비활성화됐습니다. JetStream 노드에서 수백만 개의 주제를 가진 스트림 운영 중 원인 불명의 CPU 스파이크가 있었다면 이 버그 때문일 가능성이 높습니다. 업그레이드 후 Counter 스트림과 메시지 스케줄 설정도 검토하세요 — 이전에는 통과됐던 잘못된 설정이 새 제약 조건으로 인해 거부될 수 있습니다.

주요 변경 (5)
  • $JS.ACK 주제 재작성 및 압축 WebSocket 버퍼 오용으로 인한 프로토콜 수준 데이터 손상 수정 — 데이터 안전성 문제
  • 캐치업 중 비활성 지연 후 Raft 피어 추적 오류 수정, 온라인 노드 제거 후 피어 셋 드리프트 수정
  • 게이트웨이 URL이 여러 IP로 해석될 때 쿼럼 계산 오류 수정 — 멀티 데이터센터 환경에 영향
  • 주제 수가 극도로 많은 스트림에서 블록 스킵 체크로 인한 CPU 폭주 문제 제거
  • Go 1.25.10 업그레이드 및 x/crypto, nkeys, jwt/v2 의존성 업데이트
원문

Linkerd

Networking & Messaging2026년 5월 30일

Linkerd edge-26.5.5이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Linkerd

Networking & Messaging2026년 5월 30일

Linkerd edge-26.5.4이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

gRPC

Networking & Messaging2026년 5월 30일

gRPC v1.81.0은 Python 3.9와 Ruby 3.1 지원을 종료하고, Windows·ARM에서의 크래시급 레이스 컨디션을 수정하며, Python AsyncIO observability를 추가했습니다.

  • breakingPython 3.9 지원 종료 — 런타임 버전 확인 필요

    gRPC 1.81.0부터 Python 3.9를 지원하지 않습니다. Python 3.9 환경에서 gRPC를 운영 중이라면 런타임을 3.10 이상으로 올리기 전까지는 이전 버전을 유지하세요. 이 릴리스로 업그레이드하기 전에 Python 버전 계획을 먼저 잡아야 합니다.

  • breakingRuby 3.1 지원 종료 — Ruby 런타임 업그레이드 필요

    Ruby 3.1이 EOL에 도달하면서 gRPC 1.81.0에서 지원이 끊겼습니다. Ruby 3.1로 gRPC를 운영 중이라면 이 릴리스를 적용하기 전에 Ruby 3.2 이상으로 업그레이드해야 합니다.

  • enhancementWindows·ARM 안정성 버그 수정 — 운영 중이라면 업그레이드 고려

    Windows에서 use-after-free와 assertion 오류를 유발하는 레이스 컨디션 두 건, ARM 환경(weak memory model)에서 completion queue 셧다운 레이스가 수정됐습니다. Windows나 ARM 기반 인프라에서 gRPC를 운영 중이라면 크래시로 이어질 수 있는 문제들이 이번에 해결된 것이므로, 안정성 확인 후 업그레이드를 검토하세요.

주요 변경 (6)
  • Python 3.9 지원 제거 — 이후로는 Python 3.10 이상 필요
  • Ruby 3.1(EOL) 지원 제거 — Ruby 3.2 이상 필요
  • EventEngine: Windows에서 use-after-free 및 assertion 오류 레이스 수정
  • ARM(weak memory model)에서 completion queue 셧다운 레이스 수정
  • gRPC Python AsyncIO 스택에서 observability 지원 추가
  • grpc-status 패키지: protobuf 의존성 상한을 7.x까지 허용하도록 완화
원문

Contour

Networking & Messaging2026년 5월 29일

Contour v1.33.5는 보안 패치 릴리스입니다. fallback 인증서와 JWT 검증을 함께 쓸 때 발생하던 JWT 검증 우회 취약점을 막습니다.

  • securityJWT 검증 우회 취약점 패치 (GHSA-g3xr-5w5j-w4q4)

    fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy 구성에서, SNI가 없거나 인식되지 않는 SNI로 오는 요청이 JWT 검증을 우회할 수 있었습니다. TLS SNI 없이 들어오는 트래픽을 처리하면서 JWT로 인가를 걸어둔 라우트가 있다면 우선 점검하고 v1.33.5로 업그레이드하세요.

  • breakingfallback 인증서 + JWT 조합 구성 거부 확인

    이번 버전부터 fallback 인증서와 JWT 검증을 동시에 설정한 HTTPProxy는 유효하지 않은 구성으로 거부됩니다. 업그레이드 전에 관련 설정이 있는지 확인하고, 거부될 경우 라우트 구성을 재설계해야 합니다.

주요 변경 (4)
  • GHSA-g3xr-5w5j-w4q4 보안 패치: fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy에서 SNI 없이 오거나 인식 안 되는 SNI로 오는 요청이 JWT 검증을 우회할 수 있던 문제 수정
  • 이제 Contour는 이런 유효하지 않은 구성을 거부합니다
  • Kubernetes 1.32~1.34 버전에서 테스트 완료
  • 이번 릴리스에 다른 기능 변경 사항 없음
원문

Linkerd

Networking & Messaging2026년 5월 21일

Linkerd edge-26.5.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

NATS

Networking & Messaging2026년 5월 21일

NATS v2.14.1은 JetStream, 클러스터링, 핵심 메시징 전반에서 30여 개 버그를 수정한 대규모 패치 릴리스로, 데이터 무결성과 패닉 수준의 문제가 포함되어 있어 빠른 배포가 권장됩니다.

  • securitygolang.org/x/crypto v0.51.0으로 업데이트 — nats-server를 임베드한 경우 즉시 재빌드

    x/crypto와 x/sys 의존성 업데이트에는 CVE 수정이 포함되는 경우가 많습니다. nats-server를 Go 라이브러리로 임베드해 사용하는 엣지/IoT 환경이라면 재빌드 후 재배포가 필요합니다. 일반 배포 환경은 바이너리 업그레이드만으로 충분합니다. 메시징 서버의 암호화 라이브러리 업데이트는 선택이 아닙니다.

  • breaking배포 전 2.14 업그레이드 가이드 필수 확인 — 2.13.x 버전은 건너뜀

    릴리스 노트는 2.13.x가 아닌 2.12.x 대비 하위 호환성 주의사항을 안내합니다. 2.13.x 마이너 버전은 출시된 적이 없기 때문입니다. 2.12.x에서 올라오는 경우라면 2.14 업그레이드 가이드를 반드시 먼저 읽고, JetStream 컨슈머 및 스트림 API 변경이 클라이언트에 미치는 영향을 점검하세요.

  • enhancement새 클라이언트 트래픽 /varz 지표를 모니터링 대시보드에 즉시 추가

    신규 지표 4종(in/out client msgs/bytes)을 활용하면 클라이언트 트래픽과 클러스터·리프노드 내부 트래픽을 명확히 구분할 수 있습니다. Prometheus 스크레이프나 대시보드에 바로 연결해 기준값을 쌓아두세요. 혼합 트래픽을 처리하는 서버의 용량 계획에 특히 유용합니다. 기존에는 전체 지표에서 클라이언트 부하를 추정해야 했지만, 이제 직접 측정이 됩니다.

주요 변경 (5)
  • JetStream Raft, 컨슈머 상태, 파일스토어 암호화, 클러스터 라우팅 전반에 걸쳐 30개 이상 버그 수정
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가 (in_client_msgs, in_client_bytes, out_client_msgs, out_client_bytes)
  • 워크큐 스트림, max_deliver, purge/compaction 상황에서 컨슈머 재전달 드리프트 문제 수정
  • 암호화 모드 전환 시 파일스토어 블록 캐시 손상 패치 (데이터 무결성 관련 핵심 수정)
  • TLS 핸드셰이크 타임아웃 로그를 debug 레벨로 강등해 클러스터 운영 중 로그 노이즈 감소
원문
이전 →