RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 3월해제 ×

Emissary-Ingress

Networking & Messaging2026년 3월 26일

Emissary v4.0.1은 distroless 이미지와 순정 Envoy 1.36.2 기반으로 새로 구성된 Emissary 4의 실질적 첫 릴리스로, 업그레이드 전 반드시 확인해야 할 호환성 변경 사항이 다섯 가지입니다.

  • securityCVE 패치 포함 — 보안 목적만으로도 업그레이드할 이유 충분

    의존성 다수와 Python 인터프리터를 CVE 해소 목적으로 업데이트했습니다. 릴리스 노트에 CVE 번호가 명시되어 있지 않으므로, 구체적인 내용은 CHANGELOG를 직접 확인하세요. 이전 버전을 운영 중이라면 보안 패치만을 위해서라도 4.0.1로 올릴 이유가 충분합니다. 다만 호환성 변경 사항 대응 작업을 같은 유지보수 창에 묶어서 처리하는 게 효율적입니다.

  • breaking업그레이드 전 다섯 가지 호환성 변경 사항 전수 점검

    메이저 버전 변경인 만큼 호환성 변경 사항이 다섯 가지나 됩니다. 업그레이드 전 체크리스트: (1) Helm 저장소 URL을 GHCR로 변경하고 차트 버전을 4.0.1로 고정합니다. (2) v1 또는 v2 CRD를 사용 중이라면 values 파일에 enableLegacyVersions: true를 반드시 추가하세요. (3) diagd 설정에서 --metrics-endpoint 플래그를 제거합니다. (4) 배너 엔드포인트 설정을 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 이전합니다. (5) Edge Stack의 커스텀 에러 응답이나 헤더 케이스 기능에 의존하는 부분이 없는지 확인하세요. 순수 Emissary 사용자라면 대부분 문제없지만, 확인은 필요합니다.

  • enhancementARM64 클러스터에서 멀티아치 이미지 바로 활용 가능

    Emissary 4는 amd64와 arm64를 모두 지원하는 멀티아치 Docker 이미지를 제공합니다. Graviton이나 Ampere 기반 노드가 포함된 혼합 아키텍처 클러스터를 운영 중이라면, 커스텀 빌드나 nodeAffinity 설정 없이 그대로 배포할 수 있습니다.

주요 변경 (5)
  • distroless 이미지와 수정 없는 순정 Envoy 1.36.2로 전환 — Ambassador Edge Stack 전용 기능(커스텀 에러 응답, 헤더 케이스 변환) 완전 제거
  • Helm 차트 저장소가 GHCR(ghcr.io/emissary-ingress/)로 일원화되고, 차트 버전이 Emissary 릴리스 버전과 일치하도록 변경
  • 레거시 CRD 변환 웹훅(v1/v2 CRD) 기본 비활성화 — 사용하려면 enableLegacyVersions: true 및 enableV1: true를 명시적으로 설정해야 함
  • --metrics-endpoint 옵션 및 기본 배너 엔드포인트 제거 — 배너 기능은 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 대체
  • 멀티아치 Docker 이미지로 ARM64 지원 추가, Helm 차트의 CPU 제한 기본값 제거
원문

gRPC

Networking & Messaging2026년 3월 26일

gRPC v1.80.0은 TLS 개인 키 오프로드, Python EventEngine 기본 활성화, 그리고 운영 안정성에 영향을 주는 Python AsyncIO 버그 수정을 중심으로 한 릴리스입니다.

  • security프로세스 메모리 내 개인 키 노출 제거 가능

    개인 키 오프로드 기능 덕분에 TLS 서명 연산을 외부에 위임할 수 있게 됐습니다. 규제 환경에서 운영 중이라면 v1.80.0으로 업그레이드하고, Python 서명자 구현 및 C++ 오프로드 경로를 활용해 인프로세스 키 저장 방식을 제거하세요.

  • breakingPython EventEngine 기본 활성화 — 반드시 스테이징에서 검증 필요

    EventEngine이 기본 I/O 백엔드로 전환되면서 Python gRPC의 I/O 처리, 스레딩, fork 동작 방식이 바뀝니다. 같은 릴리스에서 fork 지원 환경 변수 기본값이 한 차례 revert(PR #41769)된 점도 눈여겨봐야 합니다. 아직 안정화 중인 영역입니다. gunicorn pre-fork 같은 패턴을 쓰는 서버라면 프로덕션 배포 전 반드시 스테이징에서 충분히 검증하세요.

  • enhancementTLS 개인 키 오프로드로 보안 강화

    개인 키 오프로드 기능과 InMemoryCertificateProvider를 활용하면 개인 키를 HSM이나 KMS에 두고, 런타임 중 인증서를 교체할 수 있습니다. 컴플라이언스 요건이 있는 환경이라면 파일 기반 자격증명 로딩 방식을 새 서명자 인터페이스로 교체하는 것을 우선순위에 두세요.

주요 변경 (5)
  • TLS 개인 키 오프로드: 서명 연산을 외부 제공자(HSM, KMS 등)에 위임할 수 있어 프로세스 메모리에 개인 키를 노출하지 않아도 됨
  • InMemoryCertificateProvider 추가 — 서버 재시작 없이 런타임 중 인증서 동적 교체 가능
  • Python에서 EventEngine이 기본값으로 활성화되고, Python과 Ruby에서 fork 지원 추가
  • Python AsyncIO 버그 3건 수정: 비동기 클라이언트 멀티스레드 예외 처리, active_rpcs 음수 카운터, AIO Metadata 이터레이터 크래시
  • Ruby 4.0 네이티브 젬 빌드 지원 추가, C# Grpc.Tools의 ARM64 회귀 버그 수정
원문

NATS

Networking & Messaging2026년 3월 24일

v2.12.6은 MQTT, JetStream, WebSocket, 리프노드, mTLS 등 핵심 서브시스템에서 CVE 11건을 수정한 긴급 보안 릴리스입니다. 2.12.5에서 발생한 JetStream 컨슈머 할당 손실 회귀 버그도 함께 수정됐습니다.

  • security즉시 업그레이드 필요 — 핵심 서브시스템 전반에 CVE 11건 패치

    이번 릴리스는 MQTT(3건), JetStream(2건), 리프노드(2건), WebSocket(1건), mTLS(1건), 커맨드라인 자격증명(1건), 퍼블리시 권한(1건)에 걸친 CVE를 모두 수정합니다. 이 기능들을 프로덕션에서 하나라도 사용 중이라면 구버전을 유지할 이유가 없습니다. 자신의 배포 환경에서 영향 받는 서브시스템을 확인하고 MQTT·리프노드 사용자는 특히 빠르게 적용하세요.

  • breakingJWT 크기 1MB 제한이 신규 적용됨

    1MB를 초과하는 JWT는 거부됩니다. 대부분의 환경에는 영향이 없지만, 대규모 권한 세트나 복잡한 계정 구조로 JWT를 발급하는 경우 업그레이드 전에 JWT 크기를 반드시 확인하세요. 오퍼레이터 JWT와 동적으로 발급되는 자격증명을 점검하는 것이 좋습니다.

  • breaking2.12.5에서 JetStream 컨슈머 할당 무음 유실 가능 — 업그레이드 후 확인 필수

    2.12.5의 회귀 버그로 인해 비동기 스냅샷을 사용하는 클러스터 환경에서 스트림 업데이트 시 컨슈머 할당이 조용히 사라질 수 있었습니다. 2.12.5 클러스터 JetStream을 운영 중이라면 업그레이드 전후로 컨슈머 수를 비교해 데이터 손실 여부를 확인하세요. 이번 릴리스 주기에서 운영 측면에서 가장 위험한 버그입니다.

주요 변경 (5)
  • MQTT, JetStream, WebSocket, 리프노드, mTLS, 자격증명 처리 관련 CVE 11건 패치
  • JetStream 회귀 버그 수정: 비동기 스냅샷 활성화 클러스터에서 스트림 업데이트 시 컨슈머 할당이 유실되던 문제 (2.12.5에서 도입)
  • JWT 크기 상한 1MB 신규 적용
  • MQTT 보안 강화: 모니터링 엔드포인트에서 패스워드 노출 차단, 암묵적 권한 범위 제한, 세션 복원 시 클라이언트 ID 검증 추가
  • WebSocket 파서 재작성으로 압축 프레임의 무제한 메모리 할당 문제 해결
원문

NATS

Networking & Messaging2026년 3월 24일

v2.11.15는 MQTT, 리프노드, WebSocket, JetStream, mTLS에 걸쳐 CVE 11건을 패치하는 긴급 보안 릴리스입니다. 해당 기능을 사용 중이라면 즉시 업그레이드해야 합니다.

  • securityCVE 11건 — 즉시 업그레이드 필수

    이번 릴리스는 NATS의 주요 기능 전반에 걸친 CVE를 패치합니다. MQTT 사용자의 노출 범위가 가장 넓은데, 모니터링 엔드포인트에서의 비밀번호 유출, 클라이언트 ID 불일치를 이용한 세션 탈취, 잘못된 패킷으로 인한 패닉이 모두 포함됩니다. WebSocket 배포 환경에서는 DoS에 악용될 수 있는 무제한 메모리 할당 경로가 있었고, 리프노드와 mTLS도 별도 취약점이 수정됐습니다. 개발, 스테이징, 프로덕션 전 클러스터를 v2.11.15로 올리세요.

  • breakingMQTT 클라이언트 ID 문자 제한 — 기존 클라이언트 연결 불가 가능성

    MQTT 클라이언트 ID에 NATS 특수문자(`.`, `>`, `*`, 공백, 탭)가 포함되면 연결이 거부됩니다. IoT 기기 명명 규칙에 이 문자를 쓰는 경우가 많으니 업그레이드 전 전체 클라이언트 ID를 점검하세요. 아울러 기존에 더 넓은 범위로 허용되던 암묵적 권한이 `$MQTT.sub.*`와 `$MQTT.deliver.pubrel.*`로 축소됐으니, 이에 의존하는 클라이언트가 있다면 권한 설정을 재검토해야 합니다.

  • enhancement트레이스 로그와 모니터링 엔드포인트의 시크릿 자동 마스킹

    이전까지는 커맨드라인 시크릿이 expvar 모니터링 출력과 트레이스 로그에 그대로 노출됐습니다. 이제 자동으로 마스킹됩니다. 모니터링 포트를 스크래핑하거나 트레이스 로그를 외부 시스템(로그 수집기, SIEM 등)으로 전송해왔다면, 과거 수집 데이터에 시크릿이 포함됐을 수 있으니 데이터 로테이션이나 삭제를 검토하세요. 추가 설정 없이 자동 적용됩니다.

주요 변경 (5)
  • CVE 11건 패치 — MQTT(3), 리프노드(2), JetStream(2), WebSocket(1), mTLS(1), 자격증명 노출(1), 퍼블리시 권한 우회(1)
  • MQTT 보안 강화: 모니터링/어드바이저리 엔드포인트에서 비밀번호 노출 차단, 클라이언트 ID 불일치 시 세션 복원 차단, 암묵적 권한을 $MQTT 접두어로 제한
  • WebSocket 파서 개선으로 압축/비압축 프레임의 무제한 메모리 할당 경로 차단 — DoS 공격 벡터 제거
  • Nats-Trace-Dest 헤더에 퍼블리시 권한 검사 추가 — 권한 없는 클라이언트는 무시되지 않고 오류 반환
  • JetStream 계정 퍼지 시 경로 순회 버그 및 대형 예약 오버플로우로 인한 티어 한도 위반 버그 수정
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.33.3은 Envoy를 v1.35.9로, grpc-go를 v1.79.3으로 올린 보안 패치 릴리스이며, 예제 매니페스트 정리가 포함됩니다.

  • securityEnvoy 보안 수정을 위해 즉시 업그레이드 검토

    이번 릴리스의 핵심은 Envoy v1.35.9 업그레이드입니다. 데이터 플레인의 실질적인 보안 취약점을 수정하므로, 외부 트래픽에 노출된 클러스터라면 빠르게 롤아웃 계획을 잡으세요. grpc-go의 CVE-2026-33186은 Contour에는 영향이 없지만, Envoy 수정만으로도 업그레이드 이유는 충분합니다.

  • breaking커스텀 매니페스트에서 hostPort: 8002 의존성 확인

    예제 매니페스트를 복사하거나 확장해서 사용 중이고, 노드에서 직접 Envoy 메트릭을 수집하는 데 hostPort: 8002를 사용하고 있다면 주의가 필요합니다. 업스트림 예제에서 해당 설정이 삭제됐으므로, 업그레이드 전에 매니페스트와 모니터링 파이프라인에 이 설정이 남아 있는지 먼저 확인하세요.

주요 변경 (4)
  • Envoy v1.35.9로 업그레이드 — 보안 취약점 수정 목적
  • grpc-go v1.79.3 업데이트, CVE-2026-33186 패치 (Contour 자체는 영향 없음)
  • 예제 매니페스트에서 Envoy 메트릭용 hostPort: 8002 제거
  • Kubernetes 1.32 ~ 1.34 버전에서 테스트 완료
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.32.4는 보안 패치 릴리스로, Envoy를 v1.34.13으로, grpc-go를 CVE-2026-33186 대응 버전으로 업그레이드하고 예시 매니페스트를 소폭 정리했습니다.

  • securityEnvoy 보안 수정을 위해 즉시 업그레이드하세요

    이번 릴리스의 핵심은 Envoy v1.34.13 업데이트입니다. 이 버전 범위의 Envoy 릴리스에는 보안 수정이 포함되어 있으므로, Envoy v1.34.13 체인지로그를 직접 확인해 실제 트래픽 패턴에 영향을 주는 CVE가 있는지 파악하세요. grpc-go CVE-2026-33186은 Contour에 직접 영향을 주지 않지만, 의존성 그래프 정리 차원에서라도 업그레이드를 서두르는 게 낫습니다.

  • breakinghostPort 8002를 참조하는 커스텀 매니페스트를 확인하세요

    예시 매니페스트에서 Envoy 메트릭 컨테이너의 hostPort 8002가 제거됐습니다. 업스트림 매니페스트를 기반으로 배포 파이프라인을 구성했다면 diff에서 이 변경이 나타납니다. 더 중요한 건, Prometheus 스크레이프 설정이나 방화벽 규칙에서 해당 호스트 포트를 직접 참조하고 있다면, 업그레이드 전에 ClusterIP 서비스나 파드 IP 등 대체 경로로 메트릭 엔드포인트에 접근 가능한지 먼저 확인해야 합니다.

주요 변경 (3)
  • 보안 취약점 수정 및 안정성 개선을 위해 Envoy v1.34.13으로 업데이트
  • CVE-2026-33186 패치가 포함된 grpc-go v1.79.3으로 업데이트 (Contour 자체는 해당 CVE에 영향 없음)
  • 예시 매니페스트에서 Envoy 메트릭 hostPort 8002 항목 제거
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.31.5는 보안·안정성 패치 릴리스입니다. Envoy v1.34.13 업그레이드, CVE-2026-33186 대응 grpc-go 업데이트, 예시 매니페스트 소폭 정리가 포함됩니다.

  • securityEnvoy 보안 픽스 포함 — 업그레이드를 미루지 마세요

    Envoy v1.34.13에는 보안 취약점 수정이 포함되어 있습니다. 릴리스 노트에 개별 CVE가 명시되지 않았지만, .13 포인트 릴리스 수준의 Envoy 패치는 가볍게 볼 수 없습니다. 커스텀 Envoy 설정이 많다면 스테이징에서 먼저 검증 후 운영에 반영하되, 업그레이드 자체는 빠르게 진행하세요.

  • securityCVE-2026-33186: 패치 완료, Contour는 직접 영향 없음

    grpc-go v1.79.3 업데이트로 CVE-2026-33186이 패치됐지만, Contour 코드는 취약한 경로를 사용하지 않습니다. 다만 Contour 바이너리에 해당 의존성이 번들되므로 업그레이드하면 자연스럽게 포함됩니다. 긴급 배포까지는 불필요하고, 다음 정기 유지보수 시 적용하면 됩니다.

  • breakingEnvoy 메트릭 hostPort 8002 제거 — 커스텀 매니페스트 확인 필요

    예시 매니페스트에서 Envoy 메트릭 hostPort: 8002가 삭제됐습니다. Contour 공식 예시를 기반으로 매니페스트를 구성하고 호스트 레벨 메트릭 스크래핑을 이 포트에 의존하고 있다면, 스크래핑 설정과 매니페스트를 함께 수정해야 합니다. Helm 또는 Operator로 배포한 경우라면 대부분 영향이 없지만, 명시적으로 템플릿에 추가한 케이스는 점검하세요.

주요 변경 (3)
  • 보안 취약점 수정 및 안정성 개선을 위해 Envoy v1.34.13으로 업그레이드
  • CVE-2026-33186 패치를 포함한 grpc-go v1.79.3으로 업데이트 (Contour 자체는 취약 경로에 해당 없음)
  • 예시 매니페스트에서 Envoy 메트릭 hostPort: 8002 항목 제거
원문

Cilium

Networking & Messaging2026년 3월 23일

Cilium v1.19.2는 안정성 중심의 패치 릴리스입니다. IPSec 키 교체 레이스 컨디션, L7 LB 정책 우회, ClusterMesh 고루틴 누수, Envoy 어드민 소켓 보안 문제 등이 수정됐습니다.

  • securityEnvoy 어드민 소켓 노출 문제 — 즉시 업그레이드

    Envoy 어드민 소켓이 노드의 모든 사용자에게 접근 가능한 상태로 생성되고 있었습니다. 같은 노드의 워크로드라면 누구든 Envoy 어드민 API를 호출할 수 있는 상황이었습니다. L7 정책이나 Envoy 기반 기능을 쓰고 있다면 v1.19.2로 즉시 업그레이드하세요. 별도 설정 변경 없이 바이너리 교체만으로 해결됩니다.

  • securityIPSec 키 교체 중 패킷 드롭 레이스 컨디션 수정

    IPSec 키 교체 과정에서 피어가 새 키를 먼저 사용하기 시작할 때 로컬 XFRM 상태가 준비되지 않아 패킷이 조용히 드롭되는 문제가 있었습니다. IPSec 암호화와 롤링 키 교체를 함께 사용 중이라면 원인 불명의 연결 끊김을 경험했을 가능성이 높습니다. 업그레이드 후 키 교체 절차를 재검토하세요. 이번 수정에서 교체 흐름 로깅도 추가되어 향후 가시성이 개선됩니다.

  • breakingL7 LB 인그레스 정책 우회 수정 — 트래픽 동작 재확인 필요

    L7 로드밸런싱이 활성화된 상태에서 로컬 백엔드에 대한 인그레스 정책이 우회되는 버그가 있었습니다. L7 LB와 Cilium 네트워크 정책을 함께 사용하고 있다면, 의도한 정책이 실제로는 적용되지 않았을 수 있습니다. v1.19.2 업그레이드 후 정책 의도에 맞게 트래픽이 동작하는지 반드시 확인하세요. 올바른 정책 적용이 복원되면서 기존과 다른 트래픽 패턴이 관찰될 수 있습니다.

주요 변경 (5)
  • 보안 수정: Envoy 어드민 소켓이 0.0.0.0에 바인딩되어 누구나 접근 가능했던 문제 해결 — L7 정책 사용 시 즉시 업그레이드 필요
  • IPSec 키 교체 시 XFRM 상태 준비 전에 피어가 새 키를 사용해 패킷이 무음 드롭되던 레이스 컨디션 수정
  • L7 LB 사용 시 로컬 백엔드에 대한 인그레스 정책이 우회되던 버그 수정 — L7 LB와 네트워크 정책 병용 시 필수 패치
  • ClusterMesh에서 클러스터 제거 시 발생하던 고루틴 누수 및 EndpointSlice 정리 레이스 컨디션 수정
  • 유지보수 백엔드 존재 시 서비스 로드밸런싱 백엔드 슬롯에 갭이 생겨 트래픽 오라우팅 가능했던 버그 수정
원문

Cilium

Networking & Messaging2026년 3월 23일

Cilium v1.18.8은 버그 수정 패치지만, GKE 사용자는 XDP 회귀 문제로 이 버전을 반드시 건너뛰어야 합니다.

  • securityEnvoy 어드민 소켓 권한 노출 — 즉시 업그레이드 필요

    Envoy 어드민 소켓이 world-readable/writable 권한으로 생성되어, 노드상의 모든 프로세스가 접근할 수 있었습니다. v1.18.8에서 수정됐습니다. L7 정책이나 Envoy 기반 기능을 사용 중이라면 빠르게 업그레이드하세요. 기존 노드에서는 /var/run/cilium/envoy/sockets/ 경로의 소켓 권한을 직접 확인해 보는 것이 좋습니다.

  • breakingGKE 사용자: v1.18.8 배포 금지

    XDP jumbo MTU 지원(PR #44499)이 GKE 환경에서 회귀를 일으킵니다. GKE 클러스터라면 이 버전은 건너뛰고 v1.19.2로 직접 업그레이드하세요. v1.18.8을 GKE에 배포하면 네트워크 장애가 발생할 수 있습니다. 다른 환경의 사용자는 영향받지 않습니다.

  • enhancementL7 LB 정책 우회 및 FQDN SNI 수정 — 정책 적용 신뢰성 개선

    정책 집행 관련 버그 두 가지가 수정됐습니다. 첫째, L7 LB 환경에서 로컬 백엔드가 인그레스 정책을 우회할 수 있었습니다. 둘째, SNI 기반 매칭 사용 시 와일드카드 FQDN 정책이 Envoy로 전달되지 않는 문제가 있었습니다. L7 로드밸런싱이나 SNI FQDN 네트워크 정책을 운영 중이라면 실질적인 보안 허점이 닫히는 만큼 업그레이드를 우선순위에 두세요.

주요 변경 (5)
  • GKE 사용자 주의: 알려진 회귀 문제로 v1.18.8 배포 금지, v1.19.2로 직접 업그레이드 필요
  • 보안 수정: Envoy 어드민 소켓이 누구나 접근 가능한 권한(world-accessible)으로 생성되던 문제 해결
  • SNI 기반 정책 사용 시 와일드카드 FQDN 네트워크 정책 ID가 Envoy에 전달되지 않던 버그 수정
  • L7 로드밸런서에서 로컬 백엔드의 인그레스 정책 우회 버그 수정
  • 여러 EndpointSlice가 같은 이름을 공유할 때 주소 삭제가 누락되던 문제 수정
원문

Cilium

Networking & Messaging2026년 3월 23일

Cilium v1.17.14는 Envoy 어드민 소켓 권한 문제(보안)와 L7 LB 정책 우회 버그 2건을 수정했습니다. L7 LB나 Envoy를 사용 중이라면 즉시 업그레이드하세요.

  • securityEnvoy 어드민 소켓 권한 노출 — 즉시 업그레이드 필요

    Envoy 어드민 소켓이 world-accessible 권한으로 생성되어 노드 내 모든 프로세스가 소켓에 접근할 수 있었습니다. 멀티테넌트나 공유 노드 환경에서는 로컬 권한 상승 위험이 됩니다. 외부 파일시스템 접근 제어 외에는 별도 우회책이 없으므로 v1.17.14로 즉시 업그레이드하고, 기존 노드에서 소켓이 실제로 접근 가능한 상태였는지 확인하세요.

  • securityL7 LB에서 인그레스 정책 우회 가능 — 정책 적용 여부 재확인 필요

    L7 로드밸런싱 활성화 상태에서 로컬 백엔드에 대한 인그레스 정책이 제대로 적용되지 않았습니다. L7 LB를 통해 이스트-웨스트 트래픽을 제어하던 환경이라면 정책이 실제로 동작하지 않았을 가능성이 있습니다. 업그레이드 후 로컬 엔드포인트가 있는 서비스의 인그레스 정책 동작을 반드시 검증하세요.

  • enhancementbugtool에 BPF 파일시스템 정보 포함 — 장애 대응 절차 업데이트

    bugtool이 이제 /sys/fs/bpf 경로 정보를 자동으로 수집합니다. BPF 맵이나 프로그램 문제를 진단할 때 가장 먼저 확인하는 정보가 기본으로 포함되는 셈입니다. 별도 조치는 불필요하지만, v1.17.14 이상에서는 bugtool 실행만으로 이 데이터를 얻을 수 있으므로 장애 대응 런북에서 SSH 수동 확인 단계를 제거해도 됩니다.

주요 변경 (5)
  • Envoy 어드민 소켓이 world-accessible(0777)로 생성되던 보안 버그 수정
  • 브리지 디바이스의 L7 LB에서 hairpin redirect가 올바르게 동작하도록 수정
  • L7 LB를 통한 로컬 백엔드 인그레스 정책 우회 가능성 패치
  • 베이스 이미지 v1.25.8 업데이트, cilium-envoy v1.35.9 다수 패치 빌드 반영
  • bugtool 출력에 /sys/fs/bpf 경로 정보 포함 — 디버깅 편의성 향상
원문

Linkerd

Networking & Messaging2026년 3월 19일

proxy 두 차례 업데이트(v2.343.0, v2.344.0), Go 1.25.8 업그레이드, rustls 패치, proxy-init 2.4.6이 포함된 의존성 중심의 edge 릴리스입니다. 신규 기능이나 파괴적 변경은 없습니다.

  • securityrustls 패치 업데이트 — 구버전 edge 사용 중이라면 롤포워드 고려

    rustls가 한 릴리스에서 두 버전 올라갔습니다(0.23.35 → 0.23.37). 서비스 메시의 TLS 계층 패치인 만큼 보안 또는 버그 수정이 포함됐을 가능성이 높습니다. CVE가 명시되진 않았지만, 구버전 edge를 운영 중이라면 이번 버전으로 업데이트하는 것이 바람직합니다.

  • enhancementproxy 두 버전이 번들 — proxy 변경 내역을 별도 확인하세요

    이번 릴리스에 v2.343.0과 v2.344.0이 연속으로 포함됐습니다. 릴리스 노트에는 각 proxy 버전의 세부 변경 사항이 없으므로, 라우팅·관측성·프로토콜 감지 동작을 추적 중이라면 linkerd2-proxy 저장소의 해당 버전 changelog를 직접 확인한 뒤 배포 여부를 결정하세요.

  • enhancement컨트롤 플레인 Go 1.25.8 업그레이드 — 별도 조치 불필요

    Go 1.25.8은 패치 릴리스로 주로 런타임 안정성 수정이 목적입니다. Linkerd Go 모듈을 기반으로 커스텀 도구를 빌드 중인 경우라면 툴체인 버전을 맞춰주세요. 그 외 일반 운영 환경에서는 별도 조치가 필요하지 않습니다.

주요 변경 (5)
  • 이번 릴리스 사이클 내 proxy가 v2.343.0, v2.344.0으로 두 차례 업데이트
  • 컨트롤 플레인 Go 런타임을 1.25.8로 업그레이드
  • proxy 내 TLS 라이브러리 rustls를 0.23.35에서 0.23.37로 패치 업데이트
  • proxy-init 2.4.5 → 2.4.6 업데이트
  • openssl-sys(0.9.112)와 gRPC(1.79.3) 의존성 업데이트
원문

Strimzi

Networking & Messaging2026년 3월 12일

Strimzi 0.45.2는 0.45.x 브랜치의 마지막 패치 릴리스로, 주요 CVE 수정과 Kafka 3.9.2 지원에 집중하며 ZooKeeper 기반 클러스터를 지원하는 최종 버전입니다.

  • securityCVE 수정을 위한 즉시 패치 적용

    이번 릴리스는 ZooKeeper, JWT 라이브러리, 네트워킹 컴포넌트의 여러 고위험 CVE를 수정했습니다. 민감한 데이터를 다루거나 인터넷 연결 서비스를 운영한다면 이러한 취약점 패치를 위해 0.45.2로 즉시 업그레이드하세요.

  • breaking0.45.x 이후 업그레이드 전 KRaft 마이그레이션 필수

    Strimzi에서 ZooKeeper 기반 Kafka 클러스터를 실행할 수 있는 마지막 기회입니다. Strimzi 0.46+는 KRaft 모드만 지원하므로 지금 KRaft 마이그레이션을 계획하세요. 공식 KRaft 마이그레이션 가이드를 따르고 프로덕션 환경 적용 전 충분히 테스트하세요.

  • breaking향후 업그레이드 시 Kafka 3.9.2 어노테이션 문제 대응

    Kafka 3.9.2를 사용 중이라면 Strimzi 0.46-0.51로 업그레이드할 때 파드 어노테이션을 수동으로 업데이트해야 합니다. 오퍼레이터 실패를 방지하기 위해 제공된 kubectl 명령어를 업그레이드 시 사용하도록 저장해두세요.

주요 변경 (5)
  • 0.45.x 브랜치 최종 패치 릴리스 - 이후 추가 패치 없음
  • Apache Kafka 3.9.2 지원 추가 및 컨테이너 이미지 업데이트
  • ZooKeeper CVE-2024-47554, Nimbus Jose JWT CVE-2025-53864, GRPC Netty Shaded CVE-2025-55163 등 다수 CVE 수정
  • ZooKeeper 기반 Kafka 클러스터 및 MirrorMaker 1 지원하는 마지막 Strimzi 버전
  • 의존성 버전 업그레이드: Vert.x 4.5.24, Netty 4.1.130.Final, Apache Log4J 2.25.3, Cruise Control 2.5.146
원문

Linkerd

Networking & Messaging2026년 3월 12일

Linkerd edge-26.3.2는 Rust, Go, Node.js 컴포넌트의 일상적인 의존성 업데이트와 실패한 파드 및 완료된 잡에서 메트릭 수집을 제외하는 개선사항을 제공합니다.

  • enhancement메트릭 수집 개선사항 모니터링

    업데이트로 실패한 파드와 완료된 잡이 프록시 메트릭 스크래핑에서 제외되어 모니터링 데이터의 노이즈가 줄어듭니다. 업그레이드 후 현재 메트릭 대시보드에서 더 깔끔한 데이터 패턴을 확인하고, 이전에 이런 노이즈를 고려했던 알림 임계값 조정을 검토하세요.

  • enhancement비프로덕션 환경에서 엣지 릴리스 테스트

    이번 엣지 릴리스는 많은 의존성 업데이트를 한 번에 묶었습니다. 프로덕션 클러스터에 배포하기 전에 스테이징 환경에서 먼저 배포하여 결합된 변경사항이 특정 워크로드 패턴에서 예상치 못한 동작을 일으키지 않는지 검증하세요.

주요 변경 (4)
  • 프록시를 v2.342.0으로 업데이트하여 최신 개선사항 적용
  • Rust(pin-project-lite, ryu, anyhow), Go(gRPC, klog), JavaScript(webpack, babel-loader) 컴포넌트 전반의 포괄적인 의존성 업데이트
  • 실패한 파드와 완료된 잡을 프록시 스크래핑에서 제외하여 메트릭 수집 개선
  • CI/CD 워크플로 개선을 위해 Docker 빌드 액션을 v4.0.0 및 v7.0.0으로 업그레이드
원문

Envoy

Networking & Messaging2026년 3월 11일

Envoy v1.37.1은 크래시 취약점과 RBAC 우회를 포함해 5개 CVE를 해결한 중요 보안 패치입니다. 프로덕션 Envoy를 운영하는 팀은 즉시 업데이트를 우선해야 합니다.

  • security긴급 CVE 수정사항 즉시 적용

    속도 제한과 IPv6 처리의 크래시 조건, RBAC 우회를 포함한 5개 CVE가 수정됐습니다. 먼저 스테이징에서 테스트한 후, 24-48시간 내에 프로덕션 클러스터 업데이트를 위한 긴급 유지보수를 스케줄하세요.

  • enhancementOAuth2 및 ext_authz 설정 검토

    OAuth2 리프레시 토큰을 사용한다면 수정 후 호스트 헤더 동작이 올바르게 작동하는지 확인하세요. ext_authz 사용자는 오류 처리가 이제 status_on_error 설정을 제대로 준수하고 거부 응답 헤더가 예상대로 클라이언트에 도달하는지 점검하세요.

  • enhancementext_proc 필터 체인 검증

    이제 체인 내 다중 ext_proc 필터가 올바르게 작동합니다. 이전에 버그로 인해 체이닝을 피했다면, 개발 환경에서 이 기능을 테스트해 복잡한 처리 파이프라인을 단순화할 수 있는지 확인해보세요.

주요 변경 (5)
  • 속도 제한 크래시, 멀티밸류 헤더 RBAC 우회, IPv6 주소 크래시 등 5개 보안 취약점 수정
  • OAuth2 리프레시 토큰 요청에 영향을 주던 호스트 헤더 재작성 문제 해결
  • ext_proc 필터 체인에서 다중 필터 구성 지원 개선
  • ext_authz 5xx 응답 처리 개선 및 적절한 헤더 전파
  • 동적 모듈용 확장 ABI 호환성 메커니즘 도입
원문

Envoy

Networking & Messaging2026년 3월 11일

Envoy v1.36.5는 레이트 리미팅 크래시, RBAC 우회, 메모리 손상 등 5개 CVE를 해결하는 중요 보안 패치를 제공하여 즉시 업그레이드가 필요합니다.

  • security심각한 크래시 수정을 위한 즉시 업그레이드

    다수의 CVE가 Envoy 크래시나 메모리 손상을 일으킬 수 있습니다. 레이트 리미팅 크래시(CVE-2026-26330)와 IPv6 주소 처리 버그(CVE-2026-26310)는 서비스 가용성에 즉각적인 위험을 가합니다. 특히 레이트 리미팅이나 IPv6 트래픽을 처리하는 환경이라면 긴급 점검 시간을 잡고 패치를 배포하세요.

  • security다중값 헤더 우회에 대한 RBAC 정책 검토

    CVE-2026-26308이 다중값 헤더를 통한 RBAC 규칙 우회를 허용했습니다. 업그레이드 후에는 RBAC 설정을 점검해서 악용되지 않았는지 확인하고, 헤더 기반 접근 제어가 환경에서 예상대로 작동하는지 검증하세요.

  • enhancement호스트 재작성 수정 후 OAuth2 워크플로 테스트

    OAuth2 새로고침 버그 수정으로 인증 플로우에서 호스트 헤더 처리 방식이 바뀝니다. 커스텀 호스트 재작성 규칙과 함께 Envoy를 OAuth2에 사용한다면, 업그레이드 후 인증 워크플로를 철저히 테스트해서 토큰 새로고침이 올바르게 작동하는지 확인하세요.

주요 변경 (5)
  • 레이트 리미트 크래시, RBAC 다중값 헤더 우회, IPv6 주소 처리 크래시, JSON 문자열 손상, HTTP 디코드 메서드 차단 관련 5개 CVE 수정
  • OAuth2 새로고침 요청에서 호스트 재작성이 원본 Host 값을 덮어쓰는 버그 수정
  • 내부 googleurl에서 오픈소스 Google GURL 라이브러리로 마이그레이션
  • Kafka 테스트 바이너리 3.9.2 버전으로 업데이트
  • Docker 베이스 이미지 보안 업데이트
원문

Envoy

Networking & Messaging2026년 3월 10일

Envoy v1.35.9는 RBAC, IPv6 처리, JSON 처리, HTTP 디코딩과 관련된 4개의 CVE에 대한 중요 보안 패치와 OAuth2 호스트 재작성 수정 사항을 제공합니다.

  • security중요 보안 수정을 위한 즉시 업그레이드 필요

    이번 릴리즈에서 수정된 4개 CVE는 인증 우회, 크래시, 메모리 손상을 유발할 수 있습니다. 특히 RBAC 정책, IPv6 네트워킹, JSON 처리를 사용하거나 다운스트림 연결 재설정 문제를 겪고 있다면 즉시 배포를 계획하세요. 보안 수정이 요청 처리 동작에 영향을 줄 수 있으므로 스테이징에서 충분히 테스트하세요.

  • enhancementOAuth2 호스트 재작성 동작 검증 필요

    OAuth2 새로고침 요청에서 이제 원본 Host 헤더가 재정의되지 않고 올바르게 보존됩니다. OAuth2 플로우에서 사용자 정의 호스트 재작성에 의존하고 있다면 업그레이드 후 인증이 여전히 예상대로 작동하는지 확인하세요. 이 변경은 OAuth2 사양 준수를 개선합니다.

주요 변경 (5)
  • RBAC 다중값 헤더 우회, IPv6 크래시, JSON 손상, HTTP 디코드 차단 문제를 해결하는 4개 CVE 수정
  • OAuth2 새로고침 요청에서 호스트 재작성 시 원본 Host 헤더 값 보존
  • 내부 googleurl에서 공개 GitHub 저장소(google/gurl)로 마이그레이션
  • Kafka 테스트 바이너리 3.9.2 버전으로 업데이트
  • Docker 기본 이미지를 최신 버전으로 새로 고침
원문

Envoy

Networking & Messaging2026년 3월 10일

RBAC 우회, IPv6 크래시, 메모리 손상, HTTP 디코드 취약점을 포함한 4개 CVE를 해결하는 긴급 보안 패치입니다.

  • securityRBAC 우회 수정을 위한 즉시 업그레이드

    CVE-2026-26308은 멀티밸류 헤더를 이용해 RBAC 정책을 우회할 수 있게 합니다. 접근 제어 보안에 직접적인 영향을 미치므로, RBAC를 인가에 사용하는 모든 Envoy 인스턴스의 긴급 업그레이드를 계획하세요.

  • security프로덕션 IPv6 크래시 취약점 패치

    CVE-2026-26310은 스코프드 IPv6 주소 처리 시 크래시를 발생시켜 서비스 중단을 야기합니다. IPv6 트래픽을 처리하거나 듀얼스택 구성을 운영 중이라면 DoS 공격을 방지하기 위해 업그레이드를 우선순위에 두세요.

  • securityJSON 처리 메모리 손상 문제 해결

    CVE-2026-26309는 JSON 처리 중 문자열 널 터미네이터를 손상시켜 메모리 손상이나 정보 노출로 이어질 수 있습니다. Envoy를 통해 JSON 페이로드를 처리하는 서비스라면 즉시 업데이트하세요.

주요 변경 (5)
  • 무단 접근을 허용할 수 있는 CVE-2026-26308 RBAC 멀티밸류 헤더 우회 수정
  • 스코프드 IPv6 주소 처리 시 발생하는 CVE-2026-26310 크래시 취약점 해결
  • JSON 처리 중 발생하는 CVE-2026-26309 오프바이원 메모리 쓰기 버그 패치
  • 다운스트림 리셋 후 CVE-2026-26311 HTTP 디코드 메서드 취약점 수정
  • OAuth2 새로고침 요청의 호스트 재작성 동작 오류 해결
원문

NATS

Networking & Messaging2026년 3월 9일

NATS v2.12.5는 리프노드 압축 및 WebSocket 취약점에 대한 중요한 보안 수정을 제공하며, JetStream 백업 성능을 크게 개선하고 파일스토어 운영의 여러 안정성 문제를 해결했습니다.

  • security중요한 CVE 수정을 위한 즉시 업데이트

    두 개의 CVE가 프로덕션 시스템에 영향을 미칩니다. CVE-2026-29785는 리프노드 압축에, CVE-2026-27889는 WebSocket 연결에 영향을 주며 둘 다 서버 패닉이나 보안 문제를 일으킬 수 있습니다. v2.12.4 이하를 실행하는 모든 NATS 서버의 업데이트를 위한 유지보수 시간을 계획하세요.

  • enhancement불안정한 네트워크를 위한 JetStream 백업 최적화

    스트림 백업이 이제 더 나은 플로우 컨트롤을 위한 window_size 매개변수를 지원합니다. 느리거나 불안정한 연결을 통해 백업을 실행한다면 적절한 윈도우 크기를 설정해서 처리량을 개선하고 백업 실패를 줄이세요. 네트워크 상황에 맞춘 최적값을 찾기 위해 테스트를 진행하세요.

  • enhancement비동기 메타레이어 스냅샷 동작 검토

    메타레이어 스냅샷이 JS API 작업 차단 방지를 위해 비동기로 실행됩니다. 성능은 개선되지만 타이밍 동작이 변경됩니다. 애플리케이션이 동기 스냅샷 타이밍에 의존한다면 jetstream 설정 블록에서 `meta_compact_sync: true`를 설정해서 이전 동작을 복원하세요.

주요 변경 (5)
  • 리프노드 압축(CVE-2026-29785) 및 WebSocket 파싱(CVE-2026-27889)에 대한 중요한 CVE 수정
  • JetStream 스트림 백업에서 불안정한 연결에 대한 성능 개선을 위한 window_size 매개변수와 개선된 플로우 컨트롤 적용
  • JS API 작업 차단 방지를 위해 메타레이어 스냅샷이 기본적으로 비동기 실행
  • 충돌이나 성능 저하를 일으킬 수 있는 여러 파일스토어 경쟁 조건 및 락 누수 문제 수정
  • 적절한 프레임 검증 및 압축 상태 관리를 포함한 WebSocket 처리 개선
원문

NATS

Networking & Messaging2026년 3월 9일

NATS v2.11.14는 leafnode 압축과 WebSocket 기능에 영향을 주는 두 개의 CVE를 해결하고 서버 패닉을 방지하는 여러 안정성 수정을 포함한 중요한 보안 릴리스입니다.

  • securityleafnode나 WebSocket 사용 시 즉시 업그레이드 필요

    일반적인 NATS 구성에 영향을 주는 두 개의 CVE가 발견되었습니다. leafnode 압축이나 WebSocket 기능을 사용한다면 잠재적 보안 취약점을 방지하기 위해 즉시 업그레이드하세요. 설정에서 leafnode 섹션의 'compression: enabled'나 'websocket' 리스너를 확인해보세요.

  • securityWebSocket Origin 검증 설정 검토 필요

    Origin 헤더 검증에 프로토콜 스킴 확인이 추가되었습니다. 업그레이드 후 연결 거부를 방지하려면 WebSocket 클라이언트 설정을 점검하여 올바른 origin(https:// 또는 wss:// 스킴 포함)을 지정했는지 확인하세요.

  • enhancement패닉 발생 감소 모니터링

    leafnode와 WebSocket 처리에서 발생하는 여러 패닉 상황이 수정되었습니다. 업그레이드 후 예상치 못한 서버 재시작이 줄어들 것입니다. 모니터링 대시보드를 확인하여 안정성 지표 개선을 확인해보세요.

주요 변경 (5)
  • leafnode 압축 시스템에 영향을 주는 CVE-2026-29785 수정
  • WebSocket 활성화 배포에 영향을 주는 CVE-2026-27889 수정
  • leafnode 구독 경합 조건으로 인한 서버 패닉 방지
  • WebSocket 프레임 파싱 및 페이로드 검증 개선
  • WebSocket 보안을 위한 Origin 헤더 검증 강화
원문

Linkerd

Networking & Messaging2026년 3월 6일

의존성 유지보수에 중점을 둔 엣지 릴리스로, 프록시가 v2.341.0으로 업데이트되었습니다. Kubernetes SubjectAccessReview에 추가 속성이 포함되어 권한 부여 처리가 개선되었습니다.

  • enhancementRBAC용 SubjectAccessReview 개선사항 평가

    SubjectAccessReview 요청에 추가 속성이 포함되어 권한 부여 평가 정확도가 향상되었습니다. 현재 RBAC 정책을 검토해서 추가 컨텍스트를 올바르게 처리하는지 확인하세요. 특히 사용자 정의 권한 부여 웹훅이나 세부적인 액세스 제어를 사용하는 경우 더욱 중요합니다.

  • enhancementv2.341.0 업데이트 후 프록시 성능 모니터링

    3차례 프록시 버전 업데이트는 활발한 개발을 보여줍니다. 환경에서 성능과 연결 처리를 테스트하세요. 프록시 관련 문제를 경험한 적이 있다면 더욱 중요합니다. 점진적 업데이트는 급격한 변경보다는 점진적 개선을 의미합니다.

주요 변경 (5)
  • 프록시가 여러 단계별 릴리스를 거쳐 v2.339.0에서 v2.341.0으로 업데이트
  • Tokio v1.50.0, axum v0.8.8, Kubernetes 클라이언트 라이브러리 등 주요 의존성 업데이트
  • 향상된 RBAC 평가를 위해 SubjectAccessReview에 추가 속성 포함
  • aws-lc-rs v1.16.0, rustls-pki-types v1.14.0 등 보안 프레임워크 업데이트
  • GitHub Actions 새 버전 업데이트 (upload-artifact v7.0.0, download-artifact v8.0.0)
원문

Strimzi

Networking & Messaging2026년 3월 6일

Strimzi 0.51.0은 중요한 보안 취약점을 수정하고 쿠버네티스 1.30 미만 버전 지원을 중단했으며, Kafka 4.2.0 지원과 ServerSideApplyPhase1 베타 전환을 포함합니다.

  • securityCVE 수정을 위한 즉시 업그레이드

    Strimzi 0.47.0 이상 버전에 영향을 주는 두 개의 중요한 CVE가 발견되었습니다. 보안 권고사항을 검토해서 본인 배포 환경이 영향받는지 확인한 후, 0.50.1 또는 0.51.0으로 즉시 업그레이드하세요. CVE 번호가 2026년으로 표시된 것은 공개 유예된 취약점일 가능성을 시사합니다.

  • breaking업그레이드 전 쿠버네티스 호환성 확인

    Strimzi 0.51.0은 쿠버네티스 1.30 이상이 필요합니다. 업그레이드 전에 클러스터 버전을 확인하세요. 쿠버네티스 1.27-1.29를 사용 중이면 먼저 클러스터를 업그레이드하거나 클러스터 업그레이드가 가능할 때까지 이전 Strimzi 버전을 유지하세요.

  • breaking업그레이드 시 CRD 및 KafkaUser 리소스 업데이트

    Strimzi 업그레이드 과정에서 CRD를 수동으로 업그레이드해야 하며, 특히 Helm 사용 시 주의하세요. 0.48 이하 버전에서 업그레이드하는 경우 먼저 KafkaUser 리소스를 새로운 `.spec.authorization.acls[]operations` 필드 형식으로 업데이트해야 합니다.

주요 변경 (5)
  • CVE-2026-27133, CVE-2026-27134 보안 취약점 수정으로 0.47.0 이상 버전 즉시 업그레이드 필요
  • 쿠버네티스 1.30 이상 버전만 지원 - 1.27, 1.28, 1.29 버전 지원 중단
  • Kafka 4.2.0 지원 추가, Kafka 4.0.0 및 4.0.1 호환성 제거
  • 리스너별 Kafka 연결 제한 및 재인증 설정 옵션 제공
  • 상위 프로젝트 아카이브로 인한 Ingress 리스너 타입 2026년 3월부터 지원 중단 예정
원문
월별 보기