RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 4월해제 ×

NATS

Networking & Messaging2026년 4월 30일

NATS v2.14.0은 2.13.x를 건너뛰고 출시됐습니다. JetStream 스케줄링, 고속 배치 퍼블리싱, 컨슈머 리셋 API, Raft 데이터 손실 방지 수정이 핵심입니다. 업그레이드 전 마이그레이션 가이드 확인이 필수입니다.

  • breaking2.13.x 건너뜀 — 반드시 2.14 업그레이드 가이드를 먼저 읽으세요

    이번 릴리스는 2.12.x에서 바로 2.14.x로 올라갑니다. ACL로 JetStream ACK·플로우 컨트롤 주제를 제어하고 있다면 지금 당장 주목해야 합니다. 새 도메인 인식 형식($JS.ACK.domain.acchash.stream.consumer.>)은 현재 기본 비활성이지만 v2.15에서 기본 활성화됩니다. v2.15 업그레이드 전에 ACL 규칙을 미리 업데이트해 두세요.

  • breakingRaft 스냅샷 손상 시 기동 거부 — 복구 절차를 미리 검증하세요

    기존에는 스냅샷이 손상되거나 로그와 정렬이 맞지 않아도 노드가 조용히 기동됐습니다. 이제는 기동 자체를 거부합니다. 올바른 방향이지만, 비정상 종료를 경험한 클러스터가 있다면 업그레이드 전에 스냅샷 무결성을 먼저 점검하세요. 운영 런북에도 이 시나리오의 복구 절차를 추가해 두는 게 좋습니다.

  • enhancementConsumer Reset API로 컨슈머 재설정 작업이 훨씬 간단해졌습니다

    기존에는 컨슈머를 이전 시퀀스로 되돌리려면 삭제 후 재생성하는 번거로운 과정이 필요했습니다. 새 $JS.API.CONSUMER.RESET API를 쓰면 그 자리에서 바로 되감기가 됩니다. 컨슈머 재처리나 장애 복구 시나리오를 다루는 내부 도구나 런북이 있다면 이 API를 쓰도록 업데이트하세요.

주요 변경 (5)
  • JetStream 고속 배치 퍼블리싱 지원 (ADR-50)
  • Nats-Schedule 헤더로 반복/크론 기반 메시지 스케줄링 추가 (ADR-51)
  • 컨슈머 삭제 없이 이전 시퀀스로 되돌리는 Consumer Reset API 도입
  • 도메인 인식 ACK/FC 주제 형식 추가 (js_ack_fc_v2 플래그, v2.15에서 기본값으로 전환 예정)
  • 스냅샷이 손상되거나 없을 경우 Raft 노드 기동 거부로 데이터 손실 방지
원문

Strimzi

Networking & Messaging2026년 4월 28일

Strimzi 1.0.0은 v1 이전의 모든 CRD API를 제거했습니다. 업그레이드 전 CRD 변환이 필수이며, Kafka 4.1.2 지원, HTTP Bridge TLS, 환경 변수 기반 rack awareness도 추가됐습니다.

  • breaking업그레이드 전 모든 CRD를 v1 API로 반드시 변환할 것

    Strimzi 1.0.0은 v1beta2, v1beta1, v1alpha1을 완전히 제거했습니다. 기존 커스텀 리소스가 이전 API 버전을 사용하고 있으면, 업그레이드 후 오퍼레이터가 해당 리소스를 조정하지 않아 클러스터 관리가 조용히 멈춥니다. KafkaTopic, KafkaUser도 별도 구버전 API가 있었으므로 반드시 포함해서 변환해야 합니다. Strimzi 공식 문서의 CRD 변환 절차를 먼저 완료한 뒤 업그레이드를 진행하세요.

  • enhancementRack awareness를 환경 변수 방식으로 전환해 ClusterRoleBinding 제거 가능

    새로 추가된 type: environment-variable rack awareness는 Kubernetes API 조회 대신 환경 변수에서 토폴로지 정보를 읽으므로 ClusterRoleBinding이 필요 없습니다. RBAC 정책이 엄격하거나 멀티 테넌트 클러스터를 운영 중이라면 전환을 검토할 만합니다. Kafka CR의 rack 설정에서 type 필드만 수정하면 되고, 인프라 변경은 필요하지 않습니다.

  • enhancementUseConnectBuildWithBuildah 기본 활성화 — Connect 빌드 파이프라인 사전 검증 필요

    이 피처 게이트가 베타로 승격되면서 Kafka Connect 커넥터 빌드의 기본 도구가 Buildah로 바뀝니다. Kaniko 고유 동작에 의존하거나 커스텀 빌드 설정이 있다면, 운영 환경 업그레이드 전에 스테이징에서 빌드를 먼저 검증하세요. 레이어 캐싱 방식이나 레지스트리 인증 처리에서 동작 차이가 나타날 수 있습니다.

주요 변경 (5)
  • v1beta2, v1beta1, v1alpha1 CRD API 완전 제거 — v1만 지원
  • Kafka 4.1.2 공식 지원 추가, Kafka 4.2.0 이미지도 포함
  • HTTP Bridge에 TLS/SSL 지원 추가
  • ClusterRoleBinding 없이 동작하는 환경 변수 기반 rack awareness 신규 지원
  • UseConnectBuildWithBuildah 피처 게이트가 베타로 승격되어 기본 활성화
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.12.8은 JetStream 클러스터 안정성과 Raft 엣지 케이스, /connz 모니터링 API의 JWT 노출 보안 취약점을 집중적으로 수정한 버그픽스 릴리스입니다.

  • security즉시 패치 필요: /connz가 Bearer JWT를 노출하고 있었습니다

    JWT 기반 인증을 사용하는 환경에서 /connz 모니터링 엔드포인트가 내부망이라도 접근 가능했다면, Bearer 토큰이 응답에 그대로 포함되어 있었습니다. 지금 당장 v2.12.8로 업그레이드하고, 노출되었을 가능성이 있는 JWT를 모두 교체하세요. 즉시 업그레이드가 어렵다면 방화벽이나 NATS 모니터링 인증으로 /connz 접근을 제한해야 합니다.

  • securityCLI 인자 시크릿, 과거 로그도 점검하세요

    라우트·클러스터 URL에 포함된 자격증명이 CLI 인자로 전달될 경우 이전까지 모니터링 출력에 그대로 노출됐습니다. v2.12.8로 업그레이드한 뒤, 로그 수집 파이프라인이나 모니터링 대시보드에 기록된 과거 데이터도 점검하시기 바랍니다.

  • enhancementJetStream 클러스터 운영 중 간헐적 오류가 있었다면 이번 업그레이드가 답입니다

    스냅샷에서의 스트림 리더 복구, 텀 불일치 시 Raft 커밋 인덱스 리셋, 인-플라이트 상태의 스트림·컨슈머 정보 조회 실패, 프로포절 실패로 인한 'last sequence mismatch' 오류 등 다수의 엣지 케이스가 한꺼번에 수정됐습니다. 이런 증상을 경험한 적 있다면 우선순위를 높여 업그레이드하고, 이후 스케일링 작업 중 스트림·컨슈머 info 엔드포인트 오류율 변화를 모니터링하세요.

주요 변경 (5)
  • /connz 엔드포인트에서 Bearer JWT가 노출되던 보안 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL 시크릿을 모니터링 출력에서 마스킹 처리
  • 컨슈머 일시정지 엔드포인트, 스트림 업데이트 후 스케일링, 레거시 Raft 스냅샷 복구 시 발생하던 패닉 수정
  • 리프노드 재접속 및 프로포절 오류 상황에서 스트림 소싱 중복 메시지 발생 버그 해결
  • 컨슈머 시작 시퀀스 스캔이 비동기로 전환되어 메타레이어 일시 중단으로 인한 지연 제거
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.11.17은 /connz 모니터링 엔드포인트의 JWT 토큰 노출 등 보안 결함과 다수의 안정성 버그를 수정한 패치 릴리스입니다.

  • security즉시 패치: /connz에서 Bearer JWT가 노출됐습니다

    모니터링 포트(기본 8222)가 내부망이라도 접근 가능한 환경이라면 긴급 패치 대상입니다. 노출된 Bearer 토큰은 재사용 공격(replay attack)에 악용될 수 있습니다. 2.11.17로 즉시 업그레이드하고, 모니터링 엔드포인트에 접근 이력이 있는 경우 관련 JWT를 전부 교체하세요. 당장 업그레이드가 어렵다면 방화벽으로 모니터링 포트를 우선 차단하십시오.

  • securityCLI 인자의 시크릿이 모니터링 출력에 노출됐습니다

    라우트·클러스터 URL에 자격증명을 직접 포함해 CLI로 전달하는 구성이라면, 해당 시크릿이 모니터링 출력에 그대로 표시됐습니다. 과거 모니터링 로그를 점검하고 노출 가능성이 있는 자격증명을 교체하세요. 장기적으로는 CLI 인자 대신 설정 파일이나 환경 변수 기반 시크릿 주입 방식으로 전환하는 게 좋습니다.

  • breaking반복 CONNECT 처리 방식 변경 — 커스텀 클라이언트 동작 확인 필요

    동일 연결에서 CONNECT 메시지를 여러 번 보내면 이제 구독 목록이 초기화됩니다. 표준적이지 않은 연결 패턴을 사용하는 커스텀 클라이언트나 인하우스 구현체가 있다면, 프로덕션 업그레이드 전에 구독이 예기치 않게 사라지는 현상이 없는지 반드시 검증하세요.

주요 변경 (5)
  • /connz 모니터링 엔드포인트에서 Bearer JWT가 노출되던 자격증명 유출 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL의 시크릿이 모니터링 출력에서 가려지도록 수정
  • 동일 연결에서 CONNECT 메시지가 반복될 경우 구독 목록을 올바르게 초기화하도록 수정
  • 자정을 넘는 유효 기간을 가진 JWT claims의 검증 오류 수정
  • 리프노드 압축 협상 시 발생 가능한 패닉 및 메시지 헤더 설정 시 입력 버퍼가 변조되던 버그 수정
원문

Linkerd

Networking & Messaging2026년 4월 24일

OpenSSL·rustls 보안 패치, Gateway 라우트 어드미션 웹훅 버그 수정, 인젝터의 어노테이션→메트릭 레이블 변환 개선이 포함된 유지보수 중심 엣지 릴리스입니다.

  • securityOpenSSL·rustls-webpki 패치 즉시 적용 권고

    이번 릴리스에 OpenSSL 크레이트가 두 번 업그레이드되고 rustls-webpki도 갱신됐습니다. 모두 프록시 TLS 스택에 위치한 의존성입니다. 보안 민감한 환경에서 Linkerd 엣지 빌드를 운영 중이라면, 다음 스테이블 릴리스를 기다리지 말고 edge-26.4.4로 업그레이드하는 것이 낫습니다.

  • breakingGateway 라우트 정책 우회 설정 검토 필요

    어드미션 웹훅이 Linkerd가 지원하지 않는 필드를 포함한 Gateway 라우트도 전체 검증하면서 정상 라우트가 거부되던 문제가 수정됐습니다. 이 버그를 피하기 위해 라우트 구성을 변경한 적 있다면, 해당 우회책이 여전히 필요한지, 혹은 실제 설정 오류를 가리고 있지는 않은지 지금 점검해야 합니다.

  • enhancement커스텀 Helm 오버라이드 사용 시 드라이런으로 확인하세요

    차트 설치 시 오버라이드 값이 적용되지 않던 버그가 수정됐습니다. 설치 자동화에서 특정 오버라이드 패턴을 사용하고 있다면, 프로덕션 배포 전에 이 버전으로 드라이런을 실행해 최종 values가 기대값과 일치하는지 반드시 검증하세요.

주요 변경 (5)
  • OpenSSL 크레이트 두 차례 업그레이드(0.10.76→0.10.78)와 rustls-webpki 패치 — 프록시 TLS 스택에 직접 영향
  • 지원되지 않는 필드가 포함된 Gateway 라우트에서 어드미션 웹훅이 불필요한 검증을 건너뛰도록 수정
  • 인젝터의 어노테이션→메트릭 레이블 변환 로직 강화로 엣지 케이스 레이블 오염 방지
  • Helm 차트 설치 시 오버라이드 값이 제대로 적용되도록 수정 — 오래된 설치 커스터마이징 버그 해소
  • proxy-init v2.4.8, cni-plugin v1.6.7, 프록시 v2.350.0으로 갱신
원문

Envoy

Networking & Messaging2026년 4월 23일

v1.38은 대형 릴리스로, RSA 키 사용 강제 적용, BoringSSL 빌드 플래그 변경, tcp_proxy 설정 검증 등 즉각 조치가 필요한 브레이킹 체인지가 여럿 포함됩니다.

  • securityCVE-2026-27135 패치 — HTTP/2 사용 시 v1.38로 업그레이드 우선 검토

    이번 릴리스에 nghttp2의 CVE-2026-27135 패치가 포함됩니다. Envoy를 HTTP/2 게이트웨이나 프록시로 운용 중이라면 직접적인 노출 가능성이 있습니다. HTTP/2 트래픽을 처리하는 클러스터부터 업그레이드를 우선 적용하세요. RBAC 헤더 매처의 연결 기반 우회 공격 수정도 함께 포함되어 있어 보안 측면에서 이번 업그레이드는 권장 수준을 넘어섭니다.

  • breaking업그레이드 전 TLS 설정 전수 점검 — RSA 키 사용 이제 강제 적용

    enforce_rsa_key_usage가 이번 릴리스부터 기본 true로 바뀌었고, 다음 릴리스에서는 옵션 자체가 삭제됩니다. 인증서의 키 사용(Key Usage) 확장이 협상된 암호와 맞지 않으면 업스트림 연결이 즉시 거부됩니다. 업그레이드 전에 업스트림 인증서 설정을 점검하고, 스테이징 환경에서 먼저 테스트하세요. 운영 환경에서 실패하면 연결 리셋으로만 나타나 원인 파악이 어렵습니다.

  • breakingBoringSSL FIPS 빌드 파이프라인 수정 필수

    --define=boringssl=fips Bazel 플래그가 완전히 제거됩니다. FIPS 모드로 Envoy를 빌드하는 CI/CD 파이프라인이나 Dockerfile은 오류가 발생합니다. --config=boringssl-fips로 교체하세요. 공식 바이너리를 사용한다면 직접 영향은 없지만, 커스텀 빌드를 유지 중이라면 파이프라인 수정을 v1.38 적용 전에 완료해야 합니다.

  • enhancementOTel 메트릭을 OTLP/HTTP로 직접 전송 — 콜렉터 사이드카 제거 가능

    OpenTelemetry 스탯 싱크가 이제 콜렉터 사이드카 없이 OTLP/HTTP로 직접 메트릭을 전송할 수 있습니다. Envoy 메트릭 수집만을 위해 otel-collector를 DaemonSet으로 운용 중이라면 아키텍처를 단순화할 기회입니다. Grafana Cloud나 Honeycomb 같은 백엔드로 직접 전송이 가능한지 검토해 운영 복잡도를 줄이세요.

주요 변경 (6)
  • enforce_rsa_key_usage가 업스트림 TLS 컨텍스트에서 기본값 true로 변경 — 인증서 키 사용이 맞지 않으면 연결 거부
  • BoringSSL FIPS 빌드 플래그가 --define=boringssl=fips에서 --config=boringssl-fips로 변경
  • tcp_proxy에서 IMMEDIATE 이외의 upstream_connect_mode 사용 시 max_early_data_bytes 명시 필수, 미설정 시 시작 시점에 검증 실패
  • nghttp2의 CVE-2026-27135 패치 적용
  • OAuth2 토큰 암호화가 기본 활성화로 전환, 비활성화하려면 disable_token_encryption 명시 필요
  • 동적 모듈에 트레이서, TLS 검증기, 커스텀 LB 정책 등 확장 포인트 대폭 추가, v1.39 바이너리와의 ABI 전방 호환 보장
원문

Contour

Networking & Messaging2026년 4월 20일

v1.33.4는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. Envoy 1.35.0 이상이 필수 요건이므로 즉시 업그레이드해야 합니다.

  • securityCVE-2026-41246 즉시 패치 — 공유 Envoy 환경에서 임의 코드 실행 위험

    HTTPProxy 리소스를 생성하거나 수정할 수 있는 RBAC 권한이 있다면, pathRewrite 값을 조작해 Envoy 안에서 임의 Lua 코드를 실행할 수 있습니다. Envoy가 여러 테넌트 사이에서 공유되는 환경에서는 xDS 클라이언트 인증 정보 탈취나 서비스 거부 공격으로 이어질 수 있어 파급 범위가 넓습니다. Contour를 v1.33.4로 업그레이드하고, 배포 전에 Envoy 버전이 1.35.0 이상인지 반드시 확인하세요. 심층 방어 차원에서 HTTPProxy 쓰기 권한도 신뢰할 수 있는 주체로만 제한하도록 RBAC 정책을 점검하는 게 좋습니다.

  • breakingEnvoy 1.35.0 필수 요건 — 업그레이드 전 버전 확인 필수

    새로운 filterContext 기반 Lua 방식 때문에 Envoy 1.35.0 미만 버전에서는 정상 동작하지 않습니다. Envoy 이미지를 직접 관리하거나 버전을 고정해 사용한다면 Contour 업그레이드 전에 Envoy를 먼저 올려야 합니다. 공식 매니페스트를 그대로 사용한다면 번들 Envoy가 이미 v1.35.10이라 별도 조치는 불필요하지만, 커스텀 환경이나 에어갭 환경은 별도로 확인해야 합니다.

  • enhancement업그레이드 여부와 관계없이 HTTPProxy RBAC 점검 권장

    취약점 패치 후에도 근본적인 공격 경로는 HTTPProxy 리소스에 대한 넓은 쓰기 권한입니다. HTTPProxy 생성/수정 권한은 애플리케이션 개발자가 아닌 플랫폼 운영자 수준으로 좁히는 방향이 바람직합니다. 멀티 테넌트 환경일수록 이런 권한 분리가 장기적으로 더 효과적인 통제 수단이 됩니다.

주요 변경 (4)
  • CVE-2026-41246 수정: cookieRewritePolicies pathRewrite 값을 통한 Lua 코드 인젝션으로 Envoy 내 임의 코드 실행 가능
  • Cookie Rewriting 구현 방식 변경: text/template 기반 Lua 코드 생성 방식 제거, 정적 Lua 스크립트 + filterContext 구조 데이터 방식으로 전환
  • Envoy 1.35.0 이상이 이번 릴리스의 하드 최소 요건으로 지정됨
  • 번들 Envoy 버전이 v1.35.10으로 업데이트됨
원문

Contour

Networking & Messaging2026년 4월 20일

v1.32.5는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. 멀티테넌트 환경이라면 즉시 업그레이드해야 합니다.

  • security멀티테넌트 클러스터라면 CVE-2026-41246 즉시 패치

    신뢰할 수 없는 사용자나 팀이 HTTPProxy 리소스를 생성·수정할 RBAC 권한을 갖고 있다면 직접적인 위협에 노출된 상태입니다. 공격자는 pathRewrite.value에 Lua 문자열 컨텍스트를 탈출하는 값을 심어 Envoy 내에서 코드를 실행할 수 있습니다. Envoy는 공유 인프라이므로 xDS 클라이언트 인증서 탈취나 동일 인스턴스를 사용하는 다른 테넌트 서비스 장애로 이어질 수 있습니다. 지금 바로 v1.32.5로 업그레이드하고, 업그레이드 전까지는 HTTPProxy의 create/update 권한을 최소한으로 줄이세요.

  • breaking업그레이드 후 기존 cookieRewritePolicies 동작 검증 필요

    이번 수정으로 pathRewrite.value 입력값에 이스케이프 처리가 추가됩니다. 백슬래시나 따옴표 같은 특수문자가 포함된 값은 Lua 삽입 전 이스케이프되어 런타임 동작이 달라질 수 있습니다. cookieRewritePolicies[].pathRewrite.value를 사용하는 HTTPProxy 리소스가 있다면 스테이징 환경에서 쿠키 재작성 동작을 반드시 확인하세요.

  • enhancementEnvoy v1.34.14 번들 포함 — 별도 조치 불필요

    Envoy 업데이트는 Contour 이미지에 이미 포함되어 있습니다. 단, Envoy를 Contour와 별도로 관리하는 구성이라면 해당 Envoy 이미지도 v1.34.14로 맞춰 Contour의 테스트 환경과 일치시키세요.

주요 변경 (5)
  • CVE-2026-41246 수정: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • HTTPProxy RBAC 쓰기 권한이 있는 공격자가 공유 Envoy 프록시 내에서 임의 코드 실행 가능
  • 인젝션된 코드로 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스의 다른 테넌트 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입하기 전 이스케이프 처리하는 방식으로 수정
  • Envoy v1.34.14로 업데이트
원문

Contour

Networking & Messaging2026년 4월 20일

Contour v1.31.6은 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 패치합니다. 공유 Envoy 인프라에서 임의 코드 실행으로 이어질 수 있는 심각한 결함입니다.

  • security비신뢰 사용자에게 HTTPProxy 쓰기 권한이 있다면 즉시 패치해야 합니다

    CVE-2026-41246은 멀티테넌트 클러스터에서 특히 위험합니다. HTTPProxy 리소스에 쓰기 권한을 가진 사용자라면 Envoy에 임의 Lua 코드를 주입할 수 있고, Envoy가 공유 인프라인 만큼 피해 범위가 다른 테넌트와 xDS 자격증명까지 미칩니다. v1.31.6으로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면, 기존 HTTPProxy 오브젝트의 pathRewrite 값을 점검하고 HTTPProxy 쓰기 권한을 신뢰할 수 있는 주체로만 제한하세요.

  • enhancementHTTPProxy 쓰기 RBAC 권한을 전면 재검토하세요

    이번 취약점 유형은 사용자 입력값이 코드에 직접 삽입되는 구조적 위험에서 비롯됩니다. 패치 적용과 별개로, HTTPProxy·HTTPRoute 등 프록시 설정을 제어하는 커스텀 리소스 전반에 최소 권한 RBAC을 적용할 타이밍입니다. 네임스페이스 범위 RBAC과 pathRewrite 값을 검증하는 어드미션 웹훅을 패치에 더해 함께 적용하면 방어 심도를 높일 수 있습니다.

주요 변경 (4)
  • CVE-2026-41246 보안 패치: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • 공격 성공 시 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스를 공유하는 테넌트에 대한 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입 전 이스케이프 처리하는 방식으로 수정 — API 변경 없음
  • Envoy v1.34.14로 업그레이드
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.19.3은 메모리 누수, 패닉, 네트워크 동작 오류를 집중적으로 수정한 버그픽스 릴리스입니다. DSR 모드, WireGuard 듀얼스택, IPAM 엣지 케이스가 주요 수정 대상입니다.

  • securitygo-jose 보안 업데이트 확인

    go-jose/go-jose가 보안 목적으로 v4.1.4로 업데이트됐습니다. 이 라이브러리는 JWT/토큰 처리에 관여합니다. SBOM 감사나 공급망 보안 검사를 운영 중이라면 이 의존성 버전 변경을 반드시 반영하세요.

  • breaking듀얼스택 IPAM 충돌 위험 — 즉시 업그레이드 필요

    듀얼스택 cluster-pool IPAM 환경에서 중복 IPv6 PodCIDR이 있을 때 오퍼레이터를 재시작하면 IPv4 PodCIDR이 잘못 해제되어 다른 노드에 재할당될 수 있습니다. 노드 간 IP 충돌로 이어지는 데이터플레인 정확성 문제입니다. 다음 오퍼레이터 재시작 전에 v1.19.3으로 업그레이드하고, 업그레이드 후 각 노드의 PodCIDR 할당 상태를 확인하세요.

  • enhancement메모리 누수 수정 — 정책 변경이 잦은 환경이라면 우선 적용

    두 가지 메모리 누수가 패치됐습니다. 하나는 정책 점진적 업데이트, 다른 하나는 정책 생성·삭제 반복 시 발생합니다. CI 네임스페이스, 멀티테넌트 플랫폼, GitOps 기반 정책 관리 환경처럼 NetworkPolicy 변경이 잦은 클러스터라면 Cilium 에이전트 메모리가 시간이 지날수록 꾸준히 증가하는 현상을 겪었을 수 있습니다. 업그레이드 후 롤링 재시작만으로 충분하며, 별도 설정 변경은 필요 없습니다.

주요 변경 (5)
  • 정책 점진적 업데이트와 정책 생성/삭제 사이클 각각에서 발생하는 두 가지 별도 메모리 누수 수정
  • DSR 모드 NodePort 수정: SocketLB 비활성 상태에서 백엔드가 로컬일 때 원격 노드 IP를 통한 Pod→NodePort 접근 실패 해결
  • WireGuard 듀얼스택 수정: IPv6 언더레이 설정이 피어 엔드포인트 선택 시 무시되던 문제 해결
  • 듀얼스택 cluster-pool IPAM 버그 수정: 중복 IPv6 PodCIDR 존재 시 오퍼레이터 재시작 후 IPv4 PodCIDR이 잘못 해제·재할당될 수 있던 문제
  • go-jose/go-jose 보안 업데이트 v4.1.4 포함
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.18.9는 메모리 누수, 패닉, 로드밸런서 오동작 등 프로덕션 장애로 이어질 수 있는 버그들을 집중 수정한 패치 릴리스입니다.

  • securitygo-jose 보안 패치 포함 — 인증 기능 사용 시 우선 적용

    go-jose/go-jose/v4가 보안 이슈로 v4.1.4로 업데이트되었습니다. Cilium의 상호 인증(mutual auth)이나 JWT/JOSE 관련 기능을 활성화한 환경이라면 해당 취약점에 노출되어 있을 수 있으므로 이번 업그레이드를 우선순위에 두십시오.

  • breaking이중 스택 IPAM 재할당 위험 — 즉시 업그레이드 필요

    cluster-pool IPAM으로 이중 스택을 운영 중이라면, 중복 IPv6 PodCIDR이 존재하는 상태에서 오퍼레이터가 재시작될 때 노드의 IPv4 PodCIDR이 해제되어 다른 노드에 재할당될 수 있습니다. IP 충돌과 파드 네트워킹 장애로 직결됩니다. 다음 정기 점검이나 오퍼레이터 재시작 전에 반드시 1.18.9로 올리십시오.

  • enhancement정책 변동이 잦은 환경의 메모리 누수 해소

    정책 증분 업데이트와 빈번한 정책 생성/삭제로 발생하는 메모리 누수 경로 두 곳이 모두 막혔습니다. CI 환경, 멀티테넌트 클러스터, 네임스페이스가 자주 배포되는 환경에서 에이전트 메모리가 서서히 증가하는 현상을 경험했다면 업그레이드 후 수 시간에서 하루 정도 메모리 기준선이 안정화되는지 확인하십시오.

주요 변경 (5)
  • 정책 증분 업데이트와 정책 생성/삭제 반복으로 각각 발생하던 메모리 누수 두 건 수정
  • 로드밸런서 백엔드 슬롯 간격 버그 수정 — 유지보수 백엔드가 존재할 때 트래픽이 잘못된 엔드포인트로 라우팅될 수 있던 문제
  • 이중 스택 cluster-pool IPAM 버그 수정 — 중복 IPv6 PodCIDR 상태에서 오퍼레이터 재시작 시 IPv4 PodCIDR이 다른 노드에 재할당될 수 있던 문제
  • init identity에 멈춰 있던 스태틱 파드 엔드포인트 문제 해결
  • configDriftDetection Helm 값 추가 및 go-jose 보안 의존성 업데이트
원문

Cilium

Networking & Messaging2026년 4월 15일

v1.17.15는 메모리 누수, 엔드포인트 재생성 중단, IPAM 데이터 오염, 정책 업데이트 데드락 등 운영 환경에서 조용히 악화되는 문제들을 집중 수정한 패치 릴리스입니다.

  • breaking이중 스택 IPAM 오염 위험: 오퍼레이터 재시작 전에 반드시 업그레이드

    클러스터풀 IPAM을 쓰는 이중 스택 환경에서 IPv6 PodCIDR 중복 상태가 있을 때 오퍼레이터를 재시작하면, IPv4 PodCIDR이 다른 노드에 재할당될 수 있습니다. 두 노드가 같은 서브넷을 쓰게 되는 무서운 시나리오로, 오류 메시지도 없이 발생합니다. 노드 스케일링이나 오퍼레이터 재시작 전에 v1.17.15로 먼저 업그레이드하세요.

  • enhancement정책 자주 바꾸는 환경이라면 메모리 누수 패치가 핵심

    증분 정책 업데이트로 인한 누수(느리고 감지 어려움)와 정책 생성/삭제 반복으로 인한 누수 두 건이 함께 수정됐습니다. GitOps 방식으로 NetworkPolicy를 자주 교체하는 환경이라면 지금도 에이전트 메모리가 조금씩 새고 있을 가능성이 높습니다. 업그레이드 후 24~48시간 동안 에이전트 메모리 추이를 모니터링해 안정화 여부를 확인하세요.

  • enhancement엔드포인트가 정책 변경을 반영 못 한다면 이번 릴리스가 답

    'waiting-to-regenerate' 상태에 영구적으로 걸리는 레이스 컨디션이 수정됐습니다. 명확한 오류 없이 파드가 정책 변경을 적용하지 못하는 현상을 겪었다면, 업그레이드 후 'cilium endpoint list'로 정책 변경 시 엔드포인트 재생성이 정상 완료되는지 확인하세요.

주요 변경 (6)
  • 메모리 누수 두 건 수정: 증분 정책 업데이트로 발생하는 느린 누수 + 정책 반복 생성/삭제로 발생하는 누수
  • 'waiting-to-regenerate' 상태에 걸린 엔드포인트 문제 해결 — 정책 변경이 워크로드에 적용되지 않는 현상
  • 이중 스택 클러스터풀 IPAM 버그 수정: 중복 IPv6 PodCIDR 상태에서 오퍼레이터 재시작 시 IPv4 PodCIDR가 다른 노드에 재할당되는 데이터 오염 방지
  • 마지막 프록시 리스너 제거 시 ipcache 아이덴티티 업데이트 행 현상 해결
  • Hubble Relay의 피어 주소 미해석 시 패닉 수정, hubble observe의 로그 컬러링으로 인한 CPU 낭비 제거
  • gRPC v1.79.3 및 CNI 플러그인 v1.9.1로 업데이트
원문

Linkerd

Networking & Messaging2026년 4월 15일

edge-26.4.3은 어노테이션 기반 프록시 환경 변수 주입 기능을 추가하고, 프록시를 v2.349.0으로 올리며, Kubernetes 1.35 호환성을 테스트로 검증했습니다.

  • securityrustls-webpki 패치 — Rust 의존성 벤더링 시 락파일 갱신 필요

    mTLS 스택에 쓰이는 rustls-webpki가 0.103.11로 올라갔습니다. 공개된 CVE는 없지만, 조직에서 Rust 의존성을 감사하거나 벤더링하는 경우 락파일을 업데이트하고 SBOM 스캔을 다시 돌려 최신 상태를 유지하세요.

  • enhancementproxy-additional-env 어노테이션으로 커스텀 이미지 없이 프록시 튜닝

    새로 추가된 `proxy-additional-env` 어노테이션을 쓰면 파드나 네임스페이스 단위로 프록시에 환경 변수를 직접 주입할 수 있습니다. 로그 레벨 조정이나 특정 기능 플래그를 전역 Helm 값 변경 없이 특정 워크로드에만 적용하고 싶을 때 유용합니다. 프로덕션 전에 비중요 워크로드에 먼저 적용해 동작을 검증하세요.

  • enhancementKubernetes 1.35 업그레이드 계획 중이라면 이번 릴리스가 기준점

    Linkerd 테스트 스위트가 k8s 1.35를 공식 커버하기 시작했고, 정책 테스트도 통과했습니다. 1.35 업그레이드를 검토 중인 팀이라면 이 edge 릴리스를 기준으로 스테이징 클러스터에서 직접 스모크 테스트를 돌린 후 프로덕션 전환 일정을 잡으세요.

주요 변경 (5)
  • 새 `proxy-additional-env` 어노테이션으로 주입된 프록시에 스코프별 환경 변수 설정 가능
  • 프록시 v2.349.0으로 업그레이드 — 프록시 자체 변경 사항 별도 확인 필요
  • Kubernetes 1.35 테스트 매트릭스 추가, 정책 테스트 전체 통과 확인
  • Rust TLS 스택의 rustls-webpki가 0.103.10에서 0.103.11로 패치 업데이트
  • Helm v3.20.2, golang.org/x/tools 0.44.0 등 빌드 툴체인 의존성 업데이트
원문

NATS

Networking & Messaging2026년 4월 14일

v2.12.7은 ACL 우회 보안 버그, 리프노드 패닉, JetStream 컨슈머 stuck 상태, 그리고 2.12.6에서 유입된 MQTT JWT 회귀 버그를 수정한 버그픽스 릴리스입니다.

  • securitydeny ACL이나 큐 그룹을 사용 중이라면 즉시 업그레이드 필요

    이번 릴리스에서 두 가지 ACL 시행 버그가 수정됐습니다. 와일드카드가 중첩된 deny ACL이 제대로 적용되지 않았고, 큐 구독이 비큐 deny 규칙을 통째로 우회할 수 있었습니다. deny 기반 ACL, 특히 와일드카드나 큐/비큐 혼합 구독을 보안 모델에 활용 중이라면 필수 업그레이드입니다. 업그레이드 후 deny 규칙이 의도대로 동작하는지 반드시 검증하세요.

  • breaking2.12.6에서 MQTT + auth callout을 쓰고 있다면 즉시 업그레이드

    2.12.6에서 MQTT 클라이언트의 JWT가 auth callout 서비스로 전달되지 않는 회귀 버그가 있었습니다. 인증 로직이 조용히 무시되거나 실패했을 가능성이 있습니다. 2.12.7로 업그레이드 후 MQTT 클라이언트 인증이 전 구간에서 정상 동작하는지 확인하세요.

  • enhancementJetStream 스토리지 한도, 이제 재시작 없이 상향 조정 가능

    max_mem_store와 max_file_store를 config reload만으로 늘릴 수 있게 됐습니다. 단, 줄이는 것은 여전히 reload로 지원되지 않습니다. 피크 트래픽 구간에 다운타임 없이 용량을 확장할 수 있어 운영 유연성이 높아졌습니다. 평소 여유 있게 스토리지를 설계하되, 필요 시 즉각 확장하는 방식으로 활용하세요.

주요 변경 (5)
  • ACL 보안 수정: 와일드카드 deny 패턴 중첩 시 미적용 버그, 큐 구독이 비큐 deny 규칙을 우회하던 문제 해결
  • MQTT 회귀 버그 수정: 2.12.6부터 MQTT 클라이언트의 JWT가 auth callout에 전달되지 않던 문제 해결
  • JetStream 컨슈머 수정: 삭제된 메시지가 pending 상태에 남아 max_ack_pending이 stuck되는 문제 해결
  • 리프노드 안정성: 계정 resolve 실패 시 패닉 및 pre-CONNECT 가드 관련 패닉 다수 수정
  • JetStream 성능: subject purge가 관련 filestore 블록만 스캔하도록 개선, 쓰기 직후 캐시 과도 축출 문제 수정
원문

NATS

Networking & Messaging2026년 4월 14일

v2.11.16은 보안 패치 릴리스로, 큐 구독의 ACL 우회, 리프노드 인바운드 메시지 권한 누락, 와일드카드 deny 패턴 미적용 등 여러 인가 취약점을 수정했습니다. ACL에 의존하는 환경이라면 즉시 업그레이드해야 합니다.

  • security큐 구독을 통한 ACL 우회 — 즉시 패치 필요

    비큐 구독에 적용된 deny 규칙을 큐 구독자가 우회할 수 있었습니다. 멀티테넌트 환경이나 subject 단위 접근 제어를 쓰고 있다면 기존 deny 규칙이 제대로 적용되지 않았을 가능성이 있습니다. v2.11.16으로 업그레이드하고, ACL 설정 전체를 재검토하세요.

  • security리프노드 ACL 검사 누락 — 리프 설정 점검 필수

    리프노드 인바운드 메시지가 ACL 권한 검사를 통과하지 않고 처리되는 경로가 존재했습니다. 계정별 또는 사용자별 권한을 리프노드에 적용 중이라면, 무단 데이터 접근이 발생했을 가능성을 배제할 수 없습니다. 업그레이드 후 리프노드 자격증명과 권한 설정을 재확인하세요.

  • breakingno_auth_user 범위 변경 — 리프노드 연결에 영향 가능

    no_auth_user가 이제 클라이언트 연결에만 적용됩니다. 리프노드 등 비클라이언트 연결에서 no_auth_user를 암묵적으로 사용하던 구성이 있다면, 업그레이드 후 해당 연결에 명시적인 자격증명이 필요해집니다. 프로덕션 리프노드에 배포하기 전에 스테이징 환경에서 반드시 검증하세요.

주요 변경 (5)
  • 큐 구독이 비큐(non-queue) ACL deny 규칙을 우회하던 문제 수정
  • ACL deny 블록의 중첩 와일드카드 패턴이 올바르게 적용되지 않던 문제 수정
  • no_auth_user 옵션이 클라이언트 연결로만 범위 제한됨
  • 리프노드 인바운드 메시지 전체 경로에서 ACL 권한 검사가 누락되던 문제 수정 및 pre-CONNECT 패닉 버그 수정
  • WebSocket 전용 no_auth_user 설정 시 fast-path에서 올바르게 적용되도록 수정
원문

Envoy

Networking & Messaging2026년 4월 10일

Envoy v1.37.2는 리스너 제거 시 크래시, 동적 모듈 필터의 불완전한 바디 전달, 내부 리다이렉트 버퍼 오버플로우로 인한 요청 행 문제를 수정한 패치 릴리스입니다.

  • breaking프로세스 레벨 액세스 로그 레이트 리미터 사용 중이라면 즉시 업그레이드

    프로세스 레벨 액세스 로그 레이트 리미터를 설정한 상태에서 xDS를 통한 리스너 변경이나 제거가 발생하면 프로세스가 크래시합니다. 이는 드문 엣지 케이스가 아닙니다. 리스너 제거는 일상적인 설정 업데이트에서도 발생합니다. 다음 설정 배포 전에 v1.37.2로 업그레이드하세요.

  • breaking동적 모듈 필터 파이프라인의 바디 잘림 현상 확인 필요

    동적 모듈 필터를 ext_proc, gRPC 트랜스코딩, JWT 바디 검사 등 버퍼링을 수행하는 필터와 함께 실행 중이라면, 에러 없이 잘린 페이로드가 업스트림이나 클라이언트로 전달됐을 가능성이 있습니다. 업그레이드 후 스테이징에서 바디 크기 불일치 로그를 점검하고 동작을 검증하세요.

  • breaking대용량 요청 바디 + 내부 리다이렉트 조합은 요청 행(hang) 위험

    내부 리다이렉트를 사용하는 라우트에서 큰 POST/PUT 바디로 리다이렉트가 트리거되면 요청이 에러 없이 멈춥니다. 업스트림 타임아웃만이 유일한 안전망인 셈입니다. 즉시 업그레이드하고, 단기 대응책으로 해당 라우트의 요청 버퍼 한도를 임시로 줄이는 것도 고려할 만합니다.

주요 변경 (5)
  • 프로세스 레벨 액세스 로그 레이트 리미터 사용 시 리스너 제거로 발생하던 크래시 수정
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 잘라 전달하던 버그 수정
  • 내부 리다이렉트 중 요청 버퍼 오버플로우 시 요청이 무한 대기하던 문제 수정
  • Docker 릴리스 이미지 업데이트 및 수정
  • Stats 서브시스템 업데이트
원문

Envoy

Networking & Messaging2026년 4월 10일

v1.36.6은 동적 모듈 필터의 불완전한 바디 전달 문제와 내부 리다이렉트 시 버퍼 초과로 인한 요청 hang 문제를 수정한 패치 릴리스입니다.

  • breaking동적 모듈 필터 + 버퍼링 필터 조합 사용 중이라면 즉시 업그레이드

    필터 체인에 동적 모듈 필터와 버퍼링 필터(ext_proc, grpc-web, 커스텀 버퍼링 필터 등)가 함께 있다면, 동적 모듈이 잘린 바디를 받고 있었던 겁니다. 성능 문제가 아닌 데이터 정합성 버그입니다. v1.36.6으로 업그레이드한 뒤, 동적 모듈이 전체 페이로드를 올바르게 처리하는지 반드시 검증하세요.

  • breaking내부 리다이렉트 사용 환경에서 hang 위험 — 즉시 패치 필요

    요청 바디가 버퍼 한도를 초과할 수 있는 환경에서 내부 리다이렉트를 쓴다면, 완료되지 않는 요청이 커넥션을 붙잡는 상황이 발생할 수 있습니다. 트래픽이 몰리는 환경에서 특히 위험합니다. 즉시 업그레이드하고, 그 전까지는 버퍼 한도를 높이거나 내부 리다이렉트를 일시 비활성화하는 것을 검토하세요.

주요 변경 (3)
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 불완전하게 전달하던 버그 수정
  • 요청 버퍼 초과 시 내부 리다이렉트 로직이 요청을 무기한 hang시키던 문제 해결
  • Docker 릴리스 이미지 업데이트 및 수정
원문

Linkerd

Networking & Messaging2026년 4월 9일

프록시 v2.348.0 업데이트와 Go/Rust/JS 의존성 정리가 전부인 유지보수 릴리스입니다. 기능 변경이나 버그 수정은 없습니다.

  • security웹 대시보드 lodash 업데이트 — 긴급도는 낮지만 SBOM 확인 권장

    lodash가 4.17.23에서 4.18.1로 올라갔습니다. Linkerd 대시보드는 보통 내부망에서 접근하므로 외부 노출 위험은 낮습니다. 다만 팀에서 프론트엔드 의존성 CVE를 관리하고 있다면 SBOM 도구에서 열린 권고 사항이 해소됐는지 확인하세요.

  • enhancement프록시 v2.348.0 — 런타임 변경 여부는 프록시 릴리스 노트 별도 확인

    실질적인 런타임 변경이 있을 수 있는 컴포넌트는 프록시뿐입니다. 릴리스 노트에 프록시 수준의 세부 내용은 나오지 않으므로, 특정 수정 사항이나 동작 변경을 추적 중이라면 linkerd2-proxy v2.348.0 릴리스 노트를 따로 확인한 뒤 프로덕션 배포를 결정하세요.

  • enhancement프록시 업데이트가 필요한 경우가 아니면 업그레이드 서두를 필요 없음

    순수 유지보수 릴리스입니다. edge 빌드를 꾸준히 추적 중이라면 업그레이드 자체는 부담이 없습니다. edge-26.4.1에서 올라와야 할 기능적 이유는 없는 만큼, 프록시 변경 사항이 직접적으로 필요한 팀만 업그레이드를 검토하면 충분합니다.

주요 변경 (5)
  • 프록시 v2.348.0으로 업데이트
  • tokio 런타임 1.50.0 → 1.51.1 (한 사이클에 두 단계 업그레이드)
  • gRPC-Go 1.80.0으로 업데이트
  • 웹 대시보드 lodash 4.18.1로 업데이트
  • destination 컨트롤러 API 테스트 추가로 회귀 감지 커버리지 강화
원문

Linkerd

Networking & Messaging2026년 4월 2일

프록시 두 차례 업데이트(v2.346.0, v2.347.0), 멀티클러스터 RBAC 누락 리소스 추가, Viz Prometheus 포트명 설정 수정이 핵심입니다. 나머지는 의존성 유지보수입니다.

  • security암호화 의존성 패치 업데이트 — 꾸준한 업그레이드 주기 유지

    openssl, rustls-webpki, aws-lc-rs, aws-lc-sys 모두 패치 버전 업데이트됐습니다. 공개된 CVE는 없지만 프록시 핵심 암호화 라이브러리인 만큼, 여러 릴리스를 건너뛰지 말고 정기적인 edge 업그레이드 주기를 유지하는 게 좋습니다.

  • breakingViz 사용 중이라면 업그레이드 후 Prometheus 메트릭 확인 필수

    admin 포트명 변경에 맞게 Prometheus 설정이 수정됐습니다. 이전 edge 빌드에서 업그레이드한 경우, 대시보드 메트릭이 정상적으로 표시되는지 바로 확인하세요. 수정 전에는 스크레이프가 조용히 실패하고 있었을 수 있으므로, Prometheus 타겟 상태를 직접 점검하는 게 좋습니다.

  • enhancement멀티클러스터 사용자: AuthorizationPolicy 커버리지 재검토

    멀티클러스터 익스텐션에 Server 및 AuthorizationPolicy 리소스가 누락되어 있었습니다. 업그레이드 후 크로스 클러스터 인가 정책이 의도대로 적용되는지 확인하세요. 기본 정책 설정에 따라 특정 트래픽 경로에서 예상치 못한 허용/차단이 발생했을 수 있습니다.

주요 변경 (5)
  • 프록시 v2.346.0 → v2.347.0 두 차례 업데이트 — 해당 프록시 릴리스의 버그 수정 포함
  • 멀티클러스터: Server/AuthorizationPolicy 리소스 누락 문제 수정으로 크로스 클러스터 RBAC 적용 범위 보완
  • Viz: Prometheus 스크레이프 설정이 변경된 admin 포트명과 불일치하던 문제 수정 — 메트릭 누락이 발생했을 수 있음
  • openssl, rustls-webpki, aws-lc-rs, zerocopy 등 암호화 관련 의존성 패치 업데이트
  • @olix0r(Oliver Gould) 명예 메인테이너(emeritus) 전환
원문
월별 보기