RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

NATS

Networking & Messaging2026년 5월 20일

v2.12.9는 JetStream 안정성에 집중한 버그 수정 릴리스로, Raft 정합성 결함, 컨슈머 상태 손상, 파일스토어 암호화 버그 등 데이터 무결성에 직결된 문제들을 수정했습니다.

  • securitygolang.org/x/crypto v0.51.0 업데이트 확인 필요

    Go 1.25.10과 함께 x/crypto 의존성이 업데이트됐습니다. 조직에서 SBOM이나 CVE 추적 도구를 운영 중이라면 v2.12.9 업그레이드 후 갱신된 패키지가 제대로 반영됐는지 확인하세요. 애플리케이션 레벨에서 별도 회피 방법은 없으므로 서버 업그레이드가 유일한 조치입니다.

  • breaking암호화된 JetStream 운영 시 즉시 업그레이드 — 파일스토어 손상 위험

    암호화 모드를 전환할 때 블록 단위 데이터 손상이 발생할 수 있는 버그가 수정됐습니다(#8105, #8166). 기존 스트림에서 암호화 설정을 변경한 적이 있다면, 업그레이드 후 해당 스트림 상태를 점검하세요. 이미 손상이 발생했다면 암호화 전환 이전 스냅샷에서 복구해야 합니다.

  • enhancement신규 /varz 클라이언트 트래픽 지표를 용량 계획에 활용하세요

    새로 추가된 4개 지표를 활용하면 클러스터 내부 트래픽과 실제 클라이언트 부하를 분리해서 볼 수 있습니다. 지금 바로 Prometheus 스크레이프 설정에 추가하면 클러스터 적정 규모 산정과 트래픽 과다 클라이언트 탐지에 바로 쓸 수 있고, 커넥션별 데이터를 파싱할 필요도 없습니다.

주요 변경 (5)
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가(in/out_client_msgs, in/out_client_bytes)
  • 파일스토어 암호화 모드 전환 시 블록 단위 손상 유발 버그 수정 — 암호화된 JetStream 운영 환경에 중요
  • workqueue/interest 스트림에서 max_deliver, 퍼지, 컴팩션 이후 컨슈머 재전달 상태 오류 다수 수정
  • Raft 락 경합 시 클러스터 정보 처리 중 발생하던 데드락 수정
  • WAL 잘라내기 캐시 무효화, 체크포인트 취소, 잘린 엔트리 패닉 등 Raft 정합성 개선
원문

Emissary-Ingress

Networking & Messaging2026년 5월 19일

Emissary-Ingress v4.1.0은 Envoy를 1.37.2로 올리고, Istio mTLS 인증서 교체 실패를 유발하던 캐시 스테일 버그를 수정했습니다.

  • security업그레이드 전 Envoy 1.37.x 릴리스 노트 검토 필수

    이번 업그레이드는 Envoy 1.37.0~1.37.2 세 버전을 한 번에 포함합니다. 보안 패치뿐 아니라 xDS 필드 변경이나 동작 변경이 포함될 수 있으므로, 현재 Mapping/Ambassador 설정과 충돌하는 deprecated API가 있는지 Envoy 1.37.x 체인지로그를 사전에 확인하고 배포하세요.

  • breaking캐시 수정으로 인한 시작 시 동작 변화 검증 필요

    IR.check_deltas 수정으로 인해, 캐시가 있는 상태에서 빈 델타 스냅샷이 오면 이제는 전체 재구성이 실행됩니다. 기존의 '조용한' 동작에 의존하는 자동화 스크립트나 헬스체크가 있다면, 프로덕션 배포 전 스테이징 환경에서 먼저 검증하세요.

  • enhancementIstio와 함께 쓰는 환경이라면 즉시 업그레이드 권장

    Emissary와 Istio를 함께 운영 중이라면 이 릴리스가 직접적인 해결책입니다. 인증서 교체 시 캐시에 오래된 인증서가 남아 간헐적인 mTLS 연결 장애가 발생하던 문제(이슈 #4744)가 수정됐으며, 별도 설정 변경 없이 업그레이드만으로 해결됩니다.

주요 변경 (3)
  • Envoy 프록시 1.36.2 → 1.37.2 업그레이드 (마이너 릴리스 3개 포함)
  • IR.check_deltas 버그 수정: 빈 델타 스냅샷 수신 시 캐시된 항목을 그대로 두는 대신 전체 재구성을 강제 실행
  • 스테일 캐시로 인해 Istio mTLS 인증서 교체가 조용히 실패하던 문제 해결
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.30은 AI 트래픽용 실험적 agentgateway, 앰비언트 모드 CIDR 지원, TrafficExtension API를 도입하고, 디버그 엔드포인트 인증을 기본 활성화로 변경했습니다.

  • breaking디버그 엔드포인트 인증이 기본 활성화 — 업그레이드 전 도구 점검 필수

    ENABLE_DEBUG_ENDPOINT_AUTH=true가 기본값이 되면서 포트 15010의 syncz, config_dump 엔드포인트에 인증이 강제됩니다. 인증 없이 이 엔드포인트를 호출하는 내부 대시보드, 스크립트, 모니터링 도구는 업그레이드 후 즉시 오류가 납니다. 업그레이드 전에 포트 15010을 호출하는 모든 컴포넌트를 파악하고, 인증을 추가하거나 DEBUG_ENDPOINT_AUTH_ALLOWED_NAMESPACES로 허용 네임스페이스를 지정하세요.

  • breakingWasmPlugin에서 TrafficExtension API로 마이그레이션 계획 수립 시작

    TrafficExtension이 공식 확장 API로 지정됐고, 앞으로 신규 기능은 WasmPlugin이 아닌 TrafficExtension에만 추가됩니다. WasmPlugin이 즉시 제거되지는 않지만, 프로덕션에서 Wasm 확장을 운영 중이라면 1.31 전에 TrafficExtension으로 전환 테스트를 마쳐두는 것이 좋습니다.

  • enhancement앰비언트 모드에서 CIDR ServiceEntry로 외부 IP 라우팅 단순화

    기존에는 앰비언트 모드에서 ServiceEntry에 개별 IP를 일일이 나열해야 했습니다. CIDR 지원으로 서브넷 단위로 커버가 가능해졌으니, 동적 IP를 쓰는 외부 DB나 온프레미스 서비스의 엔드포인트 목록을 CIDR로 통합해 운영 부담을 줄이세요.

주요 변경 (5)
  • 실험적 agentgateway 도입: AI/MCP 트래픽 전용 Envoy 대체 데이터 플레인, PILOT_ENABLE_AGENTGATEWAY=true로 활성화
  • 포트 15010 디버그 엔드포인트(syncz, config_dump) 인증이 기본값으로 활성화됨 — 기존 도구 영향 주의
  • TrafficExtension API가 WasmPlugin을 대체하는 프록시 확장 메커니즘으로 지정됨
  • 앰비언트 모드에서 ServiceEntry CIDR 주소 지원, 웨이포인트 XFCC 합성, HBONE 윈도우 크기 조정 가능
  • 사이드카에서 앰비언트 모드로의 단계적·가역적 마이그레이션 가이드 공개
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.29.3은 AuthorizationPolicy 우회 취약점과 XDS 네임스페이스 간 설정 노출 문제 등 두 건의 보안 패치를 포함하며, 멀티클러스터 데드락과 AWS EKS 환경 문제도 수정했습니다.

  • security접미사 매칭 사용 중인 AuthorizationPolicy 즉시 점검 및 업그레이드 필요

    source.principals와 source.namespaces 필드에 포함된 점(.), 대괄호([) 등 정규식 메타문자가 Envoy SafeRegex에 이스케이핑 없이 삽입됐습니다. 예를 들어 'spiffe://cluster.local/ns/foo/sa/bar.admin'을 허용하는 정책이 'spiffe://cluster.local/ns/foo/sa/barXadmin' 같은 의도치 않은 identity까지 허용할 수 있었습니다. 와일드카드(*) 접두사를 사용하는 principals 규칙을 모두 점검하고, 1.29.3으로 즉시 업그레이드하세요.

  • securityXDS 디버그 엔드포인트 접근 이력 감사 필요

    StatusGen이 서빙하는 /debug/syncz와 /debug/config_dump 엔드포인트에 네임스페이스 경계 검증이 없었습니다. 네임스페이스 A의 워크로드가 네임스페이스 B의 Envoy 설정 전체를 열람할 수 있었던 셈입니다. 멀티테넌트 클러스터를 운영 중이라면 API 서버 감사 로그에서 해당 엔드포인트 접근 이력을 확인하고, 1.29.3으로 즉시 업그레이드하세요.

  • breaking멀티클러스터 운영 시 업그레이드 후 클러스터 연결/해제 동작 검증 필요

    멀티클러스터 시크릿 컨트롤러에서 원격 클러스터 업데이트 중 발생하던 데드락이 수정됐습니다. 기존에 컨트롤 플레인이 멀티클러스터 환경에서 간헐적으로 멈추는 증상을 겪었다면 이 수정으로 해결됩니다. 업그레이드 후 클러스터 조인/이탈 워크플로우를 스테이징 환경에서 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

주요 변경 (5)
  • 보안 수정: source.principals(접미사 매칭) 및 source.namespaces의 정규식 메타문자 미이스케이핑으로 인한 AuthorizationPolicy 우회 취약점 패치
  • 보안 수정: XDS 디버그 엔드포인트(/debug/syncz, /debug/config_dump)에 동일 네임스페이스 권한 검증 추가 — 기존에는 모든 인증된 워크로드가 타 네임스페이스 설정 덤프를 조회 가능했음
  • 멀티클러스터 시크릿 컨트롤러의 원격 클러스터 업데이트 중 데드락 수정
  • 리프 인증서의 NotAfter 시간이 서명 CA 만료 시간을 초과할 수 있던 문제 수정
  • AWS EKS 환경에서 Security Groups for Pods(branch ENI) 사용 시 kubelet 헬스 프로브 실패 문제 수정
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.28.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Linkerd

Networking & Messaging2026년 5월 15일

네이티브 사이드카가 GA로 승격되어 기본 활성화됐고, Server 리소스가 다른 네임스페이스 워크로드에 영향을 줄 수 없도록 보안 수정이 적용됐습니다.

  • securityServer 네임스페이스 격리 수정 — 크로스 네임스페이스 Server 리소스 즉시 점검

    Server 리소스가 자신이 속한 네임스페이스 외부 워크로드에 더 이상 영향을 줄 수 없도록 수정됐습니다. 의도적이든 실수든 크로스 네임스페이스로 작동하던 Server 정책이 있다면, 업그레이드 후 조용히 적용이 중단됩니다. 전체 네임스페이스의 Server 리소스를 점검하고 인가 정책이 여전히 의도대로 동작하는지 확인하세요.

  • breaking네이티브 사이드카 기본 활성화 — 업그레이드 전 클러스터 점검 필수

    Kubernetes init 컨테이너(restartPolicy: Always)를 사용하는 네이티브 사이드카 지원이 GA로 승격되면서 기본 활성화됐습니다. 클러스터가 Kubernetes 1.29 미만이라면 인젝션이 깨집니다. 지원되는 버전이더라도 admission webhook, 파드 라이프사이클 가정 등 워크로드 호환성을 사전에 확인하세요. 프로덕션 적용 전 스테이징에서 반드시 검증하고, 이전 동작이 필요하다면 install/upgrade 시 피처 플래그를 명시적으로 비활성화해야 합니다.

  • enhancementlinkerd-proxy PodMonitor에서 honorTimestamps 설정 가능

    Prometheus Operator를 사용 중이고 Linkerd 프록시 메트릭에서 타임스탬프 불일치(오래된 샘플, 순서 역전 등)가 발생했다면, 이제 Helm 차트에서 PodMonitor의 honorTimestamps를 직접 설정할 수 있습니다. 메트릭 수집 파이프라인에 민감한 팀이라면 다음 Helm 업그레이드 시 기본값에 맡기지 말고 명시적으로 지정하세요.

주요 변경 (6)
  • 네이티브 사이드카 인젝션 GA 승격 및 기본 활성화 — 별도 피처 게이트 불필요
  • 보안 수정: Server 리소스가 타 네임스페이스 워크로드에 영향을 줄 수 없도록 제한
  • 멀티클러스터 환경의 게이트웨이 liveness 동기화 개선
  • rustls 0.23.40, openssl, aws-lc-rs 업데이트로 암호화 스택 갱신
  • 프록시 v2.352.0, Go 툴체인 1.25.10, Helm 3.21.0으로 업그레이드
  • linkerd-proxy PodMonitor의 honorTimestamps 설정 가능해짐
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.19.4는 크래시 방지, IPsec 안정성, Cluster Mesh 정확성 등 20개 이상의 버그를 수정한 안정성 중심 패치 릴리스입니다.

  • securitymoby/spdystream 보안 픽스 포함 — 즉시 업그레이드 권장

    github.com/moby/spdystream가 v0.5.1로 보안 업데이트됐습니다. 이 의존성은 Kubernetes API 통신 경로에서 사용됩니다. 릴리스 노트에 CVE 번호는 명시되지 않았지만, v1.19.3을 유지하면 노출이 지속됩니다. 업그레이드를 서두르세요.

  • breaking수동 관리 EndpointSlice에 service-proxy-name 레이블 추가 필수

    --k8s-service-proxy-name을 설정하고 EndpointSlice를 직접 관리하는 경우, 업그레이드 후 service.kubernetes.io/service-proxy-name 레이블이 없는 슬라이스는 Cilium 감시 대상에서 완전히 제외됩니다. 트래픽 단절로 이어지므로 업그레이드 전에 반드시 수동 관리 슬라이스를 점검하고 누락된 레이블을 추가하세요.

  • enhancementIPsec, WireGuard, Cluster Mesh 사용 환경은 이번 패치 우선 적용

    이번 릴리스에 데이터 플레인 안정성 핵심 수정 세 가지가 포함됩니다. IPsec 키 교체 중 롤링 재시작 시 패킷 드롭, MTU 제약 환경에서 IPv6 + WireGuard 무음 패킷 손실, 다중 포트 서비스에서 Cluster Mesh 백엔드 누락이 모두 해소됩니다. 이 기능 중 하나라도 사용 중이라면 이번 패치를 업그레이드 우선순위 1순위로 올리세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 에이전트가 Fatal 대신 재시도하도록 수정
  • IPsec 롤링 재시작 + 키 교체 시 패킷 드롭 수정: XFRM 상태 준비 완료 후 SPI 광고 지연 처리
  • IPv6 활성화 시 WireGuard MTU를 최솟값(1280)으로 고정해 터널+암호화 환경의 무음 패킷 손실 방지
  • EndpointSlice 감시가 서비스 프록시 이름 레이블 기준으로 필터링됨 — 수동 관리 슬라이스에 레이블 추가 필요
  • 여러 서비스 포트가 동일 대상 포트를 공유할 때 Cluster Mesh 글로벌 서비스 백엔드 누락 문제 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

v1.17.16은 CiliumLocalRedirectPolicy의 네임스페이스 간 트래픽 하이재킹 취약점, IPsec 에이전트 패닉, 스태틱 파드 ID 해석 오류를 수정한 패치 릴리스입니다.

  • security업그레이드 전 LRP addressMatcher 설정 점검 필수

    이번 LRP addressMatcher 변경은 실제 공격 경로를 막은 것입니다. 기존에는 한 네임스페이스의 정책이 다른 네임스페이스의 Service 프론트엔드를 덮어쓰고 트래픽을 가로챌 수 있었습니다. 업그레이드 후에는 기존 Service 프론트엔드와 겹치는 addressMatcher를 가진 LRP가 조용히 동작을 멈춥니다 — 트래픽 리다이렉션이 예상대로 작동하지 않을 수 있습니다. 업그레이드 전에 모든 CiliumLocalRedirectPolicy 오브젝트의 addressMatcher 항목이 기존 Service와 충돌하는지 확인하세요. 기존 동작이 꼭 필요하다면 --enable-lrp-address-matcher-override=true 플래그를 사용할 수 있지만, 이는 임시 방편으로만 쓰고 정책을 재설계하는 것이 맞습니다.

  • securityIPsec 사용 중이라면 즉시 업그레이드 — 에이전트 크래시 위험

    parseSPI 패닉 취약점은 잘못된 형식의 IPsec 패킷 하나로 Cilium 에이전트를 크래시시킬 수 있어, 해당 노드의 네트워킹 전체가 다운될 수 있습니다. IPsec 투명 암호화를 사용하는 클러스터라면 단순한 서비스 거부(DoS) 위험이 됩니다. 복잡한 공격 기법이 필요 없기 때문에 IPsec 환경이라면 v1.17.16으로 빠르게 업그레이드하세요.

  • breakingLRP addressMatcher 동작 변경 — 하위 호환성 없음

    단순한 버그 수정이 아닌 동작 방식 자체가 바뀐 변경입니다. Service ClusterIP나 외부 IP와 겹치는 addressMatcher를 사용하는 LRP는 이전에는 동작했더라도 이제는 거부되거나 무시됩니다. 운영 환경에 적용하기 전에 반드시 비운영 환경에서 LRP 설정을 검증하세요. --enable-lrp-address-matcher-override=true 플래그로 이전 동작을 되살릴 수는 있지만, 그것은 취약점이 있는 동작을 다시 허용하는 셈임을 명심하세요.

주요 변경 (5)
  • CiliumLocalRedirectPolicy addressMatcher가 기존 Service 프론트엔드 덮어쓰기를 차단 — 네임스페이스 간 트래픽 하이재킹 및 서비스 맵 손상 방지, 기존 동작은 별도 플래그로 복원 가능
  • IPsec: 잘못된 형식의 SPI 입력 처리 시 parseSPI에서 발생하던 패닉 수정 — 에이전트 크래시 위험 제거
  • CNI 파드 UID가 쿠버네티스 미러 파드 UID와 다른 스태틱 파드의 엔드포인트 ID 해석 오류 수정
  • CiliumNode 동기화 관련 클러스터 풀 IPAM 메트릭이 쿠버네티스에 제대로 등록되지 않던 문제 수정
  • 보안 의존성 업데이트: moby/spdystream v0.5.1로 업그레이드 (보안 패치)
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.18.10은 에이전트 크래시, IPsec 패닉, Cluster Mesh 백엔드 누락, IPAM 데이터 레이스를 수정한 안정성 패치 릴리스입니다.

  • securitymoby/spdystream 및 x/net 보안 업데이트 포함

    github.com/moby/spdystream 보안 수정과 x/net v0.53 업그레이드가 함께 포함됐습니다. 두 패키지 모두 네트워크 계층 의존성입니다. 전이적 의존성 CVE까지 추적하는 정책을 운영 중이라면 이번 패치만으로도 업그레이드 이유는 충분합니다.

  • breakingIPsec 패닉 위험 해소를 위한 암호화 클러스터 즉시 업그레이드

    잘못된 형식의 IPsec 입력이 들어올 경우 parseSPI에서 패닉이 발생해 에이전트 프로세스 전체가 중단될 수 있습니다. IPsec 암호화를 사용 중이라면 우선순위 업그레이드 대상으로 분류하세요. 잘못된 패킷 하나나 설정이 맞지 않는 피어 노드만으로도 에이전트가 죽을 수 있습니다.

  • enhancement타겟 포트 공유 서비스를 쓰는 Cluster Mesh 환경은 반드시 업그레이드

    여러 포트가 같은 타겟 포트를 가리키는 서비스에서 글로벌 백엔드가 조용히 누락되는 버그가 있었습니다. 단일 클러스터 내에서는 정상 동작하지만 크로스 클러스터 라우팅이 실패하는 증상이 나타납니다. 업그레이드 후 hubble observe나 서비스 엔드포인트 점검으로 영향받은 서비스를 직접 확인하세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 Fatal 종료 대신 재시도하도록 수정
  • 잘못된 SPI 입력으로 인한 IPsec 패닉 수정 — 암호화 클러스터의 노드 중단 방지
  • 여러 서비스 포트가 동일한 타겟 포트를 가리킬 때 Cluster Mesh 글로벌 서비스 백엔드가 누락되던 문제 수정
  • CiliumLocalRedirectPolicy가 백엔드 파드 준비 전에 기존 서비스 프런트엔드를 덮어쓰던 문제 수정
  • MultiPoolManager IPAM 데이터 레이스 해결 및 보안 패치 포함한 x/net v0.53 업그레이드
원문

Linkerd

Networking & Messaging2026년 5월 1일

의존성 업데이트 중심의 일반적인 엣지 릴리스이며, 멀티클러스터 서비스 정리 버그 수정과 최소 지원 쿠버네티스 버전의 1.31 상향이 주요 변경 사항입니다.

  • securityRust TLS 관련 크레이트 일괄 업데이트

    aws-lc-rs 1.16.3, rustls-webpki 0.103.13, rustls-pki-types 1.14.1이 한 번에 업데이트됐습니다. 명시적인 CVE는 없지만, 이 패키지들은 Linkerd mTLS의 암호화 기반입니다. 보안 요구사항이 엄격한 환경이라면 이전 엣지 버전 대신 이 릴리스를 채택하는 근거가 됩니다.

  • breaking쿠버네티스 최소 지원 버전이 1.31로 상향됨

    MSKV가 1.31로 올라가면서 1.30 이하 클러스터는 공식 지원 범위를 벗어납니다. 이 엣지 릴리스를 적용하기 전에 클러스터 버전을 반드시 확인하세요. 아직 1.30을 사용 중이라면 쿠버네티스를 먼저 업그레이드하거나, 이 릴리스 적용을 보류하는 것이 맞습니다.

  • enhancement멀티클러스터 사용 시 업그레이드 후 미러 서비스 상태 점검 권장

    여러 네임스페이스에 걸쳐 멀티클러스터 서비스를 운영 중이라면, 이전 버전의 정리 로직이 의도치 않게 다른 네임스페이스에 영향을 줬을 가능성이 있습니다. 업그레이드 후에는 미러링된 서비스가 올바른 상태인지 확인하세요. 특히 기본 네임스페이스 외에 스테일 미러나 예상치 못한 서비스 삭제가 발생한 적 있다면 반드시 점검이 필요합니다.

주요 변경 (6)
  • 멀티클러스터 서비스 정리 로직이 네임스페이스 범위를 올바르게 준수하도록 수정
  • CLI Gateway API 버전 안내 오류 수정
  • 게이트웨이 배포를 위한 Helm 값 `gateway.healthCheckNodePort` 신규 추가
  • Destination 컨트롤러의 shared-filtering 로직 리팩터링
  • 최소 지원 쿠버네티스 버전(MSKV) 1.31로 상향
  • Rust 의존성 다수 업데이트: hyper 1.9.0, tokio 1.52.1, aws-lc-rs 1.16.3, rustls-webpki 0.103.13
원문

NATS

Networking & Messaging2026년 4월 30일

NATS v2.14.0은 2.13.x를 건너뛰고 출시됐습니다. JetStream 스케줄링, 고속 배치 퍼블리싱, 컨슈머 리셋 API, Raft 데이터 손실 방지 수정이 핵심입니다. 업그레이드 전 마이그레이션 가이드 확인이 필수입니다.

  • breaking2.13.x 건너뜀 — 반드시 2.14 업그레이드 가이드를 먼저 읽으세요

    이번 릴리스는 2.12.x에서 바로 2.14.x로 올라갑니다. ACL로 JetStream ACK·플로우 컨트롤 주제를 제어하고 있다면 지금 당장 주목해야 합니다. 새 도메인 인식 형식($JS.ACK.domain.acchash.stream.consumer.>)은 현재 기본 비활성이지만 v2.15에서 기본 활성화됩니다. v2.15 업그레이드 전에 ACL 규칙을 미리 업데이트해 두세요.

  • breakingRaft 스냅샷 손상 시 기동 거부 — 복구 절차를 미리 검증하세요

    기존에는 스냅샷이 손상되거나 로그와 정렬이 맞지 않아도 노드가 조용히 기동됐습니다. 이제는 기동 자체를 거부합니다. 올바른 방향이지만, 비정상 종료를 경험한 클러스터가 있다면 업그레이드 전에 스냅샷 무결성을 먼저 점검하세요. 운영 런북에도 이 시나리오의 복구 절차를 추가해 두는 게 좋습니다.

  • enhancementConsumer Reset API로 컨슈머 재설정 작업이 훨씬 간단해졌습니다

    기존에는 컨슈머를 이전 시퀀스로 되돌리려면 삭제 후 재생성하는 번거로운 과정이 필요했습니다. 새 $JS.API.CONSUMER.RESET API를 쓰면 그 자리에서 바로 되감기가 됩니다. 컨슈머 재처리나 장애 복구 시나리오를 다루는 내부 도구나 런북이 있다면 이 API를 쓰도록 업데이트하세요.

주요 변경 (5)
  • JetStream 고속 배치 퍼블리싱 지원 (ADR-50)
  • Nats-Schedule 헤더로 반복/크론 기반 메시지 스케줄링 추가 (ADR-51)
  • 컨슈머 삭제 없이 이전 시퀀스로 되돌리는 Consumer Reset API 도입
  • 도메인 인식 ACK/FC 주제 형식 추가 (js_ack_fc_v2 플래그, v2.15에서 기본값으로 전환 예정)
  • 스냅샷이 손상되거나 없을 경우 Raft 노드 기동 거부로 데이터 손실 방지
원문

Strimzi

Networking & Messaging2026년 4월 28일

Strimzi 1.0.0은 v1 이전의 모든 CRD API를 제거했습니다. 업그레이드 전 CRD 변환이 필수이며, Kafka 4.1.2 지원, HTTP Bridge TLS, 환경 변수 기반 rack awareness도 추가됐습니다.

  • breaking업그레이드 전 모든 CRD를 v1 API로 반드시 변환할 것

    Strimzi 1.0.0은 v1beta2, v1beta1, v1alpha1을 완전히 제거했습니다. 기존 커스텀 리소스가 이전 API 버전을 사용하고 있으면, 업그레이드 후 오퍼레이터가 해당 리소스를 조정하지 않아 클러스터 관리가 조용히 멈춥니다. KafkaTopic, KafkaUser도 별도 구버전 API가 있었으므로 반드시 포함해서 변환해야 합니다. Strimzi 공식 문서의 CRD 변환 절차를 먼저 완료한 뒤 업그레이드를 진행하세요.

  • enhancementRack awareness를 환경 변수 방식으로 전환해 ClusterRoleBinding 제거 가능

    새로 추가된 type: environment-variable rack awareness는 Kubernetes API 조회 대신 환경 변수에서 토폴로지 정보를 읽으므로 ClusterRoleBinding이 필요 없습니다. RBAC 정책이 엄격하거나 멀티 테넌트 클러스터를 운영 중이라면 전환을 검토할 만합니다. Kafka CR의 rack 설정에서 type 필드만 수정하면 되고, 인프라 변경은 필요하지 않습니다.

  • enhancementUseConnectBuildWithBuildah 기본 활성화 — Connect 빌드 파이프라인 사전 검증 필요

    이 피처 게이트가 베타로 승격되면서 Kafka Connect 커넥터 빌드의 기본 도구가 Buildah로 바뀝니다. Kaniko 고유 동작에 의존하거나 커스텀 빌드 설정이 있다면, 운영 환경 업그레이드 전에 스테이징에서 빌드를 먼저 검증하세요. 레이어 캐싱 방식이나 레지스트리 인증 처리에서 동작 차이가 나타날 수 있습니다.

주요 변경 (5)
  • v1beta2, v1beta1, v1alpha1 CRD API 완전 제거 — v1만 지원
  • Kafka 4.1.2 공식 지원 추가, Kafka 4.2.0 이미지도 포함
  • HTTP Bridge에 TLS/SSL 지원 추가
  • ClusterRoleBinding 없이 동작하는 환경 변수 기반 rack awareness 신규 지원
  • UseConnectBuildWithBuildah 피처 게이트가 베타로 승격되어 기본 활성화
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.12.8은 JetStream 클러스터 안정성과 Raft 엣지 케이스, /connz 모니터링 API의 JWT 노출 보안 취약점을 집중적으로 수정한 버그픽스 릴리스입니다.

  • security즉시 패치 필요: /connz가 Bearer JWT를 노출하고 있었습니다

    JWT 기반 인증을 사용하는 환경에서 /connz 모니터링 엔드포인트가 내부망이라도 접근 가능했다면, Bearer 토큰이 응답에 그대로 포함되어 있었습니다. 지금 당장 v2.12.8로 업그레이드하고, 노출되었을 가능성이 있는 JWT를 모두 교체하세요. 즉시 업그레이드가 어렵다면 방화벽이나 NATS 모니터링 인증으로 /connz 접근을 제한해야 합니다.

  • securityCLI 인자 시크릿, 과거 로그도 점검하세요

    라우트·클러스터 URL에 포함된 자격증명이 CLI 인자로 전달될 경우 이전까지 모니터링 출력에 그대로 노출됐습니다. v2.12.8로 업그레이드한 뒤, 로그 수집 파이프라인이나 모니터링 대시보드에 기록된 과거 데이터도 점검하시기 바랍니다.

  • enhancementJetStream 클러스터 운영 중 간헐적 오류가 있었다면 이번 업그레이드가 답입니다

    스냅샷에서의 스트림 리더 복구, 텀 불일치 시 Raft 커밋 인덱스 리셋, 인-플라이트 상태의 스트림·컨슈머 정보 조회 실패, 프로포절 실패로 인한 'last sequence mismatch' 오류 등 다수의 엣지 케이스가 한꺼번에 수정됐습니다. 이런 증상을 경험한 적 있다면 우선순위를 높여 업그레이드하고, 이후 스케일링 작업 중 스트림·컨슈머 info 엔드포인트 오류율 변화를 모니터링하세요.

주요 변경 (5)
  • /connz 엔드포인트에서 Bearer JWT가 노출되던 보안 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL 시크릿을 모니터링 출력에서 마스킹 처리
  • 컨슈머 일시정지 엔드포인트, 스트림 업데이트 후 스케일링, 레거시 Raft 스냅샷 복구 시 발생하던 패닉 수정
  • 리프노드 재접속 및 프로포절 오류 상황에서 스트림 소싱 중복 메시지 발생 버그 해결
  • 컨슈머 시작 시퀀스 스캔이 비동기로 전환되어 메타레이어 일시 중단으로 인한 지연 제거
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.11.17은 /connz 모니터링 엔드포인트의 JWT 토큰 노출 등 보안 결함과 다수의 안정성 버그를 수정한 패치 릴리스입니다.

  • security즉시 패치: /connz에서 Bearer JWT가 노출됐습니다

    모니터링 포트(기본 8222)가 내부망이라도 접근 가능한 환경이라면 긴급 패치 대상입니다. 노출된 Bearer 토큰은 재사용 공격(replay attack)에 악용될 수 있습니다. 2.11.17로 즉시 업그레이드하고, 모니터링 엔드포인트에 접근 이력이 있는 경우 관련 JWT를 전부 교체하세요. 당장 업그레이드가 어렵다면 방화벽으로 모니터링 포트를 우선 차단하십시오.

  • securityCLI 인자의 시크릿이 모니터링 출력에 노출됐습니다

    라우트·클러스터 URL에 자격증명을 직접 포함해 CLI로 전달하는 구성이라면, 해당 시크릿이 모니터링 출력에 그대로 표시됐습니다. 과거 모니터링 로그를 점검하고 노출 가능성이 있는 자격증명을 교체하세요. 장기적으로는 CLI 인자 대신 설정 파일이나 환경 변수 기반 시크릿 주입 방식으로 전환하는 게 좋습니다.

  • breaking반복 CONNECT 처리 방식 변경 — 커스텀 클라이언트 동작 확인 필요

    동일 연결에서 CONNECT 메시지를 여러 번 보내면 이제 구독 목록이 초기화됩니다. 표준적이지 않은 연결 패턴을 사용하는 커스텀 클라이언트나 인하우스 구현체가 있다면, 프로덕션 업그레이드 전에 구독이 예기치 않게 사라지는 현상이 없는지 반드시 검증하세요.

주요 변경 (5)
  • /connz 모니터링 엔드포인트에서 Bearer JWT가 노출되던 자격증명 유출 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL의 시크릿이 모니터링 출력에서 가려지도록 수정
  • 동일 연결에서 CONNECT 메시지가 반복될 경우 구독 목록을 올바르게 초기화하도록 수정
  • 자정을 넘는 유효 기간을 가진 JWT claims의 검증 오류 수정
  • 리프노드 압축 협상 시 발생 가능한 패닉 및 메시지 헤더 설정 시 입력 버퍼가 변조되던 버그 수정
원문

Linkerd

Networking & Messaging2026년 4월 24일

OpenSSL·rustls 보안 패치, Gateway 라우트 어드미션 웹훅 버그 수정, 인젝터의 어노테이션→메트릭 레이블 변환 개선이 포함된 유지보수 중심 엣지 릴리스입니다.

  • securityOpenSSL·rustls-webpki 패치 즉시 적용 권고

    이번 릴리스에 OpenSSL 크레이트가 두 번 업그레이드되고 rustls-webpki도 갱신됐습니다. 모두 프록시 TLS 스택에 위치한 의존성입니다. 보안 민감한 환경에서 Linkerd 엣지 빌드를 운영 중이라면, 다음 스테이블 릴리스를 기다리지 말고 edge-26.4.4로 업그레이드하는 것이 낫습니다.

  • breakingGateway 라우트 정책 우회 설정 검토 필요

    어드미션 웹훅이 Linkerd가 지원하지 않는 필드를 포함한 Gateway 라우트도 전체 검증하면서 정상 라우트가 거부되던 문제가 수정됐습니다. 이 버그를 피하기 위해 라우트 구성을 변경한 적 있다면, 해당 우회책이 여전히 필요한지, 혹은 실제 설정 오류를 가리고 있지는 않은지 지금 점검해야 합니다.

  • enhancement커스텀 Helm 오버라이드 사용 시 드라이런으로 확인하세요

    차트 설치 시 오버라이드 값이 적용되지 않던 버그가 수정됐습니다. 설치 자동화에서 특정 오버라이드 패턴을 사용하고 있다면, 프로덕션 배포 전에 이 버전으로 드라이런을 실행해 최종 values가 기대값과 일치하는지 반드시 검증하세요.

주요 변경 (5)
  • OpenSSL 크레이트 두 차례 업그레이드(0.10.76→0.10.78)와 rustls-webpki 패치 — 프록시 TLS 스택에 직접 영향
  • 지원되지 않는 필드가 포함된 Gateway 라우트에서 어드미션 웹훅이 불필요한 검증을 건너뛰도록 수정
  • 인젝터의 어노테이션→메트릭 레이블 변환 로직 강화로 엣지 케이스 레이블 오염 방지
  • Helm 차트 설치 시 오버라이드 값이 제대로 적용되도록 수정 — 오래된 설치 커스터마이징 버그 해소
  • proxy-init v2.4.8, cni-plugin v1.6.7, 프록시 v2.350.0으로 갱신
원문

Envoy

Networking & Messaging2026년 4월 23일

v1.38은 대형 릴리스로, RSA 키 사용 강제 적용, BoringSSL 빌드 플래그 변경, tcp_proxy 설정 검증 등 즉각 조치가 필요한 브레이킹 체인지가 여럿 포함됩니다.

  • securityCVE-2026-27135 패치 — HTTP/2 사용 시 v1.38로 업그레이드 우선 검토

    이번 릴리스에 nghttp2의 CVE-2026-27135 패치가 포함됩니다. Envoy를 HTTP/2 게이트웨이나 프록시로 운용 중이라면 직접적인 노출 가능성이 있습니다. HTTP/2 트래픽을 처리하는 클러스터부터 업그레이드를 우선 적용하세요. RBAC 헤더 매처의 연결 기반 우회 공격 수정도 함께 포함되어 있어 보안 측면에서 이번 업그레이드는 권장 수준을 넘어섭니다.

  • breaking업그레이드 전 TLS 설정 전수 점검 — RSA 키 사용 이제 강제 적용

    enforce_rsa_key_usage가 이번 릴리스부터 기본 true로 바뀌었고, 다음 릴리스에서는 옵션 자체가 삭제됩니다. 인증서의 키 사용(Key Usage) 확장이 협상된 암호와 맞지 않으면 업스트림 연결이 즉시 거부됩니다. 업그레이드 전에 업스트림 인증서 설정을 점검하고, 스테이징 환경에서 먼저 테스트하세요. 운영 환경에서 실패하면 연결 리셋으로만 나타나 원인 파악이 어렵습니다.

  • breakingBoringSSL FIPS 빌드 파이프라인 수정 필수

    --define=boringssl=fips Bazel 플래그가 완전히 제거됩니다. FIPS 모드로 Envoy를 빌드하는 CI/CD 파이프라인이나 Dockerfile은 오류가 발생합니다. --config=boringssl-fips로 교체하세요. 공식 바이너리를 사용한다면 직접 영향은 없지만, 커스텀 빌드를 유지 중이라면 파이프라인 수정을 v1.38 적용 전에 완료해야 합니다.

  • enhancementOTel 메트릭을 OTLP/HTTP로 직접 전송 — 콜렉터 사이드카 제거 가능

    OpenTelemetry 스탯 싱크가 이제 콜렉터 사이드카 없이 OTLP/HTTP로 직접 메트릭을 전송할 수 있습니다. Envoy 메트릭 수집만을 위해 otel-collector를 DaemonSet으로 운용 중이라면 아키텍처를 단순화할 기회입니다. Grafana Cloud나 Honeycomb 같은 백엔드로 직접 전송이 가능한지 검토해 운영 복잡도를 줄이세요.

주요 변경 (6)
  • enforce_rsa_key_usage가 업스트림 TLS 컨텍스트에서 기본값 true로 변경 — 인증서 키 사용이 맞지 않으면 연결 거부
  • BoringSSL FIPS 빌드 플래그가 --define=boringssl=fips에서 --config=boringssl-fips로 변경
  • tcp_proxy에서 IMMEDIATE 이외의 upstream_connect_mode 사용 시 max_early_data_bytes 명시 필수, 미설정 시 시작 시점에 검증 실패
  • nghttp2의 CVE-2026-27135 패치 적용
  • OAuth2 토큰 암호화가 기본 활성화로 전환, 비활성화하려면 disable_token_encryption 명시 필요
  • 동적 모듈에 트레이서, TLS 검증기, 커스텀 LB 정책 등 확장 포인트 대폭 추가, v1.39 바이너리와의 ABI 전방 호환 보장
원문

Contour

Networking & Messaging2026년 4월 20일

v1.33.4는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. Envoy 1.35.0 이상이 필수 요건이므로 즉시 업그레이드해야 합니다.

  • securityCVE-2026-41246 즉시 패치 — 공유 Envoy 환경에서 임의 코드 실행 위험

    HTTPProxy 리소스를 생성하거나 수정할 수 있는 RBAC 권한이 있다면, pathRewrite 값을 조작해 Envoy 안에서 임의 Lua 코드를 실행할 수 있습니다. Envoy가 여러 테넌트 사이에서 공유되는 환경에서는 xDS 클라이언트 인증 정보 탈취나 서비스 거부 공격으로 이어질 수 있어 파급 범위가 넓습니다. Contour를 v1.33.4로 업그레이드하고, 배포 전에 Envoy 버전이 1.35.0 이상인지 반드시 확인하세요. 심층 방어 차원에서 HTTPProxy 쓰기 권한도 신뢰할 수 있는 주체로만 제한하도록 RBAC 정책을 점검하는 게 좋습니다.

  • breakingEnvoy 1.35.0 필수 요건 — 업그레이드 전 버전 확인 필수

    새로운 filterContext 기반 Lua 방식 때문에 Envoy 1.35.0 미만 버전에서는 정상 동작하지 않습니다. Envoy 이미지를 직접 관리하거나 버전을 고정해 사용한다면 Contour 업그레이드 전에 Envoy를 먼저 올려야 합니다. 공식 매니페스트를 그대로 사용한다면 번들 Envoy가 이미 v1.35.10이라 별도 조치는 불필요하지만, 커스텀 환경이나 에어갭 환경은 별도로 확인해야 합니다.

  • enhancement업그레이드 여부와 관계없이 HTTPProxy RBAC 점검 권장

    취약점 패치 후에도 근본적인 공격 경로는 HTTPProxy 리소스에 대한 넓은 쓰기 권한입니다. HTTPProxy 생성/수정 권한은 애플리케이션 개발자가 아닌 플랫폼 운영자 수준으로 좁히는 방향이 바람직합니다. 멀티 테넌트 환경일수록 이런 권한 분리가 장기적으로 더 효과적인 통제 수단이 됩니다.

주요 변경 (4)
  • CVE-2026-41246 수정: cookieRewritePolicies pathRewrite 값을 통한 Lua 코드 인젝션으로 Envoy 내 임의 코드 실행 가능
  • Cookie Rewriting 구현 방식 변경: text/template 기반 Lua 코드 생성 방식 제거, 정적 Lua 스크립트 + filterContext 구조 데이터 방식으로 전환
  • Envoy 1.35.0 이상이 이번 릴리스의 하드 최소 요건으로 지정됨
  • 번들 Envoy 버전이 v1.35.10으로 업데이트됨
원문

Contour

Networking & Messaging2026년 4월 20일

v1.32.5는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. 멀티테넌트 환경이라면 즉시 업그레이드해야 합니다.

  • security멀티테넌트 클러스터라면 CVE-2026-41246 즉시 패치

    신뢰할 수 없는 사용자나 팀이 HTTPProxy 리소스를 생성·수정할 RBAC 권한을 갖고 있다면 직접적인 위협에 노출된 상태입니다. 공격자는 pathRewrite.value에 Lua 문자열 컨텍스트를 탈출하는 값을 심어 Envoy 내에서 코드를 실행할 수 있습니다. Envoy는 공유 인프라이므로 xDS 클라이언트 인증서 탈취나 동일 인스턴스를 사용하는 다른 테넌트 서비스 장애로 이어질 수 있습니다. 지금 바로 v1.32.5로 업그레이드하고, 업그레이드 전까지는 HTTPProxy의 create/update 권한을 최소한으로 줄이세요.

  • breaking업그레이드 후 기존 cookieRewritePolicies 동작 검증 필요

    이번 수정으로 pathRewrite.value 입력값에 이스케이프 처리가 추가됩니다. 백슬래시나 따옴표 같은 특수문자가 포함된 값은 Lua 삽입 전 이스케이프되어 런타임 동작이 달라질 수 있습니다. cookieRewritePolicies[].pathRewrite.value를 사용하는 HTTPProxy 리소스가 있다면 스테이징 환경에서 쿠키 재작성 동작을 반드시 확인하세요.

  • enhancementEnvoy v1.34.14 번들 포함 — 별도 조치 불필요

    Envoy 업데이트는 Contour 이미지에 이미 포함되어 있습니다. 단, Envoy를 Contour와 별도로 관리하는 구성이라면 해당 Envoy 이미지도 v1.34.14로 맞춰 Contour의 테스트 환경과 일치시키세요.

주요 변경 (5)
  • CVE-2026-41246 수정: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • HTTPProxy RBAC 쓰기 권한이 있는 공격자가 공유 Envoy 프록시 내에서 임의 코드 실행 가능
  • 인젝션된 코드로 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스의 다른 테넌트 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입하기 전 이스케이프 처리하는 방식으로 수정
  • Envoy v1.34.14로 업데이트
원문

Contour

Networking & Messaging2026년 4월 20일

Contour v1.31.6은 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 패치합니다. 공유 Envoy 인프라에서 임의 코드 실행으로 이어질 수 있는 심각한 결함입니다.

  • security비신뢰 사용자에게 HTTPProxy 쓰기 권한이 있다면 즉시 패치해야 합니다

    CVE-2026-41246은 멀티테넌트 클러스터에서 특히 위험합니다. HTTPProxy 리소스에 쓰기 권한을 가진 사용자라면 Envoy에 임의 Lua 코드를 주입할 수 있고, Envoy가 공유 인프라인 만큼 피해 범위가 다른 테넌트와 xDS 자격증명까지 미칩니다. v1.31.6으로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면, 기존 HTTPProxy 오브젝트의 pathRewrite 값을 점검하고 HTTPProxy 쓰기 권한을 신뢰할 수 있는 주체로만 제한하세요.

  • enhancementHTTPProxy 쓰기 RBAC 권한을 전면 재검토하세요

    이번 취약점 유형은 사용자 입력값이 코드에 직접 삽입되는 구조적 위험에서 비롯됩니다. 패치 적용과 별개로, HTTPProxy·HTTPRoute 등 프록시 설정을 제어하는 커스텀 리소스 전반에 최소 권한 RBAC을 적용할 타이밍입니다. 네임스페이스 범위 RBAC과 pathRewrite 값을 검증하는 어드미션 웹훅을 패치에 더해 함께 적용하면 방어 심도를 높일 수 있습니다.

주요 변경 (4)
  • CVE-2026-41246 보안 패치: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • 공격 성공 시 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스를 공유하는 테넌트에 대한 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입 전 이스케이프 처리하는 방식으로 수정 — API 변경 없음
  • Envoy v1.34.14로 업그레이드
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.19.3은 메모리 누수, 패닉, 네트워크 동작 오류를 집중적으로 수정한 버그픽스 릴리스입니다. DSR 모드, WireGuard 듀얼스택, IPAM 엣지 케이스가 주요 수정 대상입니다.

  • securitygo-jose 보안 업데이트 확인

    go-jose/go-jose가 보안 목적으로 v4.1.4로 업데이트됐습니다. 이 라이브러리는 JWT/토큰 처리에 관여합니다. SBOM 감사나 공급망 보안 검사를 운영 중이라면 이 의존성 버전 변경을 반드시 반영하세요.

  • breaking듀얼스택 IPAM 충돌 위험 — 즉시 업그레이드 필요

    듀얼스택 cluster-pool IPAM 환경에서 중복 IPv6 PodCIDR이 있을 때 오퍼레이터를 재시작하면 IPv4 PodCIDR이 잘못 해제되어 다른 노드에 재할당될 수 있습니다. 노드 간 IP 충돌로 이어지는 데이터플레인 정확성 문제입니다. 다음 오퍼레이터 재시작 전에 v1.19.3으로 업그레이드하고, 업그레이드 후 각 노드의 PodCIDR 할당 상태를 확인하세요.

  • enhancement메모리 누수 수정 — 정책 변경이 잦은 환경이라면 우선 적용

    두 가지 메모리 누수가 패치됐습니다. 하나는 정책 점진적 업데이트, 다른 하나는 정책 생성·삭제 반복 시 발생합니다. CI 네임스페이스, 멀티테넌트 플랫폼, GitOps 기반 정책 관리 환경처럼 NetworkPolicy 변경이 잦은 클러스터라면 Cilium 에이전트 메모리가 시간이 지날수록 꾸준히 증가하는 현상을 겪었을 수 있습니다. 업그레이드 후 롤링 재시작만으로 충분하며, 별도 설정 변경은 필요 없습니다.

주요 변경 (5)
  • 정책 점진적 업데이트와 정책 생성/삭제 사이클 각각에서 발생하는 두 가지 별도 메모리 누수 수정
  • DSR 모드 NodePort 수정: SocketLB 비활성 상태에서 백엔드가 로컬일 때 원격 노드 IP를 통한 Pod→NodePort 접근 실패 해결
  • WireGuard 듀얼스택 수정: IPv6 언더레이 설정이 피어 엔드포인트 선택 시 무시되던 문제 해결
  • 듀얼스택 cluster-pool IPAM 버그 수정: 중복 IPv6 PodCIDR 존재 시 오퍼레이터 재시작 후 IPv4 PodCIDR이 잘못 해제·재할당될 수 있던 문제
  • go-jose/go-jose 보안 업데이트 v4.1.4 포함
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.18.9는 메모리 누수, 패닉, 로드밸런서 오동작 등 프로덕션 장애로 이어질 수 있는 버그들을 집중 수정한 패치 릴리스입니다.

  • securitygo-jose 보안 패치 포함 — 인증 기능 사용 시 우선 적용

    go-jose/go-jose/v4가 보안 이슈로 v4.1.4로 업데이트되었습니다. Cilium의 상호 인증(mutual auth)이나 JWT/JOSE 관련 기능을 활성화한 환경이라면 해당 취약점에 노출되어 있을 수 있으므로 이번 업그레이드를 우선순위에 두십시오.

  • breaking이중 스택 IPAM 재할당 위험 — 즉시 업그레이드 필요

    cluster-pool IPAM으로 이중 스택을 운영 중이라면, 중복 IPv6 PodCIDR이 존재하는 상태에서 오퍼레이터가 재시작될 때 노드의 IPv4 PodCIDR이 해제되어 다른 노드에 재할당될 수 있습니다. IP 충돌과 파드 네트워킹 장애로 직결됩니다. 다음 정기 점검이나 오퍼레이터 재시작 전에 반드시 1.18.9로 올리십시오.

  • enhancement정책 변동이 잦은 환경의 메모리 누수 해소

    정책 증분 업데이트와 빈번한 정책 생성/삭제로 발생하는 메모리 누수 경로 두 곳이 모두 막혔습니다. CI 환경, 멀티테넌트 클러스터, 네임스페이스가 자주 배포되는 환경에서 에이전트 메모리가 서서히 증가하는 현상을 경험했다면 업그레이드 후 수 시간에서 하루 정도 메모리 기준선이 안정화되는지 확인하십시오.

주요 변경 (5)
  • 정책 증분 업데이트와 정책 생성/삭제 반복으로 각각 발생하던 메모리 누수 두 건 수정
  • 로드밸런서 백엔드 슬롯 간격 버그 수정 — 유지보수 백엔드가 존재할 때 트래픽이 잘못된 엔드포인트로 라우팅될 수 있던 문제
  • 이중 스택 cluster-pool IPAM 버그 수정 — 중복 IPv6 PodCIDR 상태에서 오퍼레이터 재시작 시 IPv4 PodCIDR이 다른 노드에 재할당될 수 있던 문제
  • init identity에 멈춰 있던 스태틱 파드 엔드포인트 문제 해결
  • configDriftDetection Helm 값 추가 및 go-jose 보안 의존성 업데이트
원문

Cilium

Networking & Messaging2026년 4월 15일

v1.17.15는 메모리 누수, 엔드포인트 재생성 중단, IPAM 데이터 오염, 정책 업데이트 데드락 등 운영 환경에서 조용히 악화되는 문제들을 집중 수정한 패치 릴리스입니다.

  • breaking이중 스택 IPAM 오염 위험: 오퍼레이터 재시작 전에 반드시 업그레이드

    클러스터풀 IPAM을 쓰는 이중 스택 환경에서 IPv6 PodCIDR 중복 상태가 있을 때 오퍼레이터를 재시작하면, IPv4 PodCIDR이 다른 노드에 재할당될 수 있습니다. 두 노드가 같은 서브넷을 쓰게 되는 무서운 시나리오로, 오류 메시지도 없이 발생합니다. 노드 스케일링이나 오퍼레이터 재시작 전에 v1.17.15로 먼저 업그레이드하세요.

  • enhancement정책 자주 바꾸는 환경이라면 메모리 누수 패치가 핵심

    증분 정책 업데이트로 인한 누수(느리고 감지 어려움)와 정책 생성/삭제 반복으로 인한 누수 두 건이 함께 수정됐습니다. GitOps 방식으로 NetworkPolicy를 자주 교체하는 환경이라면 지금도 에이전트 메모리가 조금씩 새고 있을 가능성이 높습니다. 업그레이드 후 24~48시간 동안 에이전트 메모리 추이를 모니터링해 안정화 여부를 확인하세요.

  • enhancement엔드포인트가 정책 변경을 반영 못 한다면 이번 릴리스가 답

    'waiting-to-regenerate' 상태에 영구적으로 걸리는 레이스 컨디션이 수정됐습니다. 명확한 오류 없이 파드가 정책 변경을 적용하지 못하는 현상을 겪었다면, 업그레이드 후 'cilium endpoint list'로 정책 변경 시 엔드포인트 재생성이 정상 완료되는지 확인하세요.

주요 변경 (6)
  • 메모리 누수 두 건 수정: 증분 정책 업데이트로 발생하는 느린 누수 + 정책 반복 생성/삭제로 발생하는 누수
  • 'waiting-to-regenerate' 상태에 걸린 엔드포인트 문제 해결 — 정책 변경이 워크로드에 적용되지 않는 현상
  • 이중 스택 클러스터풀 IPAM 버그 수정: 중복 IPv6 PodCIDR 상태에서 오퍼레이터 재시작 시 IPv4 PodCIDR가 다른 노드에 재할당되는 데이터 오염 방지
  • 마지막 프록시 리스너 제거 시 ipcache 아이덴티티 업데이트 행 현상 해결
  • Hubble Relay의 피어 주소 미해석 시 패닉 수정, hubble observe의 로그 컬러링으로 인한 CPU 낭비 제거
  • gRPC v1.79.3 및 CNI 플러그인 v1.9.1로 업데이트
원문

Linkerd

Networking & Messaging2026년 4월 15일

edge-26.4.3은 어노테이션 기반 프록시 환경 변수 주입 기능을 추가하고, 프록시를 v2.349.0으로 올리며, Kubernetes 1.35 호환성을 테스트로 검증했습니다.

  • securityrustls-webpki 패치 — Rust 의존성 벤더링 시 락파일 갱신 필요

    mTLS 스택에 쓰이는 rustls-webpki가 0.103.11로 올라갔습니다. 공개된 CVE는 없지만, 조직에서 Rust 의존성을 감사하거나 벤더링하는 경우 락파일을 업데이트하고 SBOM 스캔을 다시 돌려 최신 상태를 유지하세요.

  • enhancementproxy-additional-env 어노테이션으로 커스텀 이미지 없이 프록시 튜닝

    새로 추가된 `proxy-additional-env` 어노테이션을 쓰면 파드나 네임스페이스 단위로 프록시에 환경 변수를 직접 주입할 수 있습니다. 로그 레벨 조정이나 특정 기능 플래그를 전역 Helm 값 변경 없이 특정 워크로드에만 적용하고 싶을 때 유용합니다. 프로덕션 전에 비중요 워크로드에 먼저 적용해 동작을 검증하세요.

  • enhancementKubernetes 1.35 업그레이드 계획 중이라면 이번 릴리스가 기준점

    Linkerd 테스트 스위트가 k8s 1.35를 공식 커버하기 시작했고, 정책 테스트도 통과했습니다. 1.35 업그레이드를 검토 중인 팀이라면 이 edge 릴리스를 기준으로 스테이징 클러스터에서 직접 스모크 테스트를 돌린 후 프로덕션 전환 일정을 잡으세요.

주요 변경 (5)
  • 새 `proxy-additional-env` 어노테이션으로 주입된 프록시에 스코프별 환경 변수 설정 가능
  • 프록시 v2.349.0으로 업그레이드 — 프록시 자체 변경 사항 별도 확인 필요
  • Kubernetes 1.35 테스트 매트릭스 추가, 정책 테스트 전체 통과 확인
  • Rust TLS 스택의 rustls-webpki가 0.103.10에서 0.103.11로 패치 업데이트
  • Helm v3.20.2, golang.org/x/tools 0.44.0 등 빌드 툴체인 의존성 업데이트
원문

NATS

Networking & Messaging2026년 4월 14일

v2.12.7은 ACL 우회 보안 버그, 리프노드 패닉, JetStream 컨슈머 stuck 상태, 그리고 2.12.6에서 유입된 MQTT JWT 회귀 버그를 수정한 버그픽스 릴리스입니다.

  • securitydeny ACL이나 큐 그룹을 사용 중이라면 즉시 업그레이드 필요

    이번 릴리스에서 두 가지 ACL 시행 버그가 수정됐습니다. 와일드카드가 중첩된 deny ACL이 제대로 적용되지 않았고, 큐 구독이 비큐 deny 규칙을 통째로 우회할 수 있었습니다. deny 기반 ACL, 특히 와일드카드나 큐/비큐 혼합 구독을 보안 모델에 활용 중이라면 필수 업그레이드입니다. 업그레이드 후 deny 규칙이 의도대로 동작하는지 반드시 검증하세요.

  • breaking2.12.6에서 MQTT + auth callout을 쓰고 있다면 즉시 업그레이드

    2.12.6에서 MQTT 클라이언트의 JWT가 auth callout 서비스로 전달되지 않는 회귀 버그가 있었습니다. 인증 로직이 조용히 무시되거나 실패했을 가능성이 있습니다. 2.12.7로 업그레이드 후 MQTT 클라이언트 인증이 전 구간에서 정상 동작하는지 확인하세요.

  • enhancementJetStream 스토리지 한도, 이제 재시작 없이 상향 조정 가능

    max_mem_store와 max_file_store를 config reload만으로 늘릴 수 있게 됐습니다. 단, 줄이는 것은 여전히 reload로 지원되지 않습니다. 피크 트래픽 구간에 다운타임 없이 용량을 확장할 수 있어 운영 유연성이 높아졌습니다. 평소 여유 있게 스토리지를 설계하되, 필요 시 즉각 확장하는 방식으로 활용하세요.

주요 변경 (5)
  • ACL 보안 수정: 와일드카드 deny 패턴 중첩 시 미적용 버그, 큐 구독이 비큐 deny 규칙을 우회하던 문제 해결
  • MQTT 회귀 버그 수정: 2.12.6부터 MQTT 클라이언트의 JWT가 auth callout에 전달되지 않던 문제 해결
  • JetStream 컨슈머 수정: 삭제된 메시지가 pending 상태에 남아 max_ack_pending이 stuck되는 문제 해결
  • 리프노드 안정성: 계정 resolve 실패 시 패닉 및 pre-CONNECT 가드 관련 패닉 다수 수정
  • JetStream 성능: subject purge가 관련 filestore 블록만 스캔하도록 개선, 쓰기 직후 캐시 과도 축출 문제 수정
원문

NATS

Networking & Messaging2026년 4월 14일

v2.11.16은 보안 패치 릴리스로, 큐 구독의 ACL 우회, 리프노드 인바운드 메시지 권한 누락, 와일드카드 deny 패턴 미적용 등 여러 인가 취약점을 수정했습니다. ACL에 의존하는 환경이라면 즉시 업그레이드해야 합니다.

  • security큐 구독을 통한 ACL 우회 — 즉시 패치 필요

    비큐 구독에 적용된 deny 규칙을 큐 구독자가 우회할 수 있었습니다. 멀티테넌트 환경이나 subject 단위 접근 제어를 쓰고 있다면 기존 deny 규칙이 제대로 적용되지 않았을 가능성이 있습니다. v2.11.16으로 업그레이드하고, ACL 설정 전체를 재검토하세요.

  • security리프노드 ACL 검사 누락 — 리프 설정 점검 필수

    리프노드 인바운드 메시지가 ACL 권한 검사를 통과하지 않고 처리되는 경로가 존재했습니다. 계정별 또는 사용자별 권한을 리프노드에 적용 중이라면, 무단 데이터 접근이 발생했을 가능성을 배제할 수 없습니다. 업그레이드 후 리프노드 자격증명과 권한 설정을 재확인하세요.

  • breakingno_auth_user 범위 변경 — 리프노드 연결에 영향 가능

    no_auth_user가 이제 클라이언트 연결에만 적용됩니다. 리프노드 등 비클라이언트 연결에서 no_auth_user를 암묵적으로 사용하던 구성이 있다면, 업그레이드 후 해당 연결에 명시적인 자격증명이 필요해집니다. 프로덕션 리프노드에 배포하기 전에 스테이징 환경에서 반드시 검증하세요.

주요 변경 (5)
  • 큐 구독이 비큐(non-queue) ACL deny 규칙을 우회하던 문제 수정
  • ACL deny 블록의 중첩 와일드카드 패턴이 올바르게 적용되지 않던 문제 수정
  • no_auth_user 옵션이 클라이언트 연결로만 범위 제한됨
  • 리프노드 인바운드 메시지 전체 경로에서 ACL 권한 검사가 누락되던 문제 수정 및 pre-CONNECT 패닉 버그 수정
  • WebSocket 전용 no_auth_user 설정 시 fast-path에서 올바르게 적용되도록 수정
원문

Istio

Networking & Messaging2026년 4월 13일

Istio 1.29.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Istio

Networking & Messaging2026년 4월 13일

Istio 1.28.6이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Envoy

Networking & Messaging2026년 4월 10일

Envoy v1.37.2는 리스너 제거 시 크래시, 동적 모듈 필터의 불완전한 바디 전달, 내부 리다이렉트 버퍼 오버플로우로 인한 요청 행 문제를 수정한 패치 릴리스입니다.

  • breaking프로세스 레벨 액세스 로그 레이트 리미터 사용 중이라면 즉시 업그레이드

    프로세스 레벨 액세스 로그 레이트 리미터를 설정한 상태에서 xDS를 통한 리스너 변경이나 제거가 발생하면 프로세스가 크래시합니다. 이는 드문 엣지 케이스가 아닙니다. 리스너 제거는 일상적인 설정 업데이트에서도 발생합니다. 다음 설정 배포 전에 v1.37.2로 업그레이드하세요.

  • breaking동적 모듈 필터 파이프라인의 바디 잘림 현상 확인 필요

    동적 모듈 필터를 ext_proc, gRPC 트랜스코딩, JWT 바디 검사 등 버퍼링을 수행하는 필터와 함께 실행 중이라면, 에러 없이 잘린 페이로드가 업스트림이나 클라이언트로 전달됐을 가능성이 있습니다. 업그레이드 후 스테이징에서 바디 크기 불일치 로그를 점검하고 동작을 검증하세요.

  • breaking대용량 요청 바디 + 내부 리다이렉트 조합은 요청 행(hang) 위험

    내부 리다이렉트를 사용하는 라우트에서 큰 POST/PUT 바디로 리다이렉트가 트리거되면 요청이 에러 없이 멈춥니다. 업스트림 타임아웃만이 유일한 안전망인 셈입니다. 즉시 업그레이드하고, 단기 대응책으로 해당 라우트의 요청 버퍼 한도를 임시로 줄이는 것도 고려할 만합니다.

주요 변경 (5)
  • 프로세스 레벨 액세스 로그 레이트 리미터 사용 시 리스너 제거로 발생하던 크래시 수정
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 잘라 전달하던 버그 수정
  • 내부 리다이렉트 중 요청 버퍼 오버플로우 시 요청이 무한 대기하던 문제 수정
  • Docker 릴리스 이미지 업데이트 및 수정
  • Stats 서브시스템 업데이트
원문

Envoy

Networking & Messaging2026년 4월 10일

v1.36.6은 동적 모듈 필터의 불완전한 바디 전달 문제와 내부 리다이렉트 시 버퍼 초과로 인한 요청 hang 문제를 수정한 패치 릴리스입니다.

  • breaking동적 모듈 필터 + 버퍼링 필터 조합 사용 중이라면 즉시 업그레이드

    필터 체인에 동적 모듈 필터와 버퍼링 필터(ext_proc, grpc-web, 커스텀 버퍼링 필터 등)가 함께 있다면, 동적 모듈이 잘린 바디를 받고 있었던 겁니다. 성능 문제가 아닌 데이터 정합성 버그입니다. v1.36.6으로 업그레이드한 뒤, 동적 모듈이 전체 페이로드를 올바르게 처리하는지 반드시 검증하세요.

  • breaking내부 리다이렉트 사용 환경에서 hang 위험 — 즉시 패치 필요

    요청 바디가 버퍼 한도를 초과할 수 있는 환경에서 내부 리다이렉트를 쓴다면, 완료되지 않는 요청이 커넥션을 붙잡는 상황이 발생할 수 있습니다. 트래픽이 몰리는 환경에서 특히 위험합니다. 즉시 업그레이드하고, 그 전까지는 버퍼 한도를 높이거나 내부 리다이렉트를 일시 비활성화하는 것을 검토하세요.

주요 변경 (3)
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 불완전하게 전달하던 버그 수정
  • 요청 버퍼 초과 시 내부 리다이렉트 로직이 요청을 무기한 hang시키던 문제 해결
  • Docker 릴리스 이미지 업데이트 및 수정
원문

Envoy

Networking & Messaging2026년 4월 10일

Envoy v1.35.10이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Envoy

Networking & Messaging2026년 4월 10일

Envoy v1.34.14이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Linkerd

Networking & Messaging2026년 4월 9일

프록시 v2.348.0 업데이트와 Go/Rust/JS 의존성 정리가 전부인 유지보수 릴리스입니다. 기능 변경이나 버그 수정은 없습니다.

  • security웹 대시보드 lodash 업데이트 — 긴급도는 낮지만 SBOM 확인 권장

    lodash가 4.17.23에서 4.18.1로 올라갔습니다. Linkerd 대시보드는 보통 내부망에서 접근하므로 외부 노출 위험은 낮습니다. 다만 팀에서 프론트엔드 의존성 CVE를 관리하고 있다면 SBOM 도구에서 열린 권고 사항이 해소됐는지 확인하세요.

  • enhancement프록시 v2.348.0 — 런타임 변경 여부는 프록시 릴리스 노트 별도 확인

    실질적인 런타임 변경이 있을 수 있는 컴포넌트는 프록시뿐입니다. 릴리스 노트에 프록시 수준의 세부 내용은 나오지 않으므로, 특정 수정 사항이나 동작 변경을 추적 중이라면 linkerd2-proxy v2.348.0 릴리스 노트를 따로 확인한 뒤 프로덕션 배포를 결정하세요.

  • enhancement프록시 업데이트가 필요한 경우가 아니면 업그레이드 서두를 필요 없음

    순수 유지보수 릴리스입니다. edge 빌드를 꾸준히 추적 중이라면 업그레이드 자체는 부담이 없습니다. edge-26.4.1에서 올라와야 할 기능적 이유는 없는 만큼, 프록시 변경 사항이 직접적으로 필요한 팀만 업그레이드를 검토하면 충분합니다.

주요 변경 (5)
  • 프록시 v2.348.0으로 업데이트
  • tokio 런타임 1.50.0 → 1.51.1 (한 사이클에 두 단계 업그레이드)
  • gRPC-Go 1.80.0으로 업데이트
  • 웹 대시보드 lodash 4.18.1로 업데이트
  • destination 컨트롤러 API 테스트 추가로 회귀 감지 커버리지 강화
원문

Istio

Networking & Messaging2026년 4월 7일

Istio 1.27.9이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Linkerd

Networking & Messaging2026년 4월 2일

프록시 두 차례 업데이트(v2.346.0, v2.347.0), 멀티클러스터 RBAC 누락 리소스 추가, Viz Prometheus 포트명 설정 수정이 핵심입니다. 나머지는 의존성 유지보수입니다.

  • security암호화 의존성 패치 업데이트 — 꾸준한 업그레이드 주기 유지

    openssl, rustls-webpki, aws-lc-rs, aws-lc-sys 모두 패치 버전 업데이트됐습니다. 공개된 CVE는 없지만 프록시 핵심 암호화 라이브러리인 만큼, 여러 릴리스를 건너뛰지 말고 정기적인 edge 업그레이드 주기를 유지하는 게 좋습니다.

  • breakingViz 사용 중이라면 업그레이드 후 Prometheus 메트릭 확인 필수

    admin 포트명 변경에 맞게 Prometheus 설정이 수정됐습니다. 이전 edge 빌드에서 업그레이드한 경우, 대시보드 메트릭이 정상적으로 표시되는지 바로 확인하세요. 수정 전에는 스크레이프가 조용히 실패하고 있었을 수 있으므로, Prometheus 타겟 상태를 직접 점검하는 게 좋습니다.

  • enhancement멀티클러스터 사용자: AuthorizationPolicy 커버리지 재검토

    멀티클러스터 익스텐션에 Server 및 AuthorizationPolicy 리소스가 누락되어 있었습니다. 업그레이드 후 크로스 클러스터 인가 정책이 의도대로 적용되는지 확인하세요. 기본 정책 설정에 따라 특정 트래픽 경로에서 예상치 못한 허용/차단이 발생했을 수 있습니다.

주요 변경 (5)
  • 프록시 v2.346.0 → v2.347.0 두 차례 업데이트 — 해당 프록시 릴리스의 버그 수정 포함
  • 멀티클러스터: Server/AuthorizationPolicy 리소스 누락 문제 수정으로 크로스 클러스터 RBAC 적용 범위 보완
  • Viz: Prometheus 스크레이프 설정이 변경된 admin 포트명과 불일치하던 문제 수정 — 메트릭 누락이 발생했을 수 있음
  • openssl, rustls-webpki, aws-lc-rs, zerocopy 등 암호화 관련 의존성 패치 업데이트
  • @olix0r(Oliver Gould) 명예 메인테이너(emeritus) 전환
원문

Emissary-Ingress

Networking & Messaging2026년 3월 26일

Emissary v4.0.1은 distroless 이미지와 순정 Envoy 1.36.2 기반으로 새로 구성된 Emissary 4의 실질적 첫 릴리스로, 업그레이드 전 반드시 확인해야 할 호환성 변경 사항이 다섯 가지입니다.

  • securityCVE 패치 포함 — 보안 목적만으로도 업그레이드할 이유 충분

    의존성 다수와 Python 인터프리터를 CVE 해소 목적으로 업데이트했습니다. 릴리스 노트에 CVE 번호가 명시되어 있지 않으므로, 구체적인 내용은 CHANGELOG를 직접 확인하세요. 이전 버전을 운영 중이라면 보안 패치만을 위해서라도 4.0.1로 올릴 이유가 충분합니다. 다만 호환성 변경 사항 대응 작업을 같은 유지보수 창에 묶어서 처리하는 게 효율적입니다.

  • breaking업그레이드 전 다섯 가지 호환성 변경 사항 전수 점검

    메이저 버전 변경인 만큼 호환성 변경 사항이 다섯 가지나 됩니다. 업그레이드 전 체크리스트: (1) Helm 저장소 URL을 GHCR로 변경하고 차트 버전을 4.0.1로 고정합니다. (2) v1 또는 v2 CRD를 사용 중이라면 values 파일에 enableLegacyVersions: true를 반드시 추가하세요. (3) diagd 설정에서 --metrics-endpoint 플래그를 제거합니다. (4) 배너 엔드포인트 설정을 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 이전합니다. (5) Edge Stack의 커스텀 에러 응답이나 헤더 케이스 기능에 의존하는 부분이 없는지 확인하세요. 순수 Emissary 사용자라면 대부분 문제없지만, 확인은 필요합니다.

  • enhancementARM64 클러스터에서 멀티아치 이미지 바로 활용 가능

    Emissary 4는 amd64와 arm64를 모두 지원하는 멀티아치 Docker 이미지를 제공합니다. Graviton이나 Ampere 기반 노드가 포함된 혼합 아키텍처 클러스터를 운영 중이라면, 커스텀 빌드나 nodeAffinity 설정 없이 그대로 배포할 수 있습니다.

주요 변경 (5)
  • distroless 이미지와 수정 없는 순정 Envoy 1.36.2로 전환 — Ambassador Edge Stack 전용 기능(커스텀 에러 응답, 헤더 케이스 변환) 완전 제거
  • Helm 차트 저장소가 GHCR(ghcr.io/emissary-ingress/)로 일원화되고, 차트 버전이 Emissary 릴리스 버전과 일치하도록 변경
  • 레거시 CRD 변환 웹훅(v1/v2 CRD) 기본 비활성화 — 사용하려면 enableLegacyVersions: true 및 enableV1: true를 명시적으로 설정해야 함
  • --metrics-endpoint 옵션 및 기본 배너 엔드포인트 제거 — 배너 기능은 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 대체
  • 멀티아치 Docker 이미지로 ARM64 지원 추가, Helm 차트의 CPU 제한 기본값 제거
원문

gRPC

Networking & Messaging2026년 3월 26일

gRPC v1.80.0은 TLS 개인 키 오프로드, Python EventEngine 기본 활성화, 그리고 운영 안정성에 영향을 주는 Python AsyncIO 버그 수정을 중심으로 한 릴리스입니다.

  • security프로세스 메모리 내 개인 키 노출 제거 가능

    개인 키 오프로드 기능 덕분에 TLS 서명 연산을 외부에 위임할 수 있게 됐습니다. 규제 환경에서 운영 중이라면 v1.80.0으로 업그레이드하고, Python 서명자 구현 및 C++ 오프로드 경로를 활용해 인프로세스 키 저장 방식을 제거하세요.

  • breakingPython EventEngine 기본 활성화 — 반드시 스테이징에서 검증 필요

    EventEngine이 기본 I/O 백엔드로 전환되면서 Python gRPC의 I/O 처리, 스레딩, fork 동작 방식이 바뀝니다. 같은 릴리스에서 fork 지원 환경 변수 기본값이 한 차례 revert(PR #41769)된 점도 눈여겨봐야 합니다. 아직 안정화 중인 영역입니다. gunicorn pre-fork 같은 패턴을 쓰는 서버라면 프로덕션 배포 전 반드시 스테이징에서 충분히 검증하세요.

  • enhancementTLS 개인 키 오프로드로 보안 강화

    개인 키 오프로드 기능과 InMemoryCertificateProvider를 활용하면 개인 키를 HSM이나 KMS에 두고, 런타임 중 인증서를 교체할 수 있습니다. 컴플라이언스 요건이 있는 환경이라면 파일 기반 자격증명 로딩 방식을 새 서명자 인터페이스로 교체하는 것을 우선순위에 두세요.

주요 변경 (5)
  • TLS 개인 키 오프로드: 서명 연산을 외부 제공자(HSM, KMS 등)에 위임할 수 있어 프로세스 메모리에 개인 키를 노출하지 않아도 됨
  • InMemoryCertificateProvider 추가 — 서버 재시작 없이 런타임 중 인증서 동적 교체 가능
  • Python에서 EventEngine이 기본값으로 활성화되고, Python과 Ruby에서 fork 지원 추가
  • Python AsyncIO 버그 3건 수정: 비동기 클라이언트 멀티스레드 예외 처리, active_rpcs 음수 카운터, AIO Metadata 이터레이터 크래시
  • Ruby 4.0 네이티브 젬 빌드 지원 추가, C# Grpc.Tools의 ARM64 회귀 버그 수정
원문

NATS

Networking & Messaging2026년 3월 24일

v2.12.6은 MQTT, JetStream, WebSocket, 리프노드, mTLS 등 핵심 서브시스템에서 CVE 11건을 수정한 긴급 보안 릴리스입니다. 2.12.5에서 발생한 JetStream 컨슈머 할당 손실 회귀 버그도 함께 수정됐습니다.

  • security즉시 업그레이드 필요 — 핵심 서브시스템 전반에 CVE 11건 패치

    이번 릴리스는 MQTT(3건), JetStream(2건), 리프노드(2건), WebSocket(1건), mTLS(1건), 커맨드라인 자격증명(1건), 퍼블리시 권한(1건)에 걸친 CVE를 모두 수정합니다. 이 기능들을 프로덕션에서 하나라도 사용 중이라면 구버전을 유지할 이유가 없습니다. 자신의 배포 환경에서 영향 받는 서브시스템을 확인하고 MQTT·리프노드 사용자는 특히 빠르게 적용하세요.

  • breakingJWT 크기 1MB 제한이 신규 적용됨

    1MB를 초과하는 JWT는 거부됩니다. 대부분의 환경에는 영향이 없지만, 대규모 권한 세트나 복잡한 계정 구조로 JWT를 발급하는 경우 업그레이드 전에 JWT 크기를 반드시 확인하세요. 오퍼레이터 JWT와 동적으로 발급되는 자격증명을 점검하는 것이 좋습니다.

  • breaking2.12.5에서 JetStream 컨슈머 할당 무음 유실 가능 — 업그레이드 후 확인 필수

    2.12.5의 회귀 버그로 인해 비동기 스냅샷을 사용하는 클러스터 환경에서 스트림 업데이트 시 컨슈머 할당이 조용히 사라질 수 있었습니다. 2.12.5 클러스터 JetStream을 운영 중이라면 업그레이드 전후로 컨슈머 수를 비교해 데이터 손실 여부를 확인하세요. 이번 릴리스 주기에서 운영 측면에서 가장 위험한 버그입니다.

주요 변경 (5)
  • MQTT, JetStream, WebSocket, 리프노드, mTLS, 자격증명 처리 관련 CVE 11건 패치
  • JetStream 회귀 버그 수정: 비동기 스냅샷 활성화 클러스터에서 스트림 업데이트 시 컨슈머 할당이 유실되던 문제 (2.12.5에서 도입)
  • JWT 크기 상한 1MB 신규 적용
  • MQTT 보안 강화: 모니터링 엔드포인트에서 패스워드 노출 차단, 암묵적 권한 범위 제한, 세션 복원 시 클라이언트 ID 검증 추가
  • WebSocket 파서 재작성으로 압축 프레임의 무제한 메모리 할당 문제 해결
원문

NATS

Networking & Messaging2026년 3월 24일

v2.11.15는 MQTT, 리프노드, WebSocket, JetStream, mTLS에 걸쳐 CVE 11건을 패치하는 긴급 보안 릴리스입니다. 해당 기능을 사용 중이라면 즉시 업그레이드해야 합니다.

  • securityCVE 11건 — 즉시 업그레이드 필수

    이번 릴리스는 NATS의 주요 기능 전반에 걸친 CVE를 패치합니다. MQTT 사용자의 노출 범위가 가장 넓은데, 모니터링 엔드포인트에서의 비밀번호 유출, 클라이언트 ID 불일치를 이용한 세션 탈취, 잘못된 패킷으로 인한 패닉이 모두 포함됩니다. WebSocket 배포 환경에서는 DoS에 악용될 수 있는 무제한 메모리 할당 경로가 있었고, 리프노드와 mTLS도 별도 취약점이 수정됐습니다. 개발, 스테이징, 프로덕션 전 클러스터를 v2.11.15로 올리세요.

  • breakingMQTT 클라이언트 ID 문자 제한 — 기존 클라이언트 연결 불가 가능성

    MQTT 클라이언트 ID에 NATS 특수문자(`.`, `>`, `*`, 공백, 탭)가 포함되면 연결이 거부됩니다. IoT 기기 명명 규칙에 이 문자를 쓰는 경우가 많으니 업그레이드 전 전체 클라이언트 ID를 점검하세요. 아울러 기존에 더 넓은 범위로 허용되던 암묵적 권한이 `$MQTT.sub.*`와 `$MQTT.deliver.pubrel.*`로 축소됐으니, 이에 의존하는 클라이언트가 있다면 권한 설정을 재검토해야 합니다.

  • enhancement트레이스 로그와 모니터링 엔드포인트의 시크릿 자동 마스킹

    이전까지는 커맨드라인 시크릿이 expvar 모니터링 출력과 트레이스 로그에 그대로 노출됐습니다. 이제 자동으로 마스킹됩니다. 모니터링 포트를 스크래핑하거나 트레이스 로그를 외부 시스템(로그 수집기, SIEM 등)으로 전송해왔다면, 과거 수집 데이터에 시크릿이 포함됐을 수 있으니 데이터 로테이션이나 삭제를 검토하세요. 추가 설정 없이 자동 적용됩니다.

주요 변경 (5)
  • CVE 11건 패치 — MQTT(3), 리프노드(2), JetStream(2), WebSocket(1), mTLS(1), 자격증명 노출(1), 퍼블리시 권한 우회(1)
  • MQTT 보안 강화: 모니터링/어드바이저리 엔드포인트에서 비밀번호 노출 차단, 클라이언트 ID 불일치 시 세션 복원 차단, 암묵적 권한을 $MQTT 접두어로 제한
  • WebSocket 파서 개선으로 압축/비압축 프레임의 무제한 메모리 할당 경로 차단 — DoS 공격 벡터 제거
  • Nats-Trace-Dest 헤더에 퍼블리시 권한 검사 추가 — 권한 없는 클라이언트는 무시되지 않고 오류 반환
  • JetStream 계정 퍼지 시 경로 순회 버그 및 대형 예약 오버플로우로 인한 티어 한도 위반 버그 수정
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.33.3은 Envoy를 v1.35.9로, grpc-go를 v1.79.3으로 올린 보안 패치 릴리스이며, 예제 매니페스트 정리가 포함됩니다.

  • securityEnvoy 보안 수정을 위해 즉시 업그레이드 검토

    이번 릴리스의 핵심은 Envoy v1.35.9 업그레이드입니다. 데이터 플레인의 실질적인 보안 취약점을 수정하므로, 외부 트래픽에 노출된 클러스터라면 빠르게 롤아웃 계획을 잡으세요. grpc-go의 CVE-2026-33186은 Contour에는 영향이 없지만, Envoy 수정만으로도 업그레이드 이유는 충분합니다.

  • breaking커스텀 매니페스트에서 hostPort: 8002 의존성 확인

    예제 매니페스트를 복사하거나 확장해서 사용 중이고, 노드에서 직접 Envoy 메트릭을 수집하는 데 hostPort: 8002를 사용하고 있다면 주의가 필요합니다. 업스트림 예제에서 해당 설정이 삭제됐으므로, 업그레이드 전에 매니페스트와 모니터링 파이프라인에 이 설정이 남아 있는지 먼저 확인하세요.

주요 변경 (4)
  • Envoy v1.35.9로 업그레이드 — 보안 취약점 수정 목적
  • grpc-go v1.79.3 업데이트, CVE-2026-33186 패치 (Contour 자체는 영향 없음)
  • 예제 매니페스트에서 Envoy 메트릭용 hostPort: 8002 제거
  • Kubernetes 1.32 ~ 1.34 버전에서 테스트 완료
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.32.4는 보안 패치 릴리스로, Envoy를 v1.34.13으로, grpc-go를 CVE-2026-33186 대응 버전으로 업그레이드하고 예시 매니페스트를 소폭 정리했습니다.

  • securityEnvoy 보안 수정을 위해 즉시 업그레이드하세요

    이번 릴리스의 핵심은 Envoy v1.34.13 업데이트입니다. 이 버전 범위의 Envoy 릴리스에는 보안 수정이 포함되어 있으므로, Envoy v1.34.13 체인지로그를 직접 확인해 실제 트래픽 패턴에 영향을 주는 CVE가 있는지 파악하세요. grpc-go CVE-2026-33186은 Contour에 직접 영향을 주지 않지만, 의존성 그래프 정리 차원에서라도 업그레이드를 서두르는 게 낫습니다.

  • breakinghostPort 8002를 참조하는 커스텀 매니페스트를 확인하세요

    예시 매니페스트에서 Envoy 메트릭 컨테이너의 hostPort 8002가 제거됐습니다. 업스트림 매니페스트를 기반으로 배포 파이프라인을 구성했다면 diff에서 이 변경이 나타납니다. 더 중요한 건, Prometheus 스크레이프 설정이나 방화벽 규칙에서 해당 호스트 포트를 직접 참조하고 있다면, 업그레이드 전에 ClusterIP 서비스나 파드 IP 등 대체 경로로 메트릭 엔드포인트에 접근 가능한지 먼저 확인해야 합니다.

주요 변경 (3)
  • 보안 취약점 수정 및 안정성 개선을 위해 Envoy v1.34.13으로 업데이트
  • CVE-2026-33186 패치가 포함된 grpc-go v1.79.3으로 업데이트 (Contour 자체는 해당 CVE에 영향 없음)
  • 예시 매니페스트에서 Envoy 메트릭 hostPort 8002 항목 제거
원문
← 최신이전 →