릴리즈
CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.
Flatcar stable-4593.2.3은 Linux 6.12.93으로 업데이트하면서 커널 CVE 8개를 패치하고 NVMe/TCP 지원을 추가했습니다.
security커널 CVE 8개 — 노드 교체 일정 잡으세요
이번 릴리스에서 Linux 커널 CVE 8개를 한꺼번에 수정했습니다. 2026- 접두사 CVE ID라 NVD에 아직 상세 정보가 없지만, 커널 CVE가 여러 개 묶인 경우 다음 정기 점검까지 기다리지 않는 편이 좋습니다. Flatcar 노드를 베어메탈이나 클라우드 VM으로 운영 중이라면 노드 drain → 교체 사이클을 조기에 진행하세요.
enhancementNVMe/TCP 지원 추가 — NVMe-oF 스토리지 연결 가능
nvme-tcp 커널 모듈이 기본 포함되어 NVMe over Fabrics TCP 연결을 별도 커널 빌드 없이 쓸 수 있습니다. SPDK 기반 백엔드나 분리형 스토리지 어레이를 사용하는 팀이라면 스테이징에서 nvme-tcp 모듈 로드를 먼저 확인한 뒤 프로덕션에 적용하세요.
주요 변경 (3)
- Linux 커널 CVE 8개 패치 (CVE-2026-46323, -46315, -46275, -46244, -46243, -46322, -46321, -46316)
- 커널 버전 6.12.93으로 업데이트 (6.12.92 변경 사항 포함)
- NVMe over Fabrics(NVMe-oF) 스토리지 연결을 위한 NVMe/TCP 지원 추가
Linux 커널 CVE 50개 이상 패치 및 CA 인증서 업데이트만 포함된 순수 보안 패치 릴리스입니다. 기능 변경은 없습니다.
security50개 이상의 커널 CVE 패치 — 노드 재부팅을 빠르게 예약하세요
이번 릴리스는 2025년 및 일부 2026년 사전 공개 CVE를 포함해 대량의 커널 취약점을 수정했습니다. 네트워킹과 드라이버 서브시스템 전반에 걸친 광범위한 공격 표면이 다뤄졌습니다. Flatcar는 기본적으로 자동 업데이트를 사용하지만, FLUO나 Kured로 자동 재부팅을 제어하거나 비활성화한 경우 노드가 실제로 업데이트를 적용했는지 확인하세요. 최근 재부팅이 없는 노드는 이 취약점들에 그대로 노출된 상태입니다.
securityCA 인증서 번들 NSS 3.124 업데이트 — 커스텀 PKI 설정을 검토하세요
NSS 3.124 업데이트로 특정 루트 CA가 추가되거나 신뢰 목록에서 제거될 수 있습니다. 시스템 트러스트 스토어에 의존하거나 커스텀 CA 번들을 시스템 번들 위에 덧붙인 경우, 노드 업데이트 후 TLS 핸드셰이크가 정상 동작하는지 반드시 검증하세요. 일반 설정에서는 위험도가 낮지만, 내부 서비스에서 특정 중간 CA에 의존하는 경우 조용히 장애가 발생할 수 있습니다.
enhancement업데이트 그룹이 stable 채널을 추적 중인지 확인하세요
이런 보안 패치 전용 릴리스에서 가장 빠른 대응 방법은 노드가 stable 채널에 등록되어 자동 업데이트가 활성화된 상태를 유지하는 겁니다. 일관성을 위해 특정 이미지 버전을 고정해 뒀다면, 지금이 재검토할 좋은 시점입니다. Container Linux Config 또는 Butane 스펙에서 업데이트 전략이 'off'로 설정되어 있지 않은지 확인하세요.
주요 변경 (4)
- Linux 커널을 6.12.88~6.12.91 변경 사항을 통합한 6.12.91로 업데이트
- 네트워킹, 드라이버, 서브시스템에 걸쳐 50개 이상의 커널 CVE 수정
- ca-certificates를 NSS 3.124로 업데이트하여 루트 CA 번들 갱신
- 유저스페이스 또는 설정 변경 없음 — 커널과 인증서 업데이트만 포함
Flatcar LTS 4081.3.8은 보안 중심 업데이트입니다. 커널 12개 패치 버전(6.6.128~6.6.141) 분량의 CVE 수정과 ca-certificates 갱신만 포함하며, 기능이나 설정 변경은 없으니 패치만 적용하면 됩니다.
security4081.3.7 이하 버전은 즉시 업그레이드 필요
이번 릴리스는 6.6.128부터 6.6.141까지 12개 커널 패치 버전을 한 번에 포함하며, 드라이버·파일시스템·네트워킹 서브시스템 전반의 메모리 안전성 및 use-after-free 취약점 수백 건을 수정합니다. 4081.3.7 이하 버전을 운영 중이라면 일반 유지보수가 아니라 필수 업그레이드로 취급하고 우선순위를 높이세요.
enhancementca-certificates 갱신 후 TLS 신뢰 저장소 확인
ca-certificates가 NSS 3.124(3.123.1 포함)로 갱신되었습니다. 인증서 번들 버전을 고정하거나 자체 신뢰 저장소를 Flatcar 위에 얹어 쓰고 있다면, 업데이트 후 TLS 검증이 정상 동작하는지 확인하세요. NSS 릴리스마다 특정 루트 CA를 제외하거나 신뢰 목록에서 빼는 경우가 있습니다.
주요 변경 (4)
- Linux 커널이 6.6.141로 갱신되었고 6.6.128부터 6.6.140까지 수정 사항을 모두 포함합니다
- 커널에서 수백 건의 CVE가 패치되었으며 메모리 손상, use-after-free, 범위 초과 접근 등 여러 서브시스템에 걸쳐 있습니다
- ca-certificates가 NSS 3.124 및 3.123.1을 포함하도록 갱신되었습니다
- 커널과 인증서 저장소 갱신 외에 애플리케이션 수준이나 Flatcar 고유 동작 변경 사항은 없습니다
Flatcar stable-4593.2.1은 보안 전용 업데이트입니다. Linux 커널 CVE 130개 이상을 패치하고 커널을 6.12.87로 올렸습니다. 적용하려면 노드를 재부팅해야 합니다.
securityLinux 커널 CVE 130개 이상 패치 — 노드 재부팅 필요
이번 릴리스는 CVE-2026-31xxx 및 CVE-2026-43xxx 시리즈에 걸쳐 130개 이상의 Linux 커널 CVE를 패치하며, 커널을 6.12.82부터 6.12.87까지 한꺼번에 올립니다. 안정 커널 백포트 배치가 대규모로 적용된 경우이므로 우선순위를 높게 두세요. update-operator를 사용 중이라면 롤링 재시작을 확인하고, 수동 관리 환경이라면 stable-4593.2.0 노드를 변경 주기에 맞춰 drain 후 재부팅하세요.
enhancementCA 인증서 NSS 3.123.1 업데이트 — 커스텀 CA 체인 확인
ca-certificates가 NSS 3.123.1로 올라갔습니다. 컨테이너 내부가 아닌 OS 레벨에서 TLS 인증서 검증을 하는 서비스가 있다면, 노드 재부팅 후 커스텀 CA 체인이나 고정(pinned) 인증서에 영향이 없는지 확인하세요.
주요 변경 (4)
- Linux 커널을 6.12.87로 업데이트 (6.12.82~6.12.87 포인트 릴리스 5개 포함)
- CVE-2026-31xxx 및 CVE-2026-43xxx 시리즈 커널 CVE 130개 이상 패치
- ca-certificates를 NSS 3.123.1로 업데이트
- 유저스페이스 컴포넌트 변경이나 호환성을 깨는 변경 없음 — 순수 보안 업데이트
metal3-io v0.13.0은 iRMC 드라이버를 제거하고 BMH 펌웨어 스펙을 폐기 예고하면서, HostClaim CRD와 멀티아키텍처 PXE 부팅을 새로 도입한 버전입니다. 업그레이드 전 파괴적 변경 사항 검토가 필수입니다.
breaking업그레이드 전 iRMC 사용 여부와 BMH.Spec.Firmware 필드를 반드시 점검하세요
iRMC 드라이버가 삭제되었기 때문에 iRMC BMC 엔드포인트를 가리키는 BareMetalHost 리소스는 업그레이드 즉시 조정이 멈춥니다. BMH.Spec.Firmware는 당장 오류가 나지 않더라도 폐기 예고 상태이므로, 대체 API로의 전환 계획을 지금 수립해야 합니다. 운영 클러스터 작업 전에 BMH 매니페스트와 Helm values 파일 전체를 검색해 두 항목의 사용 여부를 확인하세요.
breaking관리 클러스터의 CAPI·controller-runtime 호환성을 사전에 확인하세요
CAPI v1.13.1, controller-runtime v0.23.3 버전 상승은 단순 패치가 아닙니다. 동일한 관리 클러스터에 다른 CAPI 프로바이더가 함께 있다면, 각 프로바이더의 호환성 매트릭스를 지금 확인하세요. 버전 불일치는 CRD 충돌이나 웹훅 오류로 이어질 수 있습니다.
enhancementHostClaim CRD로 베어메탈 호스트 할당을 선언형으로 전환하세요
HostClaim·HostClaimSet 리소스를 쓰면 커스텀 컨트롤러 없이 Kubernetes 방식으로 베어메탈 용량을 요청·예약할 수 있습니다. 현재 스크립트나 외부 툴로 호스트 할당을 관리 중이라면, 단순 예약 워크플로는 이제 HostClaim으로 대체 가능한지 평가해볼 시점입니다.
주요 변경 (5)
- iRMC 드라이버 완전 제거, BMH.Spec.Firmware 폐기 예고 — 두 항목 사용 중이라면 마이그레이션 선행 필수
- CAPI v1.13.1, controller-runtime v0.23.3, k8s group v0.35.4로 의존성 전면 갱신
- HostClaim·HostClaimSet CRD 신규 도입 — 선언형 베어메탈 호스트 예약 워크플로 지원
- x86_64·aarch64 멀티아키텍처 PXE 부팅 지원 추가
- 외부 OCI 레지스트리용 호스트별 풀 시크릿 및 Ironic 강제 분리 기능 지원
OpenYurt v1.7.0은 엣지 업그레이드 다운타임을 최소화하는 OTA 이미지 사전 캐싱, 레이블 기반 YurtHub 배포, K8s-on-K8s 지원, Kubernetes v1.34 호환성을 추가했습니다. 동시에 여러 deprecated 컴포넌트가 완전히 제거됩니다.
breaking업그레이드 전 제거된 컴포넌트 사용 여부 점검 필수
YurtAppOverrider, YurtAppDaemon(컨트롤러 및 웹훅), yurt-coordinator, delegate lease 컨트롤러가 이번 릴리스에서 완전히 삭제됩니다. 매니페스트나 Helm values, 자동화 스크립트에서 이 컴포넌트를 참조하고 있다면 업그레이드 후 조용히 실패하거나 배포가 중단될 수 있습니다. 업그레이드 전 전수 점검이 필요하고, NodePool CRD의 v1beta2 승격 및 enableLeaderElections 필드명 변경도 함께 반영해야 합니다.
enhancement엣지 DaemonSet 업그레이드에 OTA 이미지 사전 캐싱 도입
네트워크가 불안정하거나 대역폭이 제한된 엣지 노드에서 DaemonSet을 운영 중이라면, ImagePreHeat 컨트롤러가 업그레이드 다운타임 문제의 실질적인 해결책입니다. 롤아웃 전에 OTA API 엔드포인트로 사전 캐싱을 트리거하고, PodImageReady 조건으로 이미지 준비 상태를 확인한 뒤 실제 업그레이드를 시작하는 흐름을 팀 운영 절차에 반영하세요.
enhancement엣지 노드 온보딩을 레이블 기반 방식으로 전환
YurtNodeConversionController 덕분에 노드에 레이블 하나만 붙이면 YurtHub 설치부터 systemd 등록까지 자동으로 처리됩니다. 대규모 엣지 노드 플릿을 운영한다면 운영 부담을 크게 줄일 수 있는 기능입니다. 다만 systemd와 직접 상호작용하는 신규 기능인 만큼, 프로덕션 적용 전에 비중요 노드 풀에서 먼저 검증하는 것을 권장합니다.
주요 변경 (5)
- 새로운 ImagePreHeat 컨트롤러로 OTA 업그레이드 시 이미지 사전 다운로드 지원 — 느리거나 불안정한 엣지 네트워크에서 롤아웃 다운타임을 대폭 줄임
- YurtNodeConversionController 도입으로 노드에 레이블만 붙이면 YurtHub 설치·관리가 자동화됨 — 기존 yurtadm join/reset 수동 작업 대체
- K8s-on-K8s 지원 추가: 기존 OpenYurt 클러스터 위에 테넌트 Kubernetes 컨트롤 플레인 배포 가능, 멀티테넌트 격리 및 엣지 IDC 시나리오에 활용
- NodePool CRD가 v1beta2로 승격, YurtHub에 리더 선출 메커니즘 추가, 필드명 enablePoolScopeMetadata → enableLeaderElections로 변경
- YurtAppOverrider, YurtAppDaemon, yurt-coordinator, delegate lease 컨트롤러 완전 제거
LTS 채널의 대규모 보안 유지보수 릴리스입니다. 커널이 6.6.107에서 6.6.127로 올라가며 지난 LTS 포인트 릴리스 이후 누적된 CVE 수백 건을 해소했고, ca-certificates 업데이트와 arm64 Mac용 로컬 개발 환경 수정도 포함되어 있습니다.
security커널 업데이트를 서둘러 적용하세요 — 대규모 CVE 백로그 해소
커널이 6.6.107에서 6.6.127까지 약 20개 포인트 릴리스를 건너뛰며 누적된 수백 건의 CVE를 한 번에 해결했습니다. 4081.3.6 이하 버전을 운영 중이라면 그동안 패치되지 않은 커널 취약점을 안고 있었던 셈이고, 그중에는 네트워킹·파일시스템·메모리 관리 등 컨테이너 워크로드에서 자주 노출되는 서브시스템 관련 취약점도 포함되어 있습니다. 일반적인 마이너 업데이트가 아니라 우선순위 높은 패치로 취급하고 업데이트 링이 허용하는 대로 빠르게 배포하세요.
enhancementca-certificates 3.116→3.122 반영 후 TLS 신뢰 체인 점검 필요
ca-certificates가 3.116에서 3.122로 여러 NSS 릴리스를 건너뛰며 올라갔습니다. OS 이미지와 별도로 CA 번들을 고정하거나 자체 관리하고 있다면 이 구간에서 제거되거나 신뢰 철회된 루트 인증서가 있는지 확인하세요. 내부 서비스나 오래된 엔드포인트의 TLS 검증이 깨질 수 있습니다.
enhancementApple Silicon 로컬 VM 테스트 속도 개선
QEMU 런처 스크립트가 arm64 기반 Mac에서 HVF 가속을 사용하도록 수정되었습니다(Flatcar#1901). Apple Silicon에서 Flatcar 이미지를 로컬로 빌드하거나 테스트한다면 관련 스크립트나 툴링을 업데이트하세요. VM 부팅과 테스트 사이클이 눈에 띄게 빨라집니다.
주요 변경 (5)
- 리눅스 커널이 6.6.107에서 6.6.127로 업데이트되었고 그 사이 약 20개의 안정화 릴리스가 포함됨
- 이번 릴리스 한 번에 2023~2026년 사이 공개된 CVE 수백 건이 패치됨
- ca-certificates가 3.116에서 3.122로 업데이트됨(다수의 NSS 릴리스 포함)
- QEMU 런처 스크립트 수정으로 arm64 Mac에서 HVF 가속 지원, 로컬 VM 성능 개선
- 신규 기능이나 호환성을 깨는 변경은 없고 유지보수·보안 위주 릴리스임
Flatcar stable-4593.2.0은 대규모 보안 패치와 인프라 변경이 함께 포함된 릴리스입니다. 150개 이상의 커널 CVE 수정, openssh/openssl/curl/intel-microcode 업데이트, initrd 및 파티션 레이아웃 변경이 있어 업그레이드 전 검토가 필요합니다.
security커널 및 유저스페이스 전반에 걸친 대규모 CVE 수정 — 즉시 업데이트 필요
Linux 커널에서만 150개 이상의 CVE가 패치됐고, openssh 10.2_p1, openssl 3.5.4, curl 8.16.0, intel-microcode, gnupg, pam 등 유저스페이스 컴포넌트들도 각각 CVE 수정을 포함합니다. Stable 4459.2.4 이후 누적된 보안 패치가 한꺼번에 들어온 릴리스입니다. 자동 업데이트를 일시 중지해둔 노드가 있다면 실제로 업데이트가 진행되고 있는지 확인하세요.
breakingsshd가 OpenSSH 업스트림 기본값으로 변경 — 포스트-퀀텀 키 교환 기본 활성화
sshd_config에서 Ciphers, MACs, KexAlgorithms 고정값이 제거되고 OpenSSH 업스트림 기본값으로 바뀝니다. 포스트-퀀텀 키 교환 알고리즘이 기본 활성화됩니다. 레거시 알고리즘이 필요한 환경(컴플라이언스 도구, 구형 SSH 클라이언트 등)은 업그레이드 전에 /etc/ssh/sshd_config.d/ 아래에 drop-in 설정 파일을 배포하세요. 비프로덕션 노드에서 먼저 SSH 연결을 검증하는 것을 권장합니다.
breaking파티션 레이아웃 변경 및 1단계 initrd의 커널 모듈 축소
파티션 크기가 커졌습니다: /boot 1GB, /usr 2GB, /oem 1GB. 기존 노드는 계속 업데이트 가능하지만, 새 디스크 이미지는 더 큰 레이아웃을 씁니다. 디스크 용량이 빠듯한 환경이라면 사전에 확인하세요. 또한 커널+initrd가 2단계로 나뉘면서 /boot 크기가 절반으로 줄었는데, 1단계 initrd에서 필요한 커널 모듈이 빠져 있으면 부팅 문제가 생길 수 있습니다. 문제 발생 시 Flatcar 팀에 즉시 보고하세요.
주요 변경 (6)
- Linux 커널 6.12.81로 업데이트, 커널 자체에서만 150개 이상의 CVE 패치
- openssh 10.2_p1 업데이트 — sshd가 업스트림 기본값 사용, 포스트-퀀텀 키 교환 기본 활성화, 레거시 cipher 설정 제거
- intel-microcode 업데이트로 Intel 하드웨어의 사이드채널 및 정보 누출 관련 CVE 14건 수정
- 2단계 initrd 도입: 1단계는 최소 구성(/boot 크기 절반 감소), 커스텀 커널 모듈 빌드 방식이 Ubuntu 방식에서 업스트림 표준 방식으로 변경
- 파티션 크기(/boot, /usr, /oem) 증가; 이전 initrd 재작업으로 깨졌던 Ignition OEM 설정 로딩 및 PXE OEM 커스터마이징 수정
- SSSD/LDAP 인증 복구 — 이전 Samba 업데이트 이후 누락됐던 PAM sssd 지원 및 LDB 모듈 복원
KubeEdge v1.23은 Beego에서 GORM으로의 엣지 DB 전면 교체, 엣지-클라우드 대역폭 절감을 위한 노드 쿼리 최적화, Device CRD 기반 이상 탐지 지원, Windows EdgeCore 개선을 담고 있습니다.
breakingDeviceStatus CRD로 상태 조회 경로 즉시 변경 필요
Device 상태 정보가 Device CRD에서 별도의 DeviceStatus CRD로 분리됐습니다. CRD 스키마 자체의 하위 호환성은 유지된다고 하지만, 기존 Device 오브젝트에서 직접 상태를 읽는 코드·스크립트·자동화 파이프라인은 업그레이드 후 변경사항을 감지하지 못합니다. 업그레이드 전에 운영 중인 오퍼레이터, 대시보드, GitOps 파이프라인을 모두 점검하고 DeviceStatus CRD를 읽도록 수정하세요.
enhancement엣지 DB 마이그레이션 후 스테이징 환경에서 동작 검증 필수
엣지 DB 레이어 전체가 GORM 기반으로 재작성됐고, 모든 DB 작업이 MetaManager 단일 진입점을 통하게 됩니다. 위험도가 낮은 변경이지만 내부 구조의 변화가 크기 때문에, 프로덕션 적용 전 스테이징에서 엣지 워크로드를 충분히 테스트해야 합니다. 특히 오프라인 모드 전환, 재연결 시나리오에서의 MetaManager 동작을 중점적으로 확인하세요.
enhancement대규모 엣지 배포 환경에서 노드 쿼리 최적화 효과 확인
수십~수백 개의 엣지 노드를 운영 중이라면, 노드 조회가 원격 CloudCore 호출 대신 로컬 엣지 DB에서 처리되는 이번 변경으로 엣지-클라우드 터널 대역폭이 눈에 띄게 줄어들 겁니다. 별도의 설정 변경 없이 CloudCore가 자동으로 노드 정보를 엣지 DB에 동기화합니다. 업그레이드 후 엣지-클라우드 채널 지표를 모니터링해 실제 환경에서의 개선 폭을 확인해 보세요.
주요 변경 (6)
- 엣지 DB를 Beego ORM에서 GORM으로 교체, MetaManager 단일 진입점으로 DB 작업 일원화
- 노드 조회 경로를 원격 CloudCore에서 로컬 엣지 DB로 전환해 대규모 배포 시 엣지-클라우드 채널 부하 감소
- Device CRD의 pushMethod에서 이상 탐지 설정 가능, 매퍼 레벨에서 플러그인 방식으로 구현 지원
- Device CRD에서 상태 정보가 별도의 DeviceStatus CRD로 분리 — 기존 소비자는 쿼리 대상 변경 필요
- Windows EdgeCore: Named Pipe 기반 DMI, 버전 인식 keadm 업그레이드, 서비스 모드 로그 파일 리다이렉션 추가
- 벤더링된 Kubernetes 버전을 v1.32.10으로 업그레이드