RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Flatcar Container Linux

Provisioning & Runtime2026년 6월 16일

Flatcar stable-4593.2.3은 Linux 6.12.93으로 업데이트하면서 커널 CVE 8개를 패치하고 NVMe/TCP 지원을 추가했습니다.

  • security커널 CVE 8개 — 노드 교체 일정 잡으세요

    이번 릴리스에서 Linux 커널 CVE 8개를 한꺼번에 수정했습니다. 2026- 접두사 CVE ID라 NVD에 아직 상세 정보가 없지만, 커널 CVE가 여러 개 묶인 경우 다음 정기 점검까지 기다리지 않는 편이 좋습니다. Flatcar 노드를 베어메탈이나 클라우드 VM으로 운영 중이라면 노드 drain → 교체 사이클을 조기에 진행하세요.

  • enhancementNVMe/TCP 지원 추가 — NVMe-oF 스토리지 연결 가능

    nvme-tcp 커널 모듈이 기본 포함되어 NVMe over Fabrics TCP 연결을 별도 커널 빌드 없이 쓸 수 있습니다. SPDK 기반 백엔드나 분리형 스토리지 어레이를 사용하는 팀이라면 스테이징에서 nvme-tcp 모듈 로드를 먼저 확인한 뒤 프로덕션에 적용하세요.

주요 변경 (3)
  • Linux 커널 CVE 8개 패치 (CVE-2026-46323, -46315, -46275, -46244, -46243, -46322, -46321, -46316)
  • 커널 버전 6.12.93으로 업데이트 (6.12.92 변경 사항 포함)
  • NVMe over Fabrics(NVMe-oF) 스토리지 연결을 위한 NVMe/TCP 지원 추가
원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 27일

Linux 커널 CVE 50개 이상 패치 및 CA 인증서 업데이트만 포함된 순수 보안 패치 릴리스입니다. 기능 변경은 없습니다.

  • security50개 이상의 커널 CVE 패치 — 노드 재부팅을 빠르게 예약하세요

    이번 릴리스는 2025년 및 일부 2026년 사전 공개 CVE를 포함해 대량의 커널 취약점을 수정했습니다. 네트워킹과 드라이버 서브시스템 전반에 걸친 광범위한 공격 표면이 다뤄졌습니다. Flatcar는 기본적으로 자동 업데이트를 사용하지만, FLUO나 Kured로 자동 재부팅을 제어하거나 비활성화한 경우 노드가 실제로 업데이트를 적용했는지 확인하세요. 최근 재부팅이 없는 노드는 이 취약점들에 그대로 노출된 상태입니다.

  • securityCA 인증서 번들 NSS 3.124 업데이트 — 커스텀 PKI 설정을 검토하세요

    NSS 3.124 업데이트로 특정 루트 CA가 추가되거나 신뢰 목록에서 제거될 수 있습니다. 시스템 트러스트 스토어에 의존하거나 커스텀 CA 번들을 시스템 번들 위에 덧붙인 경우, 노드 업데이트 후 TLS 핸드셰이크가 정상 동작하는지 반드시 검증하세요. 일반 설정에서는 위험도가 낮지만, 내부 서비스에서 특정 중간 CA에 의존하는 경우 조용히 장애가 발생할 수 있습니다.

  • enhancement업데이트 그룹이 stable 채널을 추적 중인지 확인하세요

    이런 보안 패치 전용 릴리스에서 가장 빠른 대응 방법은 노드가 stable 채널에 등록되어 자동 업데이트가 활성화된 상태를 유지하는 겁니다. 일관성을 위해 특정 이미지 버전을 고정해 뒀다면, 지금이 재검토할 좋은 시점입니다. Container Linux Config 또는 Butane 스펙에서 업데이트 전략이 'off'로 설정되어 있지 않은지 확인하세요.

주요 변경 (4)
  • Linux 커널을 6.12.88~6.12.91 변경 사항을 통합한 6.12.91로 업데이트
  • 네트워킹, 드라이버, 서브시스템에 걸쳐 50개 이상의 커널 CVE 수정
  • ca-certificates를 NSS 3.124로 업데이트하여 루트 CA 번들 갱신
  • 유저스페이스 또는 설정 변경 없음 — 커널과 인증서 업데이트만 포함
원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 27일

Flatcar LTS 4081.3.8은 보안 중심 업데이트입니다. 커널 12개 패치 버전(6.6.128~6.6.141) 분량의 CVE 수정과 ca-certificates 갱신만 포함하며, 기능이나 설정 변경은 없으니 패치만 적용하면 됩니다.

  • security4081.3.7 이하 버전은 즉시 업그레이드 필요

    이번 릴리스는 6.6.128부터 6.6.141까지 12개 커널 패치 버전을 한 번에 포함하며, 드라이버·파일시스템·네트워킹 서브시스템 전반의 메모리 안전성 및 use-after-free 취약점 수백 건을 수정합니다. 4081.3.7 이하 버전을 운영 중이라면 일반 유지보수가 아니라 필수 업그레이드로 취급하고 우선순위를 높이세요.

  • enhancementca-certificates 갱신 후 TLS 신뢰 저장소 확인

    ca-certificates가 NSS 3.124(3.123.1 포함)로 갱신되었습니다. 인증서 번들 버전을 고정하거나 자체 신뢰 저장소를 Flatcar 위에 얹어 쓰고 있다면, 업데이트 후 TLS 검증이 정상 동작하는지 확인하세요. NSS 릴리스마다 특정 루트 CA를 제외하거나 신뢰 목록에서 빼는 경우가 있습니다.

주요 변경 (4)
  • Linux 커널이 6.6.141로 갱신되었고 6.6.128부터 6.6.140까지 수정 사항을 모두 포함합니다
  • 커널에서 수백 건의 CVE가 패치되었으며 메모리 손상, use-after-free, 범위 초과 접근 등 여러 서브시스템에 걸쳐 있습니다
  • ca-certificates가 NSS 3.124 및 3.123.1을 포함하도록 갱신되었습니다
  • 커널과 인증서 저장소 갱신 외에 애플리케이션 수준이나 Flatcar 고유 동작 변경 사항은 없습니다
원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 11일

Flatcar stable-4593.2.1은 보안 전용 업데이트입니다. Linux 커널 CVE 130개 이상을 패치하고 커널을 6.12.87로 올렸습니다. 적용하려면 노드를 재부팅해야 합니다.

  • securityLinux 커널 CVE 130개 이상 패치 — 노드 재부팅 필요

    이번 릴리스는 CVE-2026-31xxx 및 CVE-2026-43xxx 시리즈에 걸쳐 130개 이상의 Linux 커널 CVE를 패치하며, 커널을 6.12.82부터 6.12.87까지 한꺼번에 올립니다. 안정 커널 백포트 배치가 대규모로 적용된 경우이므로 우선순위를 높게 두세요. update-operator를 사용 중이라면 롤링 재시작을 확인하고, 수동 관리 환경이라면 stable-4593.2.0 노드를 변경 주기에 맞춰 drain 후 재부팅하세요.

  • enhancementCA 인증서 NSS 3.123.1 업데이트 — 커스텀 CA 체인 확인

    ca-certificates가 NSS 3.123.1로 올라갔습니다. 컨테이너 내부가 아닌 OS 레벨에서 TLS 인증서 검증을 하는 서비스가 있다면, 노드 재부팅 후 커스텀 CA 체인이나 고정(pinned) 인증서에 영향이 없는지 확인하세요.

주요 변경 (4)
  • Linux 커널을 6.12.87로 업데이트 (6.12.82~6.12.87 포인트 릴리스 5개 포함)
  • CVE-2026-31xxx 및 CVE-2026-43xxx 시리즈 커널 CVE 130개 이상 패치
  • ca-certificates를 NSS 3.123.1로 업데이트
  • 유저스페이스 컴포넌트 변경이나 호환성을 깨는 변경 없음 — 순수 보안 업데이트
원문

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

LTS 채널의 대규모 보안 유지보수 릴리스입니다. 커널이 6.6.107에서 6.6.127로 올라가며 지난 LTS 포인트 릴리스 이후 누적된 CVE 수백 건을 해소했고, ca-certificates 업데이트와 arm64 Mac용 로컬 개발 환경 수정도 포함되어 있습니다.

  • security커널 업데이트를 서둘러 적용하세요 — 대규모 CVE 백로그 해소

    커널이 6.6.107에서 6.6.127까지 약 20개 포인트 릴리스를 건너뛰며 누적된 수백 건의 CVE를 한 번에 해결했습니다. 4081.3.6 이하 버전을 운영 중이라면 그동안 패치되지 않은 커널 취약점을 안고 있었던 셈이고, 그중에는 네트워킹·파일시스템·메모리 관리 등 컨테이너 워크로드에서 자주 노출되는 서브시스템 관련 취약점도 포함되어 있습니다. 일반적인 마이너 업데이트가 아니라 우선순위 높은 패치로 취급하고 업데이트 링이 허용하는 대로 빠르게 배포하세요.

  • enhancementca-certificates 3.116→3.122 반영 후 TLS 신뢰 체인 점검 필요

    ca-certificates가 3.116에서 3.122로 여러 NSS 릴리스를 건너뛰며 올라갔습니다. OS 이미지와 별도로 CA 번들을 고정하거나 자체 관리하고 있다면 이 구간에서 제거되거나 신뢰 철회된 루트 인증서가 있는지 확인하세요. 내부 서비스나 오래된 엔드포인트의 TLS 검증이 깨질 수 있습니다.

  • enhancementApple Silicon 로컬 VM 테스트 속도 개선

    QEMU 런처 스크립트가 arm64 기반 Mac에서 HVF 가속을 사용하도록 수정되었습니다(Flatcar#1901). Apple Silicon에서 Flatcar 이미지를 로컬로 빌드하거나 테스트한다면 관련 스크립트나 툴링을 업데이트하세요. VM 부팅과 테스트 사이클이 눈에 띄게 빨라집니다.

주요 변경 (5)
  • 리눅스 커널이 6.6.107에서 6.6.127로 업데이트되었고 그 사이 약 20개의 안정화 릴리스가 포함됨
  • 이번 릴리스 한 번에 2023~2026년 사이 공개된 CVE 수백 건이 패치됨
  • ca-certificates가 3.116에서 3.122로 업데이트됨(다수의 NSS 릴리스 포함)
  • QEMU 런처 스크립트 수정으로 arm64 Mac에서 HVF 가속 지원, 로컬 VM 성능 개선
  • 신규 기능이나 호환성을 깨는 변경은 없고 유지보수·보안 위주 릴리스임
원문

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

Flatcar stable-4593.2.0은 대규모 보안 패치와 인프라 변경이 함께 포함된 릴리스입니다. 150개 이상의 커널 CVE 수정, openssh/openssl/curl/intel-microcode 업데이트, initrd 및 파티션 레이아웃 변경이 있어 업그레이드 전 검토가 필요합니다.

  • security커널 및 유저스페이스 전반에 걸친 대규모 CVE 수정 — 즉시 업데이트 필요

    Linux 커널에서만 150개 이상의 CVE가 패치됐고, openssh 10.2_p1, openssl 3.5.4, curl 8.16.0, intel-microcode, gnupg, pam 등 유저스페이스 컴포넌트들도 각각 CVE 수정을 포함합니다. Stable 4459.2.4 이후 누적된 보안 패치가 한꺼번에 들어온 릴리스입니다. 자동 업데이트를 일시 중지해둔 노드가 있다면 실제로 업데이트가 진행되고 있는지 확인하세요.

  • breakingsshd가 OpenSSH 업스트림 기본값으로 변경 — 포스트-퀀텀 키 교환 기본 활성화

    sshd_config에서 Ciphers, MACs, KexAlgorithms 고정값이 제거되고 OpenSSH 업스트림 기본값으로 바뀝니다. 포스트-퀀텀 키 교환 알고리즘이 기본 활성화됩니다. 레거시 알고리즘이 필요한 환경(컴플라이언스 도구, 구형 SSH 클라이언트 등)은 업그레이드 전에 /etc/ssh/sshd_config.d/ 아래에 drop-in 설정 파일을 배포하세요. 비프로덕션 노드에서 먼저 SSH 연결을 검증하는 것을 권장합니다.

  • breaking파티션 레이아웃 변경 및 1단계 initrd의 커널 모듈 축소

    파티션 크기가 커졌습니다: /boot 1GB, /usr 2GB, /oem 1GB. 기존 노드는 계속 업데이트 가능하지만, 새 디스크 이미지는 더 큰 레이아웃을 씁니다. 디스크 용량이 빠듯한 환경이라면 사전에 확인하세요. 또한 커널+initrd가 2단계로 나뉘면서 /boot 크기가 절반으로 줄었는데, 1단계 initrd에서 필요한 커널 모듈이 빠져 있으면 부팅 문제가 생길 수 있습니다. 문제 발생 시 Flatcar 팀에 즉시 보고하세요.

주요 변경 (6)
  • Linux 커널 6.12.81로 업데이트, 커널 자체에서만 150개 이상의 CVE 패치
  • openssh 10.2_p1 업데이트 — sshd가 업스트림 기본값 사용, 포스트-퀀텀 키 교환 기본 활성화, 레거시 cipher 설정 제거
  • intel-microcode 업데이트로 Intel 하드웨어의 사이드채널 및 정보 누출 관련 CVE 14건 수정
  • 2단계 initrd 도입: 1단계는 최소 구성(/boot 크기 절반 감소), 커스텀 커널 모듈 빌드 방식이 Ubuntu 방식에서 업스트림 표준 방식으로 변경
  • 파티션 크기(/boot, /usr, /oem) 증가; 이전 initrd 재작업으로 깨졌던 Ignition OEM 설정 로딩 및 PXE OEM 커스터마이징 수정
  • SSSD/LDAP 인증 복구 — 이전 Samba 업데이트 이후 누락됐던 PAM sssd 지원 및 LDB 모듈 복원
원문