RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Kubescape

Security2026년 6월 30일

Kubescape v4.0.10은 기능 추가와 보안 강화가 함께 담긴 릴리스로, 스캔 완료 웹훅의 SSRF 취약점을 막고 config.json 권한과 입력 검증을 강화했으며 죽은 CRD를 정리했습니다. 여기에 `operator remediate`, 암호화 리포트 복호화 같은 신규 기능과 다수의 버그 수정이 함께 포함되었고, 이번 릴리스에서 공개된 CVE 추적 취약점은 없습니다.

  • security스캔 완료 웹훅 SSRF 방어 강화

    스캔 완료 웹훅 콜백에 SSRF 방어 로직이 추가되었습니다. 이 콜백 기능을 사용 중이라면, 조작된 콜백 URL로 인한 아웃바운드 요청 악용을 막기 위해 업그레이드를 권장합니다.

  • breakingconfig.json 권한을 소유자 전용으로 제한

    config.json 파일 권한이 기존보다 넓은 접근 범위에서 소유자 전용으로 변경되었습니다. 다른 사용자 계정으로 이 파일에 접근하는 자동화나 툴이 있다면 접근 실패가 발생할 수 있으니 확인이 필요합니다.

  • breaking고립된 SecurityException CRD 제거

    설치조차 되지 않던 고립된 SecurityException CRD가 제거되었습니다. 매니페스트나 문서에서 이 CRD를 참조하던 경우에만 해당되며, 원래 동작하지 않았으므로 기능적 영향은 없습니다.

  • enhancement--format과 VAP 컨트롤 검증 강화

    --format 플래그는 스캔 시작 전에 잘못된 값을 걸러내고, VAP 구성 가능 컨트롤은 이제 params를 필수로 요구합니다. 검증 없이 --format을 스크립트에 넘기거나 params 없이 VAP 컨트롤을 실행하던 경우, 이제 조용히 넘어가지 않고 즉시 오류로 실패합니다.

주요 변경 (8)
  • 스캔 완료 웹훅 콜백에 SSRF 방어 로직을 추가해 아웃바운드 알림의 요청 위조 취약점을 막았습니다.
  • config.json 권한을 소유자 전용으로 좁혀, 기존 설치본의 기본 파일 접근 방식이 바뀝니다.
  • 설치조차 안 되던 고립 상태의 SecurityException CRD와 관련 테스트를 제거했습니다.
  • --format 플래그가 스캔 전에 잘못된 값을 거부하고, VAP 구성 가능 컨트롤은 params를 필수로 요구하도록 검증이 강화됐습니다.
  • `operator remediate` CLI 서브커맨드(annotate, dry-run 모드), VAP 엔진용 CEL 환경 빌더/평가기, DEK 래핑을 포함한 암호화 리포트 복호화 기능이 새로 추가됐습니다.
  • GVR 조회 실패를 감지해 감점하는 스캔 커버리지 점수 지표와, OPA 프로세서의 컨트롤별 평가 타임아웃(타임아웃 시 0점 처리, 부분 결과 폐기)이 추가됐습니다.
  • nil ScanData, 조직명 없는 이미지 이름 파싱, 스캔 실행 고루틴 등 여러 패닉을 수정했고 스캔 리스너 서버에 HTTP 타임아웃을 설정했습니다.
  • 리소스 중복 제거, 호스트 센서 infoMap 병합, SARIF 라인 번호 해석, 출력 덮어쓰기 방지, 고립된 RoleBinding 처리 등 10여 개의 소소한 수정과 Go 1.26 전환도 포함됩니다.
원문

Keycloak

Security2026년 6월 26일

Keycloak 26.6.4는 CVE 8건을 수정하는 보안 릴리스로, critical 등급 두 건(권한 상승, JWT 인증 우회)과 high 등급 인가 우회 네 건이 포함되어 있습니다. 가능한 빨리 업그레이드하는 것을 권장하며, Quarkus도 3.33.2.1로 함께 올라갔습니다.

  • securitycritical 등급 취약점 두 건: 그룹 관리자 권한 상승, JWT 인증 우회

    CVE-2026-9099는 그룹 관리자가 realm-admin 권한까지 획득할 수 있는 취약점이고, CVE-2026-11800은 JWT 알고리즘 혼동을 이용한 인증 우회입니다. 둘 다 critical 등급이므로 가능한 빨리 26.6.4로 업그레이드해야 합니다.

  • securityhigh 등급 인가·접근 제어 우회 취약점 네 건

    CVE-2026-9705(등록 액세스 토큰을 이용한 클라이언트 탈취), CVE-2026-9795(스코프 매핑 오류로 인한 권한 상승), CVE-2026-9799(UMA 권한 티켓 우회), CVE-2026-9800(Policy Enforcer의 URI 비교 오류로 인한 인가 우회) 모두 high 등급입니다. UMA 인가, 세분화된 스코프 매핑, Policy Enforcer를 사용 중이라면 이번 업그레이드를 우선순위에 두세요.

  • securitymedium 등급 취약점 두 건: 정보 노출과 XSS

    CVE-2026-9083(파일시스템 경로 탐지를 통한 정보 노출)과 CVE-2026-9086(대소문자 무시 URI 검증 우회로 인한 XSS)은 medium 등급으로 함께 수정되었습니다.

주요 변경 (5)
  • 이번 릴리스에서 CVE 8건이 수정되었고 그중 두 건이 critical입니다: CVE-2026-9099(그룹 관리자의 realm-admin 권한 상승), CVE-2026-11800(JWT 알고리즘 혼동을 통한 인증 우회)
  • high 등급 수정 네 건: 등록 액세스 토큰을 이용한 클라이언트 탈취(CVE-2026-9705), 스코프 매핑 권한 상승(CVE-2026-9795), UMA 권한 티켓 우회(CVE-2026-9799), Policy Enforcer의 URI 비교 오류로 인한 인가 우회(CVE-2026-9800)
  • medium 등급 수정 두 건: 파일시스템 경로 탐지 정보 노출(CVE-2026-9083), URI 검증 우회 XSS(CVE-2026-9086)
  • Quarkus 의존성이 3.33.2.1로 업그레이드됨
  • 그 외 자잘한 빌드·패키징 수정: 26.2 브랜치의 Infinispan protoschema 빌드 문제, JS와 Admin Client 테스트 스위트 CI 수정, keycloak-api-docs-dist 패키징 수정, 마이그레이션 가이드 참조 오류 수정
원문

cert-manager

Security2026년 6월 25일

v1.19.6은 cert-manager-edit ClusterRole에서 발견된 HIGH 등급 RBAC 권한 상승 취약점(사용자가 ACME Challenge/Order를 직접 생성해 Issuer solver 셀렉터를 우회할 수 있던 문제)을 수정하는 보안 패치이며, CVE 3건을 해결하는 Go 툴체인 업데이트도 포함합니다. 이번 RBAC 수정에는 문서화된 주요 권한 변경이 포함되어 있습니다.

  • securityACME Challenge/Order 직접 생성을 통한 RBAC 권한 상승

    v1.19.6에 적용됩니다. 기본 cert-manager-edit 애그리게이트 ClusterRole은 네임스페이스 사용자가 ACME Challenge와 Order 리소스를 직접 생성할 수 있게 해, Issuer solver 셀렉터를 우회할 수 있었습니다. 이번 패치로 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create/patch/update 권한이 해당 역할에서 제거되었습니다. HIGH 등급 취약점(GHSA-8rvj-mm4h-c258)이므로 v1.19.6으로 업그레이드하세요.

  • securityGo 툴체인 1.25.11로 업데이트, CVE 3건 해결

    v1.19.6에서 무조건 적용됩니다. Go가 1.25.11로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 해결합니다. 업그레이드 외에 별도 조치는 필요 없습니다.

  • breakingcert-manager-edit ClusterRole의 Challenge/Order 생성 권한 제거

    Certificate → CertificateRequest → Order → Challenge 흐름을 벗어나 Challenge나 Order 리소스를 직접 생성하는 도구나 워크플로우가 있다면, 업그레이드 후 해당 권한을 잃게 되므로 별도로 권한을 부여해야 합니다.

주요 변경 (4)
  • HIGH 등급 RBAC 취약점 수정(GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole이 ACME Challenge/Order 직접 생성을 허용해 Issuer solver 셀렉터를 우회할 수 있었음
  • 주요 변경(breaking): cert-manager-edit이 더 이상 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create/patch/update 권한을 부여하지 않음. Challenge/Order를 직접 생성하는 도구는 권한을 별도로 부여해야 함
  • Go를 1.25.11로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 해결
  • 앞서 Go 1.25.10 업데이트와 기타 의존성 업데이트 다수 포함
원문

cert-manager

Security2026년 6월 25일

v1.20.3은 cert-manager-edit ClusterRole의 HIGH 심각도 RBAC 과잉 권한(GHSA-8rvj-mm4h-c258)을 수정하고 Go를 v1.26.4로 올려 CVE 3건을 해결한 보안 릴리스입니다. 업그레이드 전에 Challenge·Order 리소스를 직접 생성하는 워크플로가 있는지 반드시 확인하세요.

  • securitycert-manager-edit ClusterRole RBAC 과잉 권한 (GHSA-8rvj-mm4h-c258)

    GHSA-8rvj-mm4h-c258(HIGH): cert-manager-edit 집계 ClusterRole이 네임스페이스 사용자에게 Challenge·Order 리소스 직접 생성 권한을 부여해, Issuer 솔버 셀렉터를 우회할 수 있었습니다. v1.20.3에서 수정되었으므로, 클러스터에 신뢰하지 않는 네임스페이스 사용자가 있다면 즉시 업그레이드하세요.

  • securityGo v1.26.4 업데이트 (CVE 3건)

    Go가 v1.26.4로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 세 건의 CVE가 수정됩니다. 별도 설정 변경 없이 cert-manager를 업그레이드하면 적용됩니다.

  • breakingBreaking: cert-manager-edit에서 Challenge·Order 직접 생성 권한 제거

    cert-manager-edit ClusterRole에서 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create·patch·update 권한이 제거되었습니다. 정상 흐름(Certificate → CertificateRequest → Order → Challenge)을 거치지 않고 Challenge나 Order를 직접 생성하는 자동화 도구·CI 워크플로가 있다면, 업그레이드 전에 반드시 수정하세요.

주요 변경 (4)
  • HIGH 심각도 RBAC 취약점 수정 (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole에서 Challenge·Order 직접 생성을 허용하는 권한을 제거해 Issuer 솔버 셀렉터 우회 경로를 차단했습니다.
  • Breaking 변경: cert-manager-edit 집계 ClusterRole에서 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create·patch·update 권한이 삭제되었습니다.
  • Go를 v1.26.4로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 수정했습니다.
  • 버그 수정: Challenge 리소스에 포함되어 있던 issuer owner reference가 제거되어 Challenge 가비지 컬렉션이 정상 작동합니다.
원문

OpenFGA

Security2026년 6월 17일

v1.18.0은 OIDC 인증 우회와 preshared key 타이밍 취약점 두 가지 보안 버그를 수정합니다. MySQL 사용자는 스키마 마이그레이션으로 인해 업그레이드 전 유지보수 시간을 반드시 확보해야 합니다.

  • securityOIDC audience 우회 취약점 — 업그레이드 전 설정 확인 필수

    authn.oidc.audience를 설정하지 않으면 JWT audience 검증이 무음으로 건너뛰어졌고, 신뢰된 issuer가 발급한 모든 토큰이 수락됐습니다. 업그레이드 후에는 issuer와 audience가 모두 없으면 서버가 기동하지 않습니다. 배포 설정에 authn.oidc.audience가 명시돼 있는지 미리 확인하세요.

  • securityPreshared key 타이밍 사이드채널 수정 — 키 교체 고려

    기존 map lookup 기반 preshared key 검증은 응답 시간 차이로 유효한 키 바이트를 추측할 수 있었습니다. 이제 constant-time 비교로 수정됐습니다. 즉각적인 조치는 불필요하지만, 이 키가 신뢰할 수 없는 네트워크 경로에 오랫동안 노출됐다면 키를 교체하는 것이 좋습니다.

  • breakingMySQL 사용자: 서버 기동 시 auto-migration 실행 금지

    마이그레이션 008은 tuple 및 changelog 테이블에 공유 락을 획득합니다. 데이터가 많은 프로덕션 환경에서는 Write 작업이 장시간 차단될 수 있습니다. collation_migrations.md 운영 가이드를 먼저 읽고, 유지보수 시간을 잡아 마이그레이션을 수동으로 실행하세요. auto-migration 옵션은 반드시 끄세요.

주요 변경 (4)
  • MySQL 스키마 마이그레이션 008: 식별자 비교를 대소문자 구분(case-sensitive)으로 변경, tuple·changelog 테이블에 공유 락(shared lock) 획득
  • Preshared key 인증에 constant-time 비교 도입 — 이전 map lookup 방식의 타이밍 사이드채널 차단
  • OIDC 설정 검증 강화: authn.oidc.issuer 또는 authn.oidc.audience 누락 시 서버 기동 거부, 기존의 JWT audience 조용한 우회 방지
  • MySQL 식별자 비교 동작이 Postgres·SQLite와 동일하게 대소문자 구분으로 통일
원문

Open Policy Agent (OPA)

Security2026년 6월 8일

OPA HTTP 핸들러와 암호화 내장 함수에 영향을 주는 Go stdlib 취약점 2건을 수정한 보안 패치입니다. v1.17.0 대비 코드 변경은 없습니다.

  • securityOPA 서버 또는 crypto 내장 함수 사용 시 즉시 v1.17.1로 업그레이드

    Go stdlib 취약점 두 건(GO-2026-5039, GO-2026-5037)이 OPA의 HTTP 핸들러와 암호화 내장 함수에 직접 영향을 줍니다. OPA를 서버 모드로 운영하거나 Rego에서 crypto 관련 내장 함수를 사용 중이라면 v1.17.0 이하에서 노출된 상태입니다. v1.17.1은 코드 변경이 없으므로 설정이나 정책 수정 없이 바이너리만 교체하면 됩니다. OPA 바이너리를 직접 빌드하는 경우엔 Go 툴체인을 1.26.4로 직접 올려야 합니다.

주요 변경 (4)
  • Go 런타임 1.26.3 → 1.26.4 업그레이드
  • GO-2026-5039: HTTP 핸들러 관련 stdlib 취약점 수정
  • GO-2026-5037: 암호화 내장 함수 관련 stdlib 취약점 수정
  • v1.17.0 대비 기능 변경 없음 — 순수 보안 패치
원문

OpenFGA

Security2026년 6월 5일

v1.17.1은 이터레이터 캐시의 stale read 버그와 타입 이름에 '|' 문자가 포함될 때 continuation token이 깨지는 문제를 수정한 패치 릴리스입니다.

  • security캐시 stale read로 잘못된 권한 결정이 반환될 수 있었음 — 즉시 패치

    이터레이터 캐시가 쓰기 시각을 기준으로 LastModified를 설정하고 있어, 캐시 항목이 유효 기간을 초과해 살아남아 오래된 데이터를 서빙할 수 있었습니다. 권한 시스템에서 만료된 'allow' 판정이 그대로 반환되는 건 실질적인 보안 위험입니다. 캐싱을 활성화해 운영 중이라면 v1.17.1로 즉시 업그레이드하세요.

  • breaking'|' 포함 타입 이름 사용 중이라면 페이지네이션 즉시 재검증

    FGA 모델에서 '|' 문자가 들어간 타입 이름을 쓴다면, continuation token이 잘못 역직렬화되어 ListObjects 등 페이지네이션 API가 불완전하거나 잘못된 결과를 반환했을 수 있습니다. 오류 메시지 없이 조용히 깨지는 유형이라 놓치기 쉽습니다. v1.17.1로 업그레이드한 뒤 해당 타입 이름을 참조하는 페이지네이션 흐름을 반드시 재테스트하세요.

  • enhancementv2Check 폴백 제거 — 에러 처리 로직 사전 점검 필요

    기존에는 스로틀링이나 유효성 검증 오류 발생 시 v2Check가 v1 동작으로 조용히 폴백해 실제 문제가 숨겨졌습니다. 이제 해당 오류가 직접 반환됩니다. 애플리케이션이 check 오류를 묵시적으로 삼키거나 폴백 동작을 가정하고 있다면, 이전에 보이지 않던 오류가 갑자기 노출될 수 있습니다. 프로덕션 배포 전 부하 상황에서 반드시 테스트하세요.

주요 변경 (5)
  • 이터레이터 캐시 stale read 수정: LastModified 기준을 쿼리 시작 시각으로 고정해 캐시 항목이 의도보다 오래 살아남는 문제 해결
  • 타입 이름에 '|' 포함 시 continuation token 역직렬화 실패 버그 수정 — 페이지네이션 결과가 조용히 깨지던 문제
  • v2Check가 스로틀링·유효성 검증 오류 시 v1 동작으로 폴백하지 않도록 변경, 실행 시맨틱 강화
  • Go 툴체인 1.26.4 및 grpc-health-probe v0.4.52로 업그레이드
  • 캐싱 관련 공식 문서 현행화
원문

Keycloak

Security2026년 6월 4일

Keycloak 26.6.3은 OIDC, SAML, LDAP, WebAuthn, 인가 서비스 전반에 걸쳐 16개의 CVE를 수정한 긴급 보안 패치입니다. 즉시 업그레이드해야 합니다.

  • security16개 CVE 포함 — 즉시 26.6.3으로 업그레이드

    이번 릴리스에서 패치된 취약점 중 특히 위험한 항목은 다음과 같습니다. CVE-2026-9704(토큰 교환 시 subject_token 묵시적 제거를 통한 권한 상승), CVE-2026-4874(OIDC 토큰 엔드포인트 SSRF), CVE-2026-9802(서버 재시작 후 교체된 리프레시 토큰 재사용), CVE-2026-8830(WebAuthn 서버 측 검증 누락). 26.x 버전을 운영 중이라면 정기 유지보수 일정을 기다리지 말고 즉시 패치 창을 잡으세요. 업그레이드 전 마이그레이션 가이드를 반드시 확인해야 합니다.

  • security와일드카드 리다이렉트 URI 수정 후 클라이언트 설정 검토 필요

    와일드카드 리다이렉트 URI 매칭 로직이 변경되었습니다. 호스트명 바로 뒤에 '*'를 붙인 패턴이 임의의 서브도메인이나 경로와 일치하지 않도록 강화되었습니다. 업그레이드 후 기존 클라이언트의 리다이렉트 URI가 정상 동작하는지 각 환경에서 반드시 확인하세요. 지나치게 넓게 설정된 와일드카드 패턴이 있다면 이번 기회에 정리하는 것을 권장합니다.

  • securityLDAP 페더레이션 및 토큰 교환 설정 점검

    CVE-2026-9801은 LDAP 페더레이션에서 잘못된 형식의 PasswordPolicyControl을 통한 DoS 공격을 허용합니다. 외부 트래픽이 LDAP 기반 인증 흐름에 닿을 수 있는 구성이라면 우선순위를 높여 패치하세요. CVE-2026-9704는 토큰 교환 사용 시 subject_token 제거를 통한 권한 상승 문제로, 업그레이드 후 토큰 교환 정책 범위가 올바르게 설정되어 있는지 재확인해야 합니다.

주요 변경 (5)
  • 16개 CVE 패치: 토큰 교환 권한 상승, OIDC 엔드포인트 SSRF, 검증되지 않은 JWT azp 클레임의 CORS 헤더 반영, WebAuthn 등록 우회 등
  • 서버 재시작 시 startupTime 초기화 버그 수정 — revokeRefreshToken=true 설정에서 교체된 리프레시 토큰이 재사용되던 취약점(CVE-2026-9802) 해결
  • 와일드카드 리다이렉트 URI 매칭이 호스트 경계를 강제 적용하도록 수정 — 기존에는 서브도메인·경로 우회 공격이 가능했음
  • ROPC 그랜트 클라이언트 정책 우회 및 토큰 인트로스펙션의 notBefore 처리 오류 수정
  • 시작 시 DB 인덱스 누락 여부 체크 추가, SQL Server 대소문자 구분 콜레이션 환경 업그레이드 실패 수정
원문

OpenFGA

Security2026년 6월 2일

v1.17.0은 캐시 키 생성 방식을 TLV 인코딩으로 교체해 해시 플러딩 공격을 차단하고, OpenTelemetry 트레이스 샘플러를 설정 가능하게 만들었습니다.

  • security해시 플러딩 방어를 위해 즉시 업그레이드

    기존 문자열 연결 방식의 캐시 키는 해시 플러딩 공격과 키 충돌 위험에 노출되어 있었습니다. TLV 인코딩과 프로세스별 해시 시딩으로 두 문제를 모두 해결했으며, 설정 변경 없이 버전 업그레이드만으로 적용됩니다. 멀티테넌트 환경이나 외부에 노출된 OpenFGA를 운영 중이라면 이번 릴리스를 우선 적용하세요.

  • enhancementAPI 게이트웨이나 서비스 메시 뒤에서 운영한다면 parent-based 샘플링 설정 권장

    기존에는 OpenFGA가 업스트림의 샘플링 결정을 따르지 못해 스택 전체에서 트레이스가 일관되지 않게 수집되는 문제가 있었습니다. `OPENFGA_TRACE_SAMPLER=parentbased_always_on` 또는 `parentbased_traceidratio`로 설정하면 호출 서비스의 샘플링 결정을 그대로 따릅니다. OpenFGA가 대형 트레이싱 시스템의 다운스트림에 위치한다면, 불필요한 트레이스 노이즈를 줄이고 기존 옵저버빌리티 전략과 일관성을 맞출 수 있습니다.

주요 변경 (5)
  • 캐시 키 생성을 문자열 연결에서 TLV 바이너리 인코딩으로 전환해 충돌 위험 제거
  • 프로세스별 해시 시딩 추가로 해시 플러딩 공격 방어
  • `trace.sampler` / `OPENFGA_TRACE_SAMPLER` / `OTEL_TRACES_SAMPLER`로 트레이스 샘플러 설정 가능
  • parent-based 변형 포함 모든 표준 OTel 샘플링 전략 지원
  • 기본 샘플러는 `traceidratio`로 기존 동작 유지
원문

Kubescape

Security2026년 5월 29일

Kubescape v4.0.9는 스캔 정확도 버그(부분 리소스 수집, 커버리지 리포팅, Prometheus 출력)를 고치고 스캔 리포트의 정보 노출을 보강하며, patch 명령의 기본 푸시 동작을 변경한 대규모 유지보수 릴리스입니다.

  • security시크릿 노출 관련 수정과 신규 익명화 플래그 점검

    스캔 결과의 정보 노출을 막는 수정이 여러 건 포함됐습니다. removeContainersData에서 EnvFrom과 Env[].ValueFrom을 제거하고(커밋 acc3280, 0c68cca), /v1/results의 IDOR 취약점을 보강했으며(커밋 0fe6a0f), 리소스 이름·네임스페이스·라벨·어노테이션·컨테이너 메타데이터를 가리는 --hide 익명화 파이프라인이 새로 추가됐습니다. 스캔 리포트를 팀 밖으로 공유하거나 CI 아티팩트로 내보낸다면 --hide 플래그를 검토하고 컨테이너 환경변수 참조가 노출되지 않는지 확인하세요.

  • breakingpatch 명령의 기본 푸시 동작 제거

    Kubescape의 fix 명령이 이제 기본적으로 패치된 이미지를 푸시하지 않습니다(커밋 b10cbb1). CI 파이프라인이 기존의 기본 푸시 동작에 의존하고 있었다면 --push 플래그를 명시적으로 추가해야 합니다. 그렇지 않으면 업그레이드 후 패치 파이프라인이 아무 경고 없이 이미지 푸시를 멈춥니다.

  • enhancement신규 커버리지 게이트와 diff 명령을 CI에 도입

    CI 파이프라인에서 스캔 커버리지와 컨트롤 결과를 게이트할 수 있는 플래그가 추가됐습니다. --fail-coverage-below로 최소 커버리지 임계값을 지정할 수 있고(커밋 4ae7b87), 커버리지 누락 및 미평가 컨트롤도 명시적으로 리포트됩니다(커밋 5876d2b). 두 스캔 리포트를 비교하는 kubescape diff 명령도 새로 생겼습니다(커밋 00682ee). 이전에는 리소스 수집이 일부 실패해도 조용히 통과했던 CI 게이트에 --fail-coverage-below를 추가하고, kubescape diff로 스캔 간 보안 상태 변화를 추적하세요.

주요 변경 (6)
  • GVR(리소스 타입) 일부 수집 실패를 조용히 무시하지 않고 표면화하며, ScanCoverage가 실패·미평가 컨트롤을 반영합니다
  • CI 커버리지 게이트용 --fail-coverage-below 플래그와 리포트 비교용 kubescape diff 명령이 새로 추가됐습니다
  • 리소스 이름, 네임스페이스, 라벨, 어노테이션, 컨테이너 메타데이터를 가리는 --hide 플래그와 익명화 파이프라인이 새로 생겼습니다
  • fix 명령이 이제 이미지 푸시에 명시적 opt-in을 요구합니다 (이전에는 기본으로 푸시했습니다)
  • Prometheus 출력 관련 수정 다수: 누락된 HELP/TYPE 헤더 추가, score/metrics 출력 writer 경로 수정, 중복 헤더 제거
  • K8s 리소스 수집을 병렬화해 성능을 개선했고 TimedCache의 TOCTOU 레이스 컨디션을 고쳤습니다
원문

SPIRE

Security2026년 5월 28일

v1.14.7은 azure_imds 노드 어테스터의 인증서 검증 결함을 수정합니다. 공격자가 임의 Azure VM으로 위장해 노드 어테스테이션을 통과할 수 있었던 취약점으로, Azure IMDS를 사용 중이면 즉시 업그레이드해야 합니다.

  • securityazure_imds 노드 어테스터 사용 중이면 즉시 업그레이드

    azure_imds 노드 어테스터에서 PKCS7 인증서 검증 로직에 결함이 있었습니다. 인증서 백의 첫 번째 인증서를 Azure 루트에 anchoring하면서도, 실제 서명 검증은 SignerInfo에서 별도로 가져온 서명자 인증서로 수행했습니다. 공격자가 정상적인 Azure 인증서를 인증서 백에 넣고 별개의 인증서로 서명된 문서를 함께 제출하면, 임의 VM으로 위장한 노드 어테스테이션이 통과될 수 있었습니다. Azure IMDS 노드 어테스터를 쓰고 있다면 즉시 업그레이드해야 합니다.

  • enhancement의존성 패키지 일괄 업데이트 포함

    golang.org/x/net, golang.org/x/crypto, go-jose/v4, Go 툴체인(1.26.3)이 모두 업데이트됩니다. SPIRE 자체를 업그레이드하면 함께 적용되므로 별도 조치는 필요 없습니다.

주요 변경 (4)
  • azure_imds 서버 노드 어테스터의 PKCS7 인증서 검증 결함 수정 — 서명 검증과 체인 검증이 분리되어 노드 위장 가능했던 문제
  • Go 툴체인 1.26.3으로 업데이트
  • golang.org/x/net v0.55.0, golang.org/x/crypto v0.52.0으로 업그레이드
  • go-jose/v4 v4.1.4로 업데이트
원문

Falco

Security2026년 5월 26일

Falco 0.44.0은 오래 전부터 deprecated된 gRPC 출력, gVisor 엔진, 레거시 BPF 프로브를 최종 제거합니다. 이 중 하나라도 사용 중인 배포 환경은 업그레이드 전 마이그레이션이 필수입니다.

  • securityfalco-webui 로컬 전용으로 제한 — 외부 접근 도구 확인 필요

    falco-webui Docker 서비스가 이제 로컬호스트 접근만 허용하도록 변경됩니다. 네트워크를 통해 webui에 접근하는 대시보드나 도구가 있다면 업그레이드 후 동작이 달라집니다. 보안 측면에서는 바람직한 변경이지만, 외부에서 webui를 호출하는 자동화 스크립트나 모니터링 도구가 있는지 미리 확인하세요.

  • breaking세 가지 기능 제거 — 업그레이드 전 설정 점검 필수

    이번 릴리스에서 gRPC 출력/서버, gVisor 엔진, 레거시 BPF 프로브가 한꺼번에 제거됩니다. gRPC 기반 출력을 쓰고 있다면 HTTP JSON 출력이나 사이드카 방식으로 전환한 뒤 업그레이드해야 합니다. gVisor를 쓰는 팀은 지원되는 엔진으로 바꿔야 하고, 레거시 BPF를 쓰는 팀은 modern eBPF 프로브로 이동해야 합니다. 0.44.0을 프로덕션에 적용하기 전에 현재 falco.yaml과 배포 구성을 반드시 점검하세요.

  • enhancement룰 문법 확장 — 커스텀 룰 파일 유효성 사전 확인 권장

    룰 엔진에 oneof/allof/anyof 문자열 비교 수식자가 추가됐고, 리스트 트랜스포머 예외도 지원됩니다. 커스텀 룰을 관리하는 팀이라면 기존에 중복 조건으로 우회했던 부분을 이 기능으로 간소화할 수 있습니다. 또한 이번 버전부터 룰 파일에 알 수 없는 키가 있으면 오류가 발생합니다. 기존 룰 파일에 오타나 비표준 필드가 있다면 업그레이드 전에 미리 검증해두세요.

주요 변경 (7)
  • gRPC 출력/서버 제거 — 업그레이드 전 출력 방식 마이그레이션 필요
  • gVisor 엔진 제거 — 해당 엔진 사용 중이면 지원 엔진으로 전환 필요
  • 레거시 BPF 프로브 제거 — modern eBPF 프로브로 전환 필요
  • 룰 엔진에 oneof/allof/anyof 문자열 비교 수식자 추가
  • 룰 파일 내 unknown key 검증 — 비표준 필드가 있으면 오류 발생
  • falco-webui Docker 서비스가 로컬호스트 전용으로 제한
  • 캡처 파일에 capture_events, capture_filesize 종료 조건 추가
원문

OpenFGA

Security2026년 5월 20일

v1.16.0은 키 로테이션 후 OIDC 토큰 거부 버그를 수정하고, 실험적 weighted_graph_check의 두 가지 정합성 버그를 패치하며, Go 표준 라이브러리 취약점 대응을 위해 툴체인을 업데이트했습니다.

  • securityOIDC 인증 사용 중이거나 Go stdlib CVE 영향권이라면 즉시 업그레이드

    두 가지 보안 사항이 있습니다. 첫째, 발급자 키를 로테이션한 후 유효한 토큰이 401로 거부되는 현상이 있었다면 JWKS 갱신 버그가 원인입니다. 이번 패치로 미등록 kid 수신 시 JWKS를 즉시 갱신합니다. 둘째, Go 1.24.3이 패치하는 표준 라이브러리 취약점의 영향을 Go 릴리스 노트에서 직접 확인하고, v1.16.0으로 빠르게 업그레이드하세요.

  • breakingweighted_graph_check 사용 중이라면 업그레이드 후 결과 검증 필수

    이전 버전의 weighted_graph_check는 캐시 키 충돌과 고루틴 취소 시 false 결과 캐싱으로 인해 실제로는 허용되어야 할 요청을 거부할 수 있었습니다. 실험적 기능이지만 실제 트래픽에 적용 중이라면, 업그레이드 후 알려진 권한 시나리오로 결과를 검증해 이전 오동작의 영향을 확인하세요.

  • enhancementPingTimeout 설정으로 데이터스토어 연결 문제를 빠르게 감지

    새로 추가된 PingTimeout과 PingRetryMaxElapsedTime으로 시작 시 및 헬스체크 중 데이터스토어 연결 대기 시간을 명시적으로 제어할 수 있습니다. SLO에 맞게 타이트하게 설정해두면, 데이터스토어가 저하된 상태에서 서버가 그냥 올라오는 상황을 예방할 수 있습니다.

주요 변경 (5)
  • OIDC 인증: 미등록 kid 감지 시 JWKS 자동 갱신(분당 1회 제한)으로 키 로테이션 후 토큰 거부 문제 해결
  • Go 툴체인을 1.24.3으로 업데이트하여 표준 라이브러리 보안 취약점 대응
  • 실험적 weighted_graph_check의 union 해석 시 캐시 키 충돌 버그 수정
  • union 단락(short-circuit) 또는 재귀 해석으로 취소된 고루틴이 false 결과를 캐싱하던 버그 수정
  • 데이터스토어 ping 타임아웃 설정 추가: PingTimeout, PingRetryMaxElapsedTime
원문

Keycloak

Security2026년 5월 19일

Keycloak 26.6.2는 세션 고정 공격, XSS, 접근 제어 우회, 리다이렉트 URI 검증 우회, 암호화 취약점 등 16개 CVE를 수정한 보안 집중 패치입니다. 즉시 업그레이드해야 합니다.

  • security즉시 업그레이드 — 계정 탈취 및 개인정보 노출 CVE 다수 포함

    이번 릴리스는 표준 OIDC 플로우와 관리 API에 직접 영향을 주는 취약점들을 수정합니다. 세션 고정으로 인한 계정 탈취(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 위조된 클라이언트 데이터를 통한 토큰 노출(CVE-2026-7571), 계정 리소스 조회를 통한 개인정보 열거(CVE-2026-37981) 등이 포함됩니다. 이론적 위협이 아니라 실제 운영 환경에서 악용 가능한 수준입니다. 변경 관리 프로세스가 있더라도 긴급 패치로 처리해야 합니다.

  • securityFreeMarker RCE 취약점 — 업그레이드 전 커스텀 로그인 테마 점검 필수

    #47915 이슈로 추적된 취약점은 FreeMarker 템플릿에서 임의의 Java 객체를 인스턴스화하고 OS 명령을 실행할 수 있는 문제였습니다. 사용자 입력이 FTL 파일에 반영되는 커스텀 로그인 테마를 운영 중이라면 지금 바로 감사하세요. 수정 후에는 FTL 내 JS 블록에 새로운 이스케이프 처리가 적용되므로, 특히 frontchannel-logout.ftl을 포함한 커스텀 테마가 업그레이드 후에도 정상 동작하는지 반드시 테스트해야 합니다.

  • securityWebAuthn AAGUID 정책 우회 — 기존 등록 자격증명 재검토 필요

    CVE-2026-6856으로 인해 WebAuthn 등록 시 Packed Self-Attestation을 통해 AAGUID 허용 목록 정책을 우회할 수 있었습니다. 규제 환경에서 특정 FIDO2 보안 키만 허용하도록 AAGUID 제한을 설정한 경우, 정책에 위반되는 자격증명이 이미 등록되어 있을 가능성이 있습니다. 업그레이드 후 최근 등록된 WebAuthn 자격증명을 검토하고, 하드웨어 증명이 컴플라이언스 요구사항이라면 재등록을 요구하는 방안을 검토하세요.

주요 변경 (5)
  • 계정 탈취로 이어지는 OIDC 세션 고정(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 액세스 토큰 노출(CVE-2026-7571), 조직 템플릿 Stored XSS(CVE-2026-37980) 등 16개 CVE 패치
  • Packed Self-Attestation을 통한 WebAuthn AAGUID 정책 우회 수정 — 이전까지는 하드웨어 인증기 정책 집행이 불완전했음
  • OIDC 인트로스펙션 엔드포인트에 audience 제한 적용 — 경량 액세스 토큰의 클레임 누출 차단
  • FreeMarker 템플릿에서 Java 객체 인스턴스화 및 OS 명령 실행 가능했던 RCE급 취약점 수정
  • 26.7 스키마 변경 시에도 JDBC_PING이 깨지지 않도록 개선하여 롤링 업그레이드 안정성 향상
원문

The Update Framework (TUF)

Security2026년 5월 18일

v7.0.0은 Windows 위임 경로 매칭 보안 취약점(GHSA-qp9x-wp8f-qgjj)을 수정하고, ngclient의 Updater() 생성자 시그니처를 변경한 메이저 릴리스입니다.

  • securityWindows 환경이라면 즉시 v7.0.0으로 업그레이드하세요

    GHSA-qp9x-wp8f-qgjj는 Windows에서 위임 경로 매칭이 의도와 다르게 동작해, 신뢰해서는 안 될 타겟이 검증을 통과할 수 있는 취약점입니다. Windows 클라이언트가 하나라도 있다면 즉시 패치해야 합니다. Linux/macOS는 직접적인 영향은 없지만, 어차피 업그레이드 필요성은 동일합니다.

  • breakingUpdater() 호출 코드 전수 점검 필요

    'bootstrap'이 선택적 인자에서 명시적 키워드 인자로 바뀌었습니다. 기존에 bootstrap을 생략하고 Updater()를 호출하던 코드는 즉시 TypeError가 발생합니다. 코드베이스 전체에서 Updater() 호출 부분을 찾아 bootstrap=None을 추가하는 것으로 간단히 해결됩니다. 호출 지점마다 한 줄 수정이지만, 빠뜨리면 런타임 오류로 직결됩니다.

  • enhancementsecuresystemslib.hash 의존성 제거 예고에 미리 대비하세요

    이번 릴리스는 securesystemslib.hash 제거의 시작점입니다. 커스텀 TUF 확장이나 내부 코드에서 securesystemslib.hash를 직접 import하거나 사용하고 있다면, 차기 릴리스에서 완전히 제거되기 전에 마이그레이션 계획을 세워두는 것이 좋습니다.

주요 변경 (5)
  • Windows에서 위임 경로 매칭이 잘못 동작하던 보안 취약점(GHSA-qp9x-wp8f-qgjj) 수정
  • Updater() 생성자에서 'bootstrap'이 이제 명시적 키워드 인자로 필수화됨
  • 기존 동작을 유지하려면 bootstrap=None을 명시적으로 전달해야 함
  • 향후 securesystemslib.hash 의존성 제거를 위한 사전 준비 작업 포함
  • 문서 오류 다수 수정
원문

OpenFGA

Security2026년 5월 6일

v1.15.1은 Check 데드락, 세마포어 누수, 실험적 가중치 그래프 캐시 충돌 등 운영 안정성에 직결되는 버그를 수정한 패치 릴리스입니다.

  • security`weighted_graph_check` 캐시 충돌은 권한 오판을 유발할 수 있음

    실험적 `weighted_graph_check` 기능을 사용 중이라면, 캐시 키 충돌로 인해 직접 타입·와일드카드·TTU 경로·인터섹션이 포함된 유니온 관계에서 잘못된 Check 결과가 반환될 수 있습니다. 권한 오판은 보안 문제로 직결됩니다. 즉시 업그레이드하고, 당장 업그레이드가 불가능하다면 실험적 기능 플래그를 비활성화하세요.

  • breaking데드락·세마포어 누수 버그로 즉시 업그레이드 필요

    두 가지 버그 모두 운영 환경을 조용히 망가뜨릴 수 있습니다. Check 데드락은 오류 발생 시 메시지 스트림이 닫히지 않아 요청 처리가 점점 고갈되고, bounded tuple reader의 세마포어 누수는 타임아웃이 잦은 환경에서 리소스 고갈로 이어집니다. 설정 변경 없이 업그레이드만으로 해결됩니다. Check 응답 지연이나 컨텍스트 취소 후 리소스 압박을 겪었다면 이 버그들이 원인일 가능성이 높습니다.

  • enhancementListObjects 오류 전파 수정 — 쿼리 결과 재검증 권장

    단락(short-circuit) 처리 시 무시돼야 할 오류가 ListObjects 응답에 잘못 노출되는 버그가 수정됐습니다. 의도치 않은 ListObjects 오류를 경험했다면 이번 수정이 원인을 해결합니다. 업그레이드 후 테스트 스위트에서 ListObjects 동작을 한 번 재확인해 두는 게 좋습니다.

주요 변경 (5)
  • 커맨드 오류 처리 중 발생 가능한 패닉 수정
  • 오류 시 메시지 스트림이 무기한 열린 채로 유지되는 Check 데드락 수정
  • 컨텍스트 취소 시 bounded tuple reader의 세마포어 토큰 누수 수정
  • 실험적 `weighted_graph_check`에서 유니온 다중 분기에 대한 캐시 키 충돌 수정
  • ListObjects에서 경로 단락(short-circuit) 시 오류가 잘못 전파되는 버그 수정
원문

Kubescape

Security2026년 5월 4일

v4.0.6은 스캔 결과의 정확성을 크게 개선한 릴리스로, 네임스페이스 필터 오류, OPA 평가 실패 시 묵시적 누락, CVE 예외 처리 대소문자 구분 버그 등 결과에 직접 영향을 주는 문제들을 수정했습니다.

  • securityCVE 예외 목록의 대소문자 일관성 점검 필요

    이전 버전에서는 이미지 스캔 CVE 예외 매칭이 대소문자를 구분했기 때문에, 소문자로 등록된 'ghsa-xxxx' 예외는 적용되지 않았습니다. 업그레이드 후 예외 목록의 CVE/GHSA ID 표기를 검토하고, 실제로 예외 처리되고 있는 항목을 다시 확인하세요.

  • securityHTTP 핸들러 로그에서 요청 바디 기록 제거 — 기존 로그 검토 권고

    이전까지 Kubescape의 HTTP 핸들러가 스캔 요청 전체 바디를 로그에 기록했는데, 여기에 리소스 매니페스트나 민감한 설정 데이터가 포함될 수 있었습니다. 이번 릴리스에서 해당 로깅이 제거됐습니다. 기존에 수집된 로그에 매니페스트 내용이 포함되어 있을 수 있으므로, 로그 보존 정책을 검토하고 필요시 데이터를 폐기하세요.

  • breaking업그레이드 후 스캔 결과 변화 예상 — 기존의 거짓 통과가 실패로 전환됨

    두 가지 버그로 인해 리소스가 스캔 결과에서 조용히 사라지고 있었습니다. OPA 평가 오류가 무시되던 문제와 GVR 수집 부분 실패가 억제되던 문제가 모두 수정됐습니다. 기존 컴플라이언스 점수가 비정상적으로 깔끔했다면, 업그레이드 후 새로 나타나는 실패 항목은 회귀가 아니라 원래부터 존재했던 문제입니다. 결과 기준선을 재정립해야 할 수 있습니다.

주요 변경 (5)
  • OPA 규칙 평가 실패 시 리소스가 조용히 누락되던 문제 수정 — 이제 오류가 명시적으로 표시됨
  • --include-namespaces 사용 시 클러스터 스코프 리소스 결과가 필터링에서 제외되던 버그 수정
  • CVE 예외 매칭이 대소문자 구분 없이 처리되도록 개선 (소문자 CVE ID 예외 누락 방지)
  • kubescape scan에서 Helm 값 오버라이드 전달 가능, Kustomize 디렉터리 내 Helm 렌더링 지원 추가
  • 원시 스캔 요청 바디 로깅 제거 및 동시 요청 시 예외 파일 경합 조건 수정
원문

Open Policy Agent (OPA)

Security2026년 4월 30일

v1.16.0은 URI 빌트인 함수 추가, Data API 메타데이터 지원, OTLP 메트릭 내보내기와 함께, v1.15.x에서 발생한 로그 유실 버그를 수정한 릴리스입니다.

  • securityunits.parse_bytes 지수 상한 적용 — 타임아웃 우회 차단

    units.parse_bytes에 비정상적으로 큰 지수 값을 넣으면 평가 타임아웃을 유발해 정책 집행을 우회할 수 있었습니다. v1.16.0에서 지수 크기에 상한을 두어 수정됐습니다. 사용자 입력이 units.parse_bytes로 전달되는 정책이 있다면 이번 수정이 직접 해당됩니다. 신뢰할 수 없는 소스에서 바이트 문자열을 파싱하는 정책을 우선 검토하세요.

  • breakingv1.15.x 사용 중이라면 즉시 업그레이드 — 로그가 소리 없이 사라집니다

    v1.15.x의 BufferedLogger 버그로 인해 첫 번째 flush 이후 번들 다운로드 로그, print() 출력, 플러그인 로그가 전부 유실됩니다. 옵저버빌리티 스택에서 조용히 데이터가 손실되는 상황입니다. v1.15.x를 프로덕션에서 운영 중이라면 즉시 v1.16.0으로 업그레이드하고, 그 기간 동안의 로그 파이프라인에 공백이 없는지 확인하세요.

  • enhancementuri.parse / uri.is_valid로 기존 정규식 기반 URL 검증 로직 교체하세요

    지금까지 많은 OPA 정책이 URL 파싱이나 검증에 정규식이나 문자열 조작을 써왔는데, 유지보수가 어렵고 엣지 케이스에 취약합니다. uri.parse는 RFC 3986 기반의 구조화된 컴포넌트(scheme, host, path, query 등)를 반환하고, uri.is_valid는 간결한 boolean 검사를 제공합니다. 리다이렉트 URI, 웹훅 URL, 혹은 URL을 포함하는 입력을 다루는 정책이 있다면 커스텀 파싱 로직을 이 빌트인으로 교체하는 게 낫습니다.

주요 변경 (5)
  • RFC 3986 기반 URI 처리를 위한 uri.parse, uri.is_valid 빌트인 함수 신규 추가
  • Data API에 요청/응답 메타데이터 지원 추가 — 커스텀 필드가 결정 로그의 Custom['request_metadata']에 기록됨
  • Prometheus 메트릭을 OTLP로 내보내기 가능 — 옵저버빌리티 파이프라인 통합에 활용 가능
  • v1.15.x에서 번들 다운로드, print() 호출, 플러그인 로그가 무음으로 유실되던 버그 수정
  • units.parse_bytes의 지수 크기 상한 적용으로 타임아웃 우회 가능성 차단
원문

Kyverno

Security2026년 4월 29일

Kyverno 1.18은 HTTP 컨텍스트 보안을 강화하고 이미지 검증 우회 버그를 수정했으며, CLI에서 더 많은 정책 유형을 테스트할 수 있게 됐습니다.

  • security업그레이드 전 HTTP 컨텍스트 정책 전수 검토 필수

    HTTP 컨텍스트를 사용하는 정책은 이제 블록리스트 강제 적용을 받습니다. 기존에 정상 동작하던 외부 HTTP 호출이 업그레이드 후 차단될 수 있습니다. 1.18로 전환하기 전에 HTTP 컨텍스트 항목이 있는 정책을 모두 파악하고, 대상 URL이 기본 블록리스트에 포함되지 않는지 확인하세요. 필요하다면 FLAG_HTTP_BLOCKLIST 오버라이드를 설정해야 합니다. 스코프 토큰 인증 방식도 바뀌었으므로 폭넓은 토큰 권한에 의존하는 정책이 있다면 비프로덕션 클러스터에서 먼저 검증하세요.

  • security이미지 검증 우회 버그 패치 — 실제 적용 여부 재확인 권장

    processResourceWithPatches가 패치 실패 시 nil을 반환해 이미지 검증을 조용히 건너뛰는 버그가 수정됐습니다. 이미지 검증 정책을 운영 중이었다면 그동안 실제로 적용되고 있었는지 확신하기 어렵습니다. 업그레이드 후 준수 여부 스캔을 다시 실행해 결과를 확인하세요. CVE-2026-32280(중간 인증서 제한)과 CVE-2026-32283(Go 툴체인 업그레이드)도 포함됐으니 보안 측면에서 빠른 업그레이드를 권장합니다.

  • enhancementsuccessEventActions로 이벤트 과부하 해소

    정책 범위가 넓은 대규모 클러스터에서는 성공 이벤트가 etcd를 압박하고 이벤트 스트림을 쓸모없게 만들기 쉽습니다. 새 successEventActions 파라미터를 Kyverno ConfigMap에 추가하면 어떤 성공 이벤트를 방출할지 직접 제어할 수 있습니다. 기존 omitEvents 설정과 충돌하면 경고가 발생하니 병행 설정 시 주의하세요.

주요 변경 (5)
  • HTTP 컨텍스트 호출에 블록리스트 강제 적용 및 스코프 토큰 인증 추가 — 외부 HTTP 호출을 사용하는 정책은 업그레이드 전 검토 필요
  • imageRegistryCredentials가 네임스페이스 시크릿과 파드 수준 imagePullSecrets를 참조할 수 있어 멀티테넌트 이미지 검증 구성이 훨씬 유연해짐
  • 패치 실패 시 nil을 반환해 이미지 검증을 조용히 우회하던 processResourceWithPatches 버그 수정
  • successEventActions 파라미터로 성공 이벤트 방출을 세밀하게 제어 가능 — 이벤트 폭증으로 고생하는 대규모 클러스터에 유용
  • kyverno apply·test CLI가 cleanup 정책, HTTP/Envoy authz 정책, mutateExisting을 지원해 CI 파이프라인에서 오프라인 테스트 가능
원문

SPIRE

Security2026년 4월 27일

SPIRE v1.14.6은 EC2 인스턴스 사칭을 허용하는 aws_iid 결함과 조인 토큰 경쟁 조건, 두 가지 심각한 보안 취약점을 수정합니다.

  • securityaws_iid 어테스테이션 사용 중이라면 즉시 업그레이드

    공격자가 EC2 인스턴스 하나만 제어해도 aws_iid 어테스테이션 과정에서 다른 모든 EC2 인스턴스의 신원을 위조할 수 있는 심각한 결함입니다. 위조된 신원은 SPIFFE ID 할당과 워크로드 인가 결정 전체에 영향을 줍니다. v1.14.6으로 즉시 업그레이드하고, 업그레이드 후 노드 어테스테이션 로그에서 실제 AWS 메타데이터와 불일치하는 비정상적인 등록 기록이 없는지 반드시 확인하세요.

  • security조인 토큰 이중 등록 가능 — 지금 패치하고 발급 정책 재검토

    TOCTOU 결함으로 동일한 조인 토큰으로 두 에이전트가 동시에 어테스테이션을 완료할 수 있었습니다. 자동화 파이프라인이나 임시 환경에서 조인 토큰을 배포한다면, 토큰을 탈취한 공격자가 정상 에이전트와의 경쟁으로 등록을 먼저 완료할 위험이 있습니다. v1.14.6으로 업그레이드한 뒤, 토큰 유효 기간을 단축하거나 민감한 워크로드에는 x509pop 같은 대안적 어테스테이션 방식으로 전환하는 것을 검토하세요.

주요 변경 (4)
  • aws_iid 어테스터 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서, 실제 신원은 공격자가 조작 가능한 별도 필드에서 파싱하는 결함 제거
  • 조인 토큰 TOCTOU 경쟁 조건 수정: tx.Delete()가 삭제된 행이 없어도 오류를 반환하지 않아 동일 토큰으로 동시 어테스테이션이 모두 성공하던 문제 해결
  • 행 잠금 기반 읽기-수정-쓰기 트랜잭션으로 교체하여 정확히 하나의 행만 삭제됨을 보장
  • 두 취약점 모두 Tianshuo Han이 제보
원문

SPIRE

Security2026년 4월 27일

v1.13.6은 AWS IID 어테스터의 EC2 인스턴스 사칭 취약점과 조인 토큰의 경쟁 조건 버그를 수정한 보안 패치입니다. 즉시 업그레이드하세요.

  • securityAWS IID 어테스테이션 사용 중이라면 즉시 업그레이드

    AWS IID 어테스터 취약점은 심각합니다. EC2 인스턴스 하나만 제어할 수 있으면 노드 어테스테이션 과정에서 환경 내 임의의 다른 EC2 인스턴스를 사칭할 수 있습니다. SVID 발급, RBAC, 워크로드 인증 등 모든 다운스트림 결정이 위조된 identity 기반으로 동작하게 됩니다. aws_iid 플러그인을 사용 중이라면 v1.13.6으로 즉시 패치하고, SPIRE 서버 로그에서 비정상적인 EC2 노드 어테스테이션 이벤트(특히 크로스 계정·크로스 리전 패턴)를 점검하세요.

  • security동시 에이전트 부트스트래핑 환경이라면 조인 토큰 즉시 교체

    TOCTOU 버그로 인해 같은 조인 토큰을 동시에 사용한 두 에이전트가 모두 어테스테이션에 성공할 수 있었습니다. 1회용 토큰의 보안 보장이 깨진 셈입니다. 업그레이드 후, 동시 에이전트 부트스트래핑이 발생했을 가능성이 있는 시점에 사용된 조인 토큰은 모두 교체하세요. init 컨테이너나 CI 파이프라인처럼 병렬 실행이 가능한 자동화 환경에서 조인 토큰을 사용하고 있다면, 해당 구간에서 경쟁 조건이 실제로 발생했는지 감사 로그를 확인하세요.

주요 변경 (3)
  • AWS IID 어테스터 취약점 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서 실제 identity document는 공격자가 제어 가능한 별도 필드에서 파싱 — EC2 인스턴스 사칭 가능
  • 조인 토큰 TOCTOU 경쟁 조건 수정: 동일 토큰으로 동시 어테스테이션 요청이 모두 성공하는 문제를 행 잠금 기반 read-modify-write 트랜잭션으로 해결
  • 두 취약점 모두 Tianshuo Han이 제보했으며, 이번 릴리스에는 기능 변경 없이 보안 수정만 포함
원문

OpenFGA

Security2026년 4월 27일

v1.15.0은 복잡한 인가 모델의 지연 시간을 줄이는 엣지 프루닝, 실험적 가중 그래프 체커의 캐시 버그 수정, Go 1.26.2 업그레이드를 통한 표준 라이브러리 보안 패치를 담고 있습니다.

  • securityGo 표준 라이브러리 취약점 패치를 위해 즉시 업데이트

    이번 릴리스는 Go 1.26.2를 탑재했으며, Go 표준 라이브러리의 보안 취약점이 수정됐습니다. 컨테이너로 운영 중이라면 새 이미지를 즉시 교체하고, 소스 빌드 환경이라면 툴체인 버전을 맞추세요. 표준 라이브러리 취약점은 TLS, HTTP 파싱, 암호화 경로에 영향을 줄 수 있어 OpenFGA가 직접 의존하는 영역입니다.

  • enhancement복잡한 모델 환경에서 list objects 성능 재측정 권장

    엣지 프루닝은 불필요한 그래프 탐색을 제거합니다. 관계 그래프가 깊거나 넓은 인가 모델을 운영 중이라면 ListObjects 호출의 p99 지연 시간이 줄어들 겁니다. 설정 변경 없이 얻는 성능 개선이니 기존 부하 테스트를 v1.15.0 기준으로 다시 돌려보세요.

  • enhancementweighted_graph_check 사용 중이라면 캐시 동작 재검토 필요

    실험적 기능인 weighted_graph_check가 콜드 스타트나 캐시 컨트롤러 비활성 시 캐시를 조용히 건너뛰고 있었습니다. 파드 초기화 직후 지연 시간이 튀는 현상의 원인이었을 수 있습니다. 수정 후에는 문서 명세대로 제로 무효화 시간일 때 캐시를 사용하므로, 이 기능을 쓰고 있다면 이전에 측정한 동작과 달라질 수 있어 재테스트가 필요합니다.

주요 변경 (3)
  • list objects 파이프라인에 엣지 프루닝 도입 — 복잡한 인가 모델에서 측정 가능한 지연 시간 감소
  • 캐시 컨트롤러가 제로 무효화 시간을 반환할 때(콜드 스타트 또는 비활성 상태) weighted_graph_check 캐시가 잘못 우회되던 버그 수정
  • Go 표준 라이브러리 취약점 대응을 위해 Go 툴체인을 1.26.2로 업그레이드
원문

Kyverno

Security2026년 4월 23일

v1.16.4는 15개 이상의 CVE를 수정한 보안 집중 패치 릴리스로, 네임스페이스 정책에서 HTTP 기본 비활성화 등 동작 변경도 포함됩니다.

  • security즉시 업그레이드 — 공급망 구성 요소 포함 15개 이상 CVE 패치

    sigstore/rekor, go-tuf, docker/cli, Go 표준 라이브러리, Kyverno 자체 코드에 걸쳐 CVE가 수정됐습니다. 이미지 서명 워크플로를 운영 중이라면 rekor와 go-tuf 업데이트가 직접 영향을 줍니다. 다음 정기 유지보수 창에서 업그레이드를 진행하세요. 다음 메이저 사이클까지 미루지 마십시오.

  • breaking네임스페이스 정책에서 HTTP 기본 비활성화 (CVE-2026-4789) — 업그레이드 전 반드시 검증

    평문 HTTP로 외부 데이터를 가져오는 네임스페이스 정책은 이번 업그레이드 후 조용히 동작을 멈춥니다. URL 컨텍스트 소스나 외부 데이터 fetch를 사용하는 ClusterPolicy 또는 Policy 리소스가 있다면, 업그레이드 전에 HTTP(비HTTPS) 엔드포인트 사용 여부를 점검해야 합니다. 해당 엔드포인트를 HTTPS로 전환하거나 HTTPS를 지원하는 데이터 소스로 먼저 마이그레이션하세요.

  • breaking네임스페이스 정책의 ConfigMap 접근 제한 — RBAC 검토 필요

    네임스페이스 정책의 ConfigMap 접근 범위가 축소됐습니다. 정책이 컨텍스트나 설정을 위해 다른 네임스페이스의 ConfigMap을 읽고 있다면, 업그레이드 후 해당 읽기 작업이 실패합니다. 정책 정의에서 크로스 네임스페이스 ConfigMap 참조를 찾아 정책 로직을 수정하거나 접근 권한을 조정한 뒤 배포하세요.

주요 변경 (5)
  • CVE-2026-4789: 네임스페이스 정책에서 HTTP 기본 비활성화 — 단순 의존성 업데이트가 아닌 동작 변경
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한으로 정책 컨트롤러 침해 시 피해 범위 축소
  • 정책 평가 시 요청 인가에 스코프 토큰 사용으로 전환
  • forEach 뮤테이션 패닉 수정 — 특정 mutate 규칙 구성에서 엔진이 크래시되던 버그 해결
  • docker/cli, sigstore/rekor, go-tuf/v2, Go 표준 라이브러리 등 의존성 CVE 다수 해결
원문

Kyverno

Security2026년 4월 23일

v1.17.2는 다수의 CVE 패치와 함께 MutatingPolicy/ValidatingPolicy, 웹훅 재조정 루프, 네임스페이스 정책 처리 버그를 집중 수정한 보안 중심 패치 릴리스입니다.

  • security즉시 업그레이드 필요 — 6개 이상의 CVE 수정

    의존성 라이브러리, Go 표준 라이브러리, 그리고 CVE-2026-4789까지 최소 6개의 CVE가 패치되었습니다. 특히 CVE-2026-4789는 네임스페이스 정책에서 HTTP를 기본 비활성화하는 동작 변경을 수반합니다. HTTP 기반 외부 데이터 소스나 컨텍스트를 사용하는 네임스페이스 정책이 있다면, 업그레이드 전에 해당 설정을 점검하세요. 별도 오류 없이 동작이 중단될 수 있습니다. 스테이징 환경에서 정책 동작을 먼저 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

  • breaking네임스페이스 정책 동작 변경 — HTTP 비활성화 및 ConfigMap 접근 제한

    네임스페이스 정책에 두 가지 보안 강화가 적용됩니다. HTTP가 기본 비활성화되고, ConfigMap 접근 범위도 축소됩니다. HTTP 엔드포인트에서 컨텍스트를 가져오거나 타 네임스페이스의 ConfigMap을 읽는 정책은 업그레이드 후 오류가 발생하거나 조용히 실패할 수 있습니다. 프로덕션 배포 전에 반드시 네임스페이스 정책 전체를 대상으로 드라이런 또는 감사 스캔을 먼저 실행하세요.

  • enhancement웹훅 재조정 루프 수정 — 대규모 클러스터의 컨트롤러 부하 감소

    웹훅 규칙의 순서가 일관되지 않아 반복적인 재조정 루프가 발생하고, API 서버 부하 증가와 컨트롤러 로그 폭증으로 이어지는 문제가 수정됐습니다. 웹훅 오브젝트 변경이 감사 로그에 끊임없이 찍히거나 kyverno-controller CPU가 비정상적으로 높았다면, 이번 릴리스로 해소될 겁니다. 업그레이드 후 별도 조치는 필요 없지만, 배포 후 컨트롤러 메트릭을 모니터링해 안정화 여부를 확인하세요.

주요 변경 (5)
  • CVE-2026-24051, CVE-2026-15558, CVE-2026-1229, CVE-2026-33186, CVE-2026-34986, CVE-2026-4789 등 다수 CVE 패치 및 Go 표준 라이브러리 CVE 대응
  • CVE-2026-4789 대응으로 네임스페이스 정책에서 HTTP 기본 비활성화 — 기존 설정에 영향 가능
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한 — 보안 강화 목적의 권한 축소
  • 웹훅 및 웹훅 규칙의 순서 일관성 보장으로 무한 재조정 루프 버그 수정
  • forEach 뮤테이션 엔진 패닉 방지, NamespacedGeneratingPolicy UPDATE 시 잘못된 lister 사용 수정, MutatingPolicy/ValidatingPolicy에 사용자 정보 처리 추가
원문

cert-manager

Security2026년 4월 21일

순수 보안 패치 릴리스입니다. Go 런타임을 1.23.9로 올리고 취약한 의존성을 갱신했으며, 기능 변경은 없습니다.

  • security즉시 v1.19.5로 업그레이드 — CVE 수정 전용 패치

    cert-manager 팀은 모든 사용자에게 업그레이드를 권고하고 있습니다. 변경 내용이 Go 런타임 및 의존성 버전 업 에만 한정되어 있어 기능적 위험 없이 교체할 수 있습니다. v1.19.x를 운영 중이라면 별도 마이그레이션 절차 없이 바로 적용하면 됩니다. Helm, 정적 매니페스트, OperatorHub 등 배포 방식에 맞춰 전체 클러스터에 롤아웃하세요. 업그레이드를 미루면 알려진 취약점이 있는 Go 패키지를 계속 실행하는 셈입니다.

주요 변경 (3)
  • Go 런타임을 1.23.9로 업그레이드하여 Go 툴체인 내 복수의 CVE 대응
  • 취약점이 보고된 서드파티 Go 의존성 패키지를 패치된 버전으로 갱신
  • API, 동작 방식, 설정 변경 없음 — v1.19.x의 드롭인 대체 버전
원문

Kubescape

Security2026년 4월 17일

Kubescape v4.0.5는 Go 버전 업그레이드와 의존성 범프만 포함한 순수 유지보수 릴리스입니다. 신규 기능이나 버그 수정은 없습니다.

  • securityGo 런타임 및 의존성 CVE 패치를 위해 업그레이드 권장

    Go 버전 업그레이드는 net/http, crypto 등 표준 라이브러리의 취약점을 함께 수정하는 경우가 많습니다. Kubescape를 클러스터 내 컴포넌트로 운영하거나 CI 파이프라인에서 사용 중이라면 이번 버전으로 교체하세요. 'kubescape version'으로 현재 버전을 확인한 후 바이너리 또는 컨테이너 이미지 태그를 갱신하면 됩니다. 변경 범위가 작아 업그레이드 리스크는 낮습니다.

  • enhancement자동화 파이프라인의 핀 버전을 v4.0.5로 갱신

    CI/CD 보안 스캔 파이프라인에서 Kubescape 버전을 고정해 사용 중이라면 v4.0.5로 업데이트하세요. SCA 도구가 스캔 툴 자체의 의존성 최신화 여부를 감사 항목으로 체크하는 조직이라면 특히 해당됩니다.

주요 변경 (3)
  • Go 툴체인 버전 업그레이드 — 런타임 및 표준 라이브러리 수준 보안 패치 포함 가능성
  • go.mod/go.sum 전반의 의존성 버전 갱신
  • 기능 변경, API 변경, 신규 기능 없음
원문

Kubescape

Security2026년 4월 17일

v4.0.4는 gRPC, go-git, cloudflare/circl, go-jose, hashicorp/go-getter 등 보안 관련 라이브러리 업데이트와 CLI 버그 수정 위주의 의존성 관리 릴리스입니다.

  • security보안 관련 의존성 업데이트로 즉시 업그레이드 권장

    hashicorp/go-getter, cloudflare/circl, go-jose, go-git는 경로 순회, 암호화 취약점, JWT 공격 등의 CVE 이력이 있는 라이브러리입니다. 릴리스 노트에 특정 CVE가 명시되지는 않았지만, go-getter의 1.7.9 → 1.8.6, go-git의 5.16.5 → 5.17.1처럼 버전 차이가 큰 업데이트가 포함돼 있습니다. CI 파이프라인이나 자동화 스캔 환경에서 Kubescape를 운영 중이라면 정기 유지보수 주기를 기다리지 말고 지금 바로 v4.0.4로 업데이트하세요.

  • enhancementHelm 3.20.2 및 gRPC 1.79.3 업데이트로 호환성 개선

    Helm SDK가 3.20.2로 올라가면서 최신 Helm 차트 스캔 결과의 정확도가 높아집니다. 최신 Helm 기능을 쓰는 클러스터를 운영 중이라면, 이전 Kubescape 버전에서 스캔 결과가 불완전했을 수 있습니다. 업그레이드 후 차트 레벨 스캔을 다시 실행해 커버리지를 확인하세요.

  • enhancementscan image 중복 플래그 수정 — 래퍼 스크립트 점검 필요

    kubescape scan image에 플래그를 명시적으로 전달하는 셸 스크립트나 CI 설정이 있다면, 기존의 중복 플래그 버그로 인해 플래그가 무시되거나 예상치 못한 동작이 발생했을 수 있습니다. 업그레이드 후 파이프라인 호출 결과가 기대값과 일치하는지 검증하세요.

주요 변경 (5)
  • hashicorp/go-getter 1.7.9 → 1.8.6 업그레이드 (경로 순회·SSRF 취약점 이력 있는 라이브러리)
  • cloudflare/circl 1.6.1 → 1.6.3 업데이트 (암호화 라이브러리 수정 포함)
  • go-jose/go-jose 4.1.4로 업데이트 (JWT/JWE 처리 취약점 패치)
  • go-git 5.17.1로 업그레이드 (이전 버전에 알려진 git 프로토콜 취약점 존재)
  • scan image 서브커맨드의 중복 CLI 플래그 제거 및 에러 처리 개선
원문

Keycloak

Security2026년 4월 15일

26.6.1은 블라인드 SSRF와 사용자 열거 CVE 두 건을 수정한 보안 패치입니다. 26.6.0 업그레이드 시 커스텀 인증 플로우가 깨지던 치명적 마이그레이션 버그도 함께 수정됐습니다.

  • securitySSRF·사용자 열거 CVE 즉시 패치 필요

    CVE-2026-4366은 HTTP 리다이렉트 처리 과정의 블라인드 SSRF로, Keycloak이 내부 서비스에 접근 가능한 환경이라면 실질적인 위협입니다. CVE-2026-4633은 identity-first 로그인에서 사용자 존재 여부가 노출되어 크리덴셜 스터핑 공격에 악용될 수 있습니다. 즉시 26.6.1로 업그레이드하세요. 업그레이드가 당장 불가하다면 CVE-2026-4633 임시 완화책으로 identity-first 로그인 비활성화를 검토하세요.

  • breaking26.6.0으로 업그레이드했다면 커스텀 인증 플로우 즉시 확인

    26.6.0의 MigrateTo26_6_0 스크립트가 커스텀 브라우저 플로우를 잘못 수정해 릴름 인증을 조용히 망가뜨리는 버그가 있었습니다. 26.6.0 업그레이드 후 로그인 오류나 비정상 플로우 동작을 겪었다면 이 버그가 원인입니다. 26.6.1로 업그레이드하면 마이그레이션 로직은 수정되지만, 이미 손상된 플로우는 수동으로 복구해야 할 수 있습니다. 운영 환경 업그레이드 전 반드시 커스텀 인증 플로우를 점검하세요.

  • breaking26.6.0 JS·Java 어드민 클라이언트 패키지 오류 — 26.6.1로 교체 필요

    26.6.0에서 @keycloak/keycloak-admin-client(JS)와 Java 어드민 클라이언트 모두 패키징 오류로 설치 또는 동기화가 불가능했습니다. 파이프라인이나 애플리케이션에서 26.6.0을 핀닝하고 있다면 현재 동작하지 않을 가능성이 높습니다. 의존성 버전을 26.6.1로 업데이트하세요.

주요 변경 (5)
  • CVE-2026-4366: HTTP 리다이렉트 처리 경로의 블라인드 SSRF 취약점 수정
  • CVE-2026-4633: identity-first 로그인 방식에서 사용자 이름 존재 여부가 노출되던 문제 수정
  • 26.6.0 마이그레이션 스크립트가 커스텀 브라우저 인증 플로우를 손상시키던 버그 수정
  • kc_idp_hint 사용 중 IdP가 access_denied 반환 시 무한 리다이렉트 루프 발생하던 문제 해결
  • DB 저장 데이터 암호화 지원 추가 및 CloudNativePG 1.29 업데이트
원문

cert-manager

Security2026년 4월 11일

webhook.config와 webhook.volumes를 동시에 설정할 때 발생하는 Helm 차트 YAML 생성 버그를 수정하고, 취약점 해소를 위해 Go 1.26.2로 업그레이드한 패치 릴리스입니다.

  • security의존성 취약점 패치 포함 — 다음 유지보수 창에 업그레이드 예약

    Go 런타임과 의존성을 보고된 취약점 해소 목적으로 업데이트했습니다. 릴리스 노트에 구체적인 CVE ID가 명시되진 않았지만, cert-manager는 클러스터 내 인증서 발급을 담당하는 특권적 위치에 있는 컴포넌트입니다. 보안 패치는 미루지 않는 게 좋습니다.

  • breakingwebhook.config와 webhook.volumes를 함께 쓰고 있다면 즉시 업그레이드

    Helm values에 webhook.config와 webhook.volumes를 모두 설정한 환경이라면, 지금까지 잘못된 YAML이 생성됐을 가능성이 높습니다. 웹훅이 의도와 다른 설정으로 배포됐을 수 있으므로, v1.20.2로 업그레이드하고 재배포한 뒤 웹훅 파드의 볼륨 마운트와 설정이 정상인지 반드시 확인하세요.

주요 변경 (3)
  • webhook.config와 webhook.volumes를 함께 설정했을 때 잘못된 YAML이 생성되던 버그 수정
  • Go 런타임을 1.26.2로 업그레이드
  • 보고된 취약점 해소를 위한 Go 의존성 업데이트
원문

OpenFGA

Security2026년 4월 10일

v1.14.1은 AuthZEN 디스커버리의 호스트 헤더 포이즈닝 취약점을 패치하고 취약한 Docker 의존성을 제거했습니다. ListObjects 성능도 소폭 개선됐습니다.

  • securityAuthZEN 호스트 헤더 포이즈닝 취약점, 즉시 패치 필요

    AuthZEN의 well-known 디스커버리 엔드포인트가 요청의 Host 헤더로 URL을 구성하고 있었습니다. 공격자가 이를 악용하면 클라이언트를 악성 엔드포인트로 유도할 수 있었습니다. AuthZEN 디스커버리 메타데이터를 외부에 노출하고 있다면 v1.14.1로 즉시 업그레이드하세요. 별도 설정 변경은 불필요하지만, 서버 설정의 authzen.baseURL이 올바르게 지정되어 있는지 확인하는 것이 좋습니다.

  • security테스트 바이너리를 컨테이너 이미지에 포함하고 있다면 점검 필요

    github.com/docker/docker 패키지는 알려진 CVE가 있으며 테스트 코드에서만 사용됐습니다. 프로덕션 빌드 자체는 영향이 없지만, 파이프라인에서 테스트 바이너리나 vendor 디렉터리를 컨테이너 이미지에 포함하는 경우 업그레이드 후 취약한 패키지가 제거됐는지 확인하세요.

  • enhancementKubernetes 환경에서 셧다운 타임아웃 명시적으로 설정하세요

    새로 추가된 셧다운 타임아웃 옵션으로 OpenFGA가 종료 전 진행 중인 요청을 얼마나 기다릴지 제어할 수 있습니다. 설정이 없으면 파드 재시작 시 요청 오류가 발생할 수 있습니다. Kubernetes의 terminationGracePeriodSeconds보다 약간 짧게 설정해 두면 안전한 트래픽 전환이 가능합니다.

주요 변경 (5)
  • 보안 수정: AuthZEN 디스커버리 메타데이터가 요청의 Host 헤더 대신 설정된 baseURL을 사용하도록 변경
  • 취약한 github.com/docker/docker 테스트 의존성 제거 후 Moby 클라이언트 & API로 교체
  • 서버 셧다운 타임아웃 설정 옵션 추가 — Kubernetes 환경의 graceful drain에 유용
  • ListObjects 힙 할당 감소로 실질적인 레이턴시 개선
  • 캐시 키 생성 시 fmt 제거 및 제어 문자 정규화 범위를 튜플, 조건, 컨텍스트까지 확장
원문

Keycloak

Security2026년 4월 8일

Keycloak 26.6.0은 JWT Authorization Grant, Federated Client Auth, Workflows, 무중단 패치 릴리스를 정식 지원으로 격상하면서, UMA·SCIM·Organizations 관련 보안 버그 다수를 수정했습니다.

  • securitySCIM·UMA 보안 취약점 즉시 패치 필요

    SCIM에서 IDOR 방식의 리소스 수정 및 그룹 관리 권한 우회가 가능했던 두 가지 버그가 수정됐습니다. UMA 권한 부여는 만료된 ID 토큰이나 다른 클라이언트용 토큰을 수락하는 문제도 함께 고쳐졌습니다. SCIM이나 UMA를 사용 중이라면 즉시 26.6.0으로 업그레이드하세요. 별도 설정 변경은 불필요하지만, 사용 중인 SCIM 플러그인/익스텐션이 새 유효성 검사와 호환되는지 확인하세요.

  • breaking$ 문자 포함 시크릿은 KCRAW_ 프리픽스로 전환해야 함

    시크릿 매니저 등에서 $ 문자가 포함된 패스워드를 환경변수로 주입할 경우, KC_ 프리픽스는 SmallRye 표현식 평가로 값을 묵시적으로 변조합니다. KC_<KEY> 대신 KCRAW_<KEY>를 사용하면 값이 그대로 유지됩니다. 업그레이드 전에 기존 환경변수를 전수 점검하세요. ${ 또는 $$ 패턴이 포함된 시크릿은 이전 버전에서 이미 깨져 있을 수 있습니다.

  • enhancementOperator 배포에서 무중단 롤링 업데이트 활성화

    무중단 패치 릴리스가 기본 활성화됐습니다. Operator로 Keycloak을 운영 중이라면 업데이트 전략을 명시적으로 Auto로 설정하세요. 아울러 새로 도입된 HTTP Graceful Shutdown 기본값(지연 1초, 타임아웃 1초)을 검토하고, 리버스 프록시의 연결 드레이닝이 더 길게 걸리는 환경(특히 비-Kubernetes 환경이나 장기 연결 사용 구성)에서는 해당 값을 늘려 설정하세요.

주요 변경 (7)
  • JWT Authorization Grant(RFC 7523)와 Federated Client Authentication 정식 지원 — 클라이언트별 시크릿 관리 없이 외부→내부 토큰 교환 가능
  • 무중단 패치 릴리스 기본 활성화 — Operator 사용 시 업데이트 전략을 Auto로 설정해야 효과 적용
  • KCRAW_ 환경변수 프리픽스 도입 — $ 문자 포함 패스워드의 SmallRye 표현식 평가로 인한 묵시적 변조 문제 해결
  • UMA 권한 부여가 만료된 ID 토큰 및 다른 클라이언트 발행 토큰을 거부하도록 수정 (#46716, #46717)
  • SCIM IDOR 버그 수정 — PUT 엔드포인트의 body ID 재정의 공격 및 그룹 관리 권한 우회 패치 (#46658, #47536)
  • OTP와 비밀번호 브루트포스 보호를 기본적으로 분리해 OTP 우회 공격 차단 (#46164)
  • Keycloak 및 KeycloakRealmImport CRD가 v2beta1로 승격
원문

OpenFGA

Security2026년 4월 3일

v1.14.0은 ListObjects의 잠재적 데드락을 수정하고, 교집합 알고리즘 성능을 개선하며, BatchCheck 캐싱을 추가합니다. PostgreSQL 사용자에게 영향을 주는 SQL 직렬화 버그도 함께 수정됩니다.

  • securityPostgreSQL 사용자: SQL 직렬화 수정 적용 필수

    TupleOperation 직렬화 버그와 pgx.ErrNoRows 오류 처리 문제는 PostgreSQL 환경에서 데이터 불일치나 잘못된 오류 처리로 이어질 수 있습니다. Postgres 기반으로 OpenFGA를 운영 중이라면 이 수정 사항만으로도 업그레이드 이유가 충분합니다. 업그레이드 후 튜플 쓰기/읽기 동작을 반드시 검증하세요.

  • breakingCVE-2026-33729 검토 후 즉시 업그레이드

    릴리스 노트에 CVE-2026-33729가 명시적으로 언급됩니다. 마이너 릴리스에 CVE 업데이트가 포함된 경우 즉각 대응이 필요합니다. CVE 세부 내용이 공개되기 전에 v1.14.0으로 업그레이드하고, 배포 환경의 노출 범위를 점검하세요.

  • enhancement고동시성 환경에서 ListObjects 데드락 수정이 핵심

    ListObjects 파이프라인의 데드락은 실제 프로덕션 부하에서만 나타나는 유형의 버그입니다. ListObjects를 대량으로, 특히 동시 호출 환경에서 사용하고 있다면 이 수정이 필수적입니다. 업그레이드 후 실제 동시성 패턴으로 ListObjects 스트레스 테스트를 실행해 안정성을 확인하세요.

  • enhancementBatchCheck 캐싱으로 대규모 권한 검사 레이턴시 절감

    튜플이나 조건이 겹치는 BatchCheck를 반복 호출하는 경우, 새 캐싱 레이어가 레이턴시와 백엔드 부하를 낮춰줄 겁니다. 별도 설정 변경 없이 자동 적용되는 것으로 보이지만, 새로 추가된 튜플 이터레이터 쿼리 통계를 활용해 실제 환경에서 개선 효과를 모니터링하세요.

주요 변경 (5)
  • ListObjects 파이프라인 알고리즘의 잠재적 데드락 수정으로 동시 부하 환경에서의 안정성 향상
  • 교집합(intersection) 알고리즘 개선으로 레이턴시 감소 및 메모리 사용량 절감
  • BatchCheck 결과 캐싱 추가로 중복 권한 검사 요청 감소
  • PostgreSQL 백엔드의 TupleOperation 직렬화 버그 및 pgx.ErrNoRows 오류 처리 수정
  • 튜플 이터레이터 쿼리 통계 추가로 DB 쿼리 동작 관찰 가능성 개선
원문

Keycloak

Security2026년 4월 2일

26.5.7은 권한 상승, 리다이렉트 URI 우회, 비인가 교차 사용자 권한 부여 등 7개 CVE를 수정한 긴급 보안 릴리스입니다. 즉시 업그레이드하십시오.

  • security즉시 패치 — 복수의 고위험 CVE 포함

    이번 릴리스에서 7개의 CVE가 수정됩니다. 권한 상승(CVE-2026-4282), 리다이렉트 URI 우회(CVE-2026-3872), 교차 사용자 권한 인젝션(CVE-2026-4636), 비인증 DoS(CVE-2026-4634)까지 공격 범위가 넓습니다. 특히 UMA 정책을 쓰거나 Admin REST API를 외부에 노출하는 환경이라면 긴급 패치로 취급해야 합니다. 변경 관리 프로세스를 최대한 단축해 26.5.7로 업그레이드하십시오.

  • security업그레이드 후 Admin API 접근 권한과 UMA 정책 구성 감사 필요

    CVE-2025-14083(Admin API 정보 노출)과 CVE-2026-4636(UMA 교차 사용자 권한 부여)은 엔드포인트 접근 제어가 제대로 적용되지 않았음을 보여줍니다. 업그레이드 후 Admin REST API에 접근 가능한 클라이언트와 서비스 계정을 점검하고, UMA 리소스 및 정책 정의에서 비정상적인 권한 부여 내역이 없는지 확인하십시오. 패치만으로는 이미 잘못 구성된 접근 경로를 닫을 수 없습니다.

  • enhancementQuarkus 3.27.3 업그레이드 — 런타임 동작 변경 여부 확인 권장

    Quarkus 런타임 업그레이드로 CVE-2026-1002(vertx-core 정적 파일 핸들러 캐시 조작 DoS)도 함께 수정됩니다. 커스텀 테마를 사용하거나 Keycloak을 통해 정적 콘텐츠를 제공한다면, 업그레이드 후 자산이 정상적으로 로드되는지 확인하십시오. Quarkus 마이너 버전 업그레이드는 기본 설정이 바뀌는 경우가 있으므로 로그인 플로우 스모크 테스트를 한 번 돌려보는 것이 좋습니다.

주요 변경 (5)
  • CVE-2025-14083: Admin REST API 접근 제어 미흡으로 비인가 사용자에게 정보 노출
  • CVE-2026-4282: SingleUseObjectProvider 격리 결함으로 위조된 인증 코드 생성 가능 — 권한 상승 위험
  • CVE-2026-3872: OIDC 인증 엔드포인트에서 ..;/ 경로 순회로 리다이렉트 URI 검증 우회
  • CVE-2026-4636: UMA 정책 리소스 인젝션으로 비인가 교차 사용자 권한 부여 가능
  • CVE-2026-4634: 스코프 처리 로직을 악용한 애플리케이션 수준 DoS — 인증 없이도 트리거 가능
원문

cert-manager

Security2026년 3월 27일

v1.20.1은 OpenShift 업그레이드 차단 버그, Gateway API의 parentRef 중복 문제, gRPC 의존성 버전 업을 처리한 패치 릴리스입니다.

  • securitygRPC 버전 업은 스캐너 대응 수준 — 실제 위험 없음

    보고된 CVE는 cert-manager의 실제 코드 경로에 영향을 주지 않습니다. 다만 Trivy, Grype 같은 스캐너가 v1.20.0을 플래그하고 있었다면 v1.20.1로 업그레이드하면 해소됩니다. 긴급성은 낮지만, 파이프라인 노이즈를 줄이고 싶다면 업그레이드할 이유는 충분합니다.

  • breakingOpenShift 사용자: v1.20.0 건너뛰고 v1.20.1로 바로 업그레이드

    v1.20.0에서 order 컨트롤러의 ClusterRole에 issuer finalizer 권한이 빠진 채로 릴리스됐습니다. OpenShift는 RBAC 검증이 엄격해 이 문제가 업그레이드 자체를 막았습니다. v1.20.0 적용을 보류 중이었다면 v1.20.1로 직행하세요. 이미 v1.20.0을 적용했다면 업그레이드 후 order 컨트롤러의 ClusterRole에 finalizer 권한이 정상 포함됐는지 확인하세요.

  • enhancementGateway API 사용자: parentRef 중복으로 인한 라우팅 이상 여부 점검

    issuer config와 어노테이션 양쪽에 parentRef를 지정한 설정에서 v1.20.0은 중복된 parentRef 항목을 생성했습니다. 게이트웨이 구현체에 따라 예측 불가한 동작이 발생할 수 있습니다. v1.20.1로 업그레이드한 뒤, 두 방식을 동시에 쓰던 Certificate 리소스들을 점검해 중복이 제거됐는지 확인하세요.

주요 변경 (3)
  • order 컨트롤러에 누락된 issuer finalizer RBAC 추가 — OpenShift 사용자의 v1.20.0 업그레이드 차단 문제 해결
  • issuer config과 어노테이션 양쪽에 parentRef가 지정된 경우 Gateway API에서 중복 항목이 생성되던 버그 수정
  • 스캐너 경보 해소를 위한 google.golang.org/grpc 버전 업 (cert-manager에 실제 영향 없음)
원문

OpenFGA

Security2026년 3월 23일

OpenFGA v1.13.0은 AuthZen v1.0 표준 지원, Check v1/v2 캐시 분리, 리졸버 패닉 처리 강화를 주요 변경사항으로 담았습니다.

  • security리졸버 패닉으로 인한 서버 다운 위험 — 즉시 업그레이드 권장

    파이프라인 기본 리졸버에서 처리되지 않은 패닉이 발생하면 OpenFGA 프로세스 전체가 종료될 수 있었습니다. 이번 수정으로 패닉이 에러로 변환되어 서버가 계속 실행됩니다. 복잡한 권한 그래프 평가 중 OpenFGA가 예기치 않게 재시작되는 문제를 겪었다면 바로 이 원인입니다. 가용성에 직접 영향을 주는 수정이므로 빠른 업그레이드를 권장합니다.

  • breakingCheck v1/v2 캐시 분리로 캐시 히트율 변동 가능 — 용량 설정 재검토 필요

    기존에는 Check v1과 v2가 캐시를 공유했는데, 이제 완전히 분리됩니다. 두 API 버전을 동시에 사용하는 환경이라면 전체 캐시 히트율이 낮아지거나 메모리 사용 패턴이 달라질 수 있습니다. 업그레이드 후 캐시 용량 설정을 재확인하고, 모니터링 대시보드에서 캐시 히트율 지표를 주의 깊게 살펴보세요.

  • enhancementAuthZen v1.0으로 크로스 시스템 권한 부여 연동 검토

    AuthZen v1.0은 CNCF 생태계 전반의 권한 부여 API 상호운용 표준으로 자리잡는 중입니다. 여러 정책 엔진을 연동하거나 멀티 시스템 권한 부여 레이어를 구성 중이라면, 이번 릴리스에서 새로운 AuthZen 엔드포인트를 먼저 테스트해 보세요. 지금 도입하면 나중에 구조를 뜯어고치지 않아도 생태계 방향과 자연스럽게 맞춰집니다.

주요 변경 (4)
  • AuthZen v1.0 표준 구현 — CNCF 권한 부여 상호운용성 스펙을 공식 지원
  • Check v1과 v2 API의 캐시가 분리되어 버전 간 캐시 오염 방지
  • 파이프라인 기본 리졸버에서 발생하는 패닉을 잡아 에러로 반환 — 프로세스 크래시 방지
  • List-objects 추적 스팬 개선 — 발신자별 메시지 통계가 단일 스팬으로 집계되어 가시성 향상
원문

Keycloak

Security2026년 3월 19일

Keycloak 26.5.6은 SSRF, 토큰 재사용, IDOR, 권한 상승 등 8개 CVE를 패치하는 긴급 보안 릴리스입니다. 즉시 업그레이드가 필요합니다.

  • security8개 CVE 패치 — 즉시 26.5.6으로 업그레이드

    SSRF, 토큰 재생, 권한 상승, IDOR, 다중 정보 노출 경로를 포함한 8개 CVE가 수정되었습니다. 특히 jwks_uri 경유 SSRF, manage-clients 권한 상승, 인증 세션 오염은 멀티테넌트 또는 외부 노출 환경에서 매우 위험합니다. 별도의 완화 방법은 없으며 업그레이드가 유일한 해결책입니다. 26.x 버전을 운영 중이라면 긴급 패치로 처리하세요.

  • securitymanage-clients 권한 부여 내역 및 동적 클라이언트 등록 설정 점검

    CVE-2026-3121(manage-clients 권한 상승)과 CVE-2026-1180(동적 클라이언트 등록의 jwks_uri SSRF)은 현재 권한 설정과 기능 활성화 여부를 함께 검토해야 합니다. 업그레이드 후 manage-clients를 보유한 사용자·서비스 계정을 감사하세요. OIDC 동적 클라이언트 등록을 사용하지 않는다면 렐름 단위에서 비활성화해 SSRF 공격면을 완전히 제거하세요.

  • breaking업그레이드 후 Operator DB 설정 및 다중 렐름 시작 동작 검증 필요

    26.5.0에서 도입된 Operator의 DB targetServerType=primary 미적용 문제(마스터-레플리카 페일오버 시 연결 검증 실패)와 26.5.4에서 발생한 O(N²) 시작 스캔 회귀가 모두 수정되었습니다. 해당 버그를 경험했다면 업그레이드 후 DB 페일오버 동작과 시작 시간을 반드시 확인하세요. 렐름이 많은 대규모 환경에서는 재시작 속도가 눈에 띄게 빨라질 겁니다.

주요 변경 (6)
  • CVE-2026-1180: OIDC 동적 클라이언트 등록의 jwks_uri를 통한 블라인드 SSRF — 내부 네트워크 탐색 가능
  • CVE-2026-1035: TOCTOU 경쟁 조건을 이용한 리프레시 토큰 재사용 우회 — 토큰 재생 공격 가능
  • CVE-2026-3121: manage-clients 권한을 통한 권한 상승 — 낮은 권한 사용자가 상위 권한 획득 가능
  • CVE-2025-14777: 렐름 클라이언트 생성/삭제 시 IDOR — 무단 클라이언트 조작 가능
  • 버그 수정: AUTH_SESSION_ID 쿠키 재사용으로 재인증 시 세션 오염 발생 — 심각한 데이터 격리 문제 해결
  • 버그 수정: 26.5.4에서 도입된 다수 렐름 환경의 O(N²) 시작 시간 회귀 수정
원문

SPIRE

Security2026년 3월 18일

v1.14.3은 SPIFFE 인증서 체인 검증을 우회할 수 있는 TLS 세션 티켓 취약점을 패치하고, 노드 캐시 재구축 버그와 AWS·페더레이션 관련 안정성 문제를 수정했습니다.

  • securityTLS 세션 티켓 우회 취약점 — 즉시 업그레이드 필요

    SPIRE 서버 TCP 엔드포인트에서 TLS 세션 재개 시 SPIFFE 인증서 체인 검증이 생략될 수 있었습니다. 만료되거나 폐기된 인증서를 가진 클라이언트가 현재 신뢰 번들 검증 없이 재연결할 수 있는 신뢰 경계 위반입니다. v1.14.3으로 즉시 업그레이드하세요. 서버 측에서 자동으로 세션 티켓을 비활성화하므로 별도 설정 변경은 필요 없습니다.

  • security에이전트 로그의 셀렉터 데이터 노출 문제 해결

    셀렉터에는 Kubernetes 파드 레이블, Unix UID, AWS 메타데이터 등 민감한 워크로드 식별 정보가 포함될 수 있습니다. 업그레이드 후에는 에이전트 로그에 더 이상 기록되지 않지만, 기존 로그 파이프라인과 보존 정책을 점검해 과거 로그에 남아 있는 데이터를 확인하세요.

  • breakingPQC 사용자: X25519MLKEM768 마이그레이션 필요

    RequirePQKEM TLS 정책을 활성화한 경우, 알고리즘이 초안 x25519Kyber768Draft00에서 표준 X25519MLKEM768로 변경됩니다. 양쪽 피어 모두 v1.14.3 이상이어야 TLS 핸드셰이크가 성공합니다. 에이전트와 서버를 동시에 업그레이드하는 일정을 조율하세요.

  • enhancement노드 캐시 재구축 버그 — 동적 환경에서 특히 중요

    노드 캐시 재구축이 시작 후 단 1회만 실행되고 이후에는 중단되는 버그가 있었습니다. 워크로드 변경이 잦은 환경에서는 에이전트가 오래된 캐시 데이터를 계속 제공하게 됩니다. v1.14.3에서 자동 수정되며 별도 설정 변경 없이 업그레이드만 하면 됩니다. 동적 환경일수록 에이전트 업그레이드를 서두르세요.

주요 변경 (5)
  • 서버 TCP 엔드포인트의 TLS 세션 티켓 재개(resumption) 비활성화 — 신뢰 번들 검증 우회 가능성 차단
  • 민감 정보 노출 방지를 위해 에이전트 레벨 셀렉터 로깅 제거
  • RequirePQKEM 정책의 알고리즘을 초안 x25519Kyber768Draft00에서 표준화된 X25519MLKEM768로 교체
  • 노드 캐시 주기적 재구축이 최초 1회만 실행되던 버그 수정 — 설정된 인터벌로 정상 반복 실행
  • ReadOnlyEntry.Clone() 버그 수정: Admin 필드 값이 Downstream 필드로 잘못 복사되어 인가 메타데이터가 오염되던 문제 해결
원문

Kubescape

Security2026년 3월 17일

v4.0.3은 소규모 패치 릴리스로, 에어갭 환경을 위한 --grype-db-url 플래그 추가, 호스트 누락 시 에러 미반환 버그 수정, 의존성 업데이트가 주요 변경 사항입니다.

  • securitygo-git v5.16.5 업그레이드 — CVE 여부 확인 후 신속히 적용

    go-git 패치 릴리스에는 git 프로토콜 파싱 관련 취약점 수정이 포함되는 경우가 많습니다. go-git v5.16.5 변경 로그에서 CVE 수정 여부를 직접 확인하고, git 저장소 스캔이나 Kubescape를 라이브러리로 임베딩하여 사용 중이라면 업그레이드를 서두르세요.

  • breaking호스트 누락 시 에러 반환 변경 — 에러 처리 로직 점검 필요

    이전 버전에서는 스캔 대상에 호스트 정보가 없을 때 nil을 반환해 에러가 무시됐습니다. 이 동작에 의존해 exit code 0을 성공으로 처리하던 파이프라인이 있다면, 업그레이드 후 기존에 묻혔던 실패가 표면에 드러날 수 있습니다. 업그레이드 전에 스캔 워크플로우의 에러 처리를 반드시 검토하세요.

  • enhancement에어갭/내부 미러 환경에서 --grype-db-url 활용

    인터넷 직접 접근이 불가한 환경에서 Kubescape를 운영 중이라면, --grype-db-url 플래그로 내부 Grype DB 미러를 지정할 수 있습니다. 기존에 환경 변수 패치나 우회 방법을 쓰고 있었다면 CI 파이프라인이나 오퍼레이터 설정에 이 플래그를 적용하는 편이 깔끔합니다.

주요 변경 (5)
  • kubescape scan 명령에 --grype-db-url 플래그 추가 — Grype 취약점 DB URL 직접 지정 가능
  • 호스트 정보 누락 시 nil 에러를 반환하던 버그 수정 — 스캔 실패가 묵살되던 문제 해결
  • go-git v5.16.5로 업그레이드 (보안/버그 수정 포함 가능성)
  • OpenTelemetry SDK 1.40.0으로 업데이트
  • Grype DB 조회 URL 디버깅을 위한 로그 추가
원문

OpenFGA

Security2026년 3월 13일

OpenFGA v1.12.0은 자동 TLS 인증서 회전, 강화된 입력 검증, 중요한 경쟁 조건 수정으로 운영 안정성을 개선했습니다.

  • securityGo 표준 라이브러리 취약점 수정을 위한 업그레이드

    이번 릴리스는 두 개의 Go 표준 라이브러리 취약점(GO-2026-4603, GO-2026-4601)을 해결합니다. 프로덕션 배포에서 이러한 보안 위험을 제거하기 위해 업그레이드를 계획하세요.

  • enhancementgRPC 메시지 크기 제한 설정

    현재 메시지 크기를 검토하고 새로운 설정 옵션을 사용해 적절한 제한을 설정하여 리소스 고갈 공격을 방지하고 시스템 안정성을 개선하세요.

  • enhancement자동 인증서 회전 기능 활용

    cert-manager 같은 인증서 회전 도구를 사용 중이라면 이번 릴리스로 인증서 업데이트 중 연결 실패가 해결됩니다. 업그레이드 후 인증서 회전 프로세스를 테스트해 개선 사항을 확인하세요.

주요 변경 (5)
  • 더 나은 리소스 제어를 위한 gRPC 메시지 크기 제한 설정 기능
  • HTTP 게이트웨이가 연결 실패 없이 TLS 인증서 회전을 자동 처리
  • 보안 강화를 위한 유니코드 제어 문자 및 null 바이트 튜플 검증 거부
  • 비결정적 실행을 방지하는 체크 리듀서의 경쟁 조건 수정
  • 덮어쓰기 시 무한 증가를 방지하는 캐시 메트릭 수정
원문

cert-manager

Security2026년 3월 10일

cert-manager v1.20.0에서 Gateway API ListenerSet 지원, Azure Private DNS 통합, OtherNames 베타 승격과 함께 여러 ACME 및 DNS 관련 버그를 수정했습니다.

  • securityDNS DoS 취약점 수정을 위한 업데이트

    잘못된 DNS 응답으로 컨트롤러 서비스 거부 공격이 가능한 보안 이슈가 수정됐습니다. cert-manager 컨트롤러가 신뢰할 수 없는 DNS 서버나 DNS 트래픽 조작 가능한 네트워크에 노출된 경우 즉시 업데이트하세요.

  • breaking컨테이너 UID/GID 변경으로 보안 컨텍스트 영향

    기본 컨테이너 사용자가 UID 1000에서 65532로, 그룹이 GID 0에서 65532로 변경됐습니다. 이 값들을 하드코딩했거나 루트 그룹 접근에 의존하는 경우 파드 보안 정책, 보안 컨텍스트, 파일 권한을 검토하세요.

  • enhancement내부 인증서 관리용 Azure Private DNS 활성화

    새로운 Azure Private DNS 지원으로 프라이빗 존에서 DNS-01 챌린지가 가능해졌습니다. DNS 레코드를 공개하지 않고 내부 서비스용 인증서를 관리하려면 Azure DNS issuer에 프라이빗 존 설정을 구성하세요.

주요 변경 (5)
  • Gateway API ListenerSet 리소스 지원 (실험적 기능 게이트)
  • DNS-01 챌린지용 Azure Private DNS 존 지원
  • OtherNames 기능 베타로 승격 및 기본 활성화
  • 모든 컨테이너에 네트워크 정책 설정 플래그 추가
  • 커스텀 필드 어노테이션 지원으로 Venafi 프로바이더 기능 강화
원문
이전 →