RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 3월해제 ×

etcd

Kubernetes Core2026년 3월 20일

etcd v3.6.9은 유지보수 릴리스입니다. 공개된 릴리스 노트에 변경 사항이 기재되어 있지 않으므로, 업그레이드 전 반드시 전체 CHANGELOG를 확인해야 합니다.

  • breaking업그레이드 전 CHANGELOG 직접 확인 — 릴리스 노트만으로는 부족

    v3.6.9 릴리스 노트에는 변경 내역이 전혀 없습니다. etcd 클러스터를 업그레이드하기 전에 CHANGELOG-3.6.md를 직접 열어 현재 버전 이후 항목을 꼼꼼히 확인하세요. 3.6 시리즈에는 브레이킹 체인지가 포함될 수 있고, etcd는 상태 저장 시스템이라 이 단계를 건너뛰면 실제 장애로 이어질 수 있습니다.

  • enhancementquay.io에서 이미지를 받는다면 버전 일치 여부 검증 필요

    etcd의 기본 레지스트리는 gcr.io/etcd-development/etcd입니다. 파이프라인이 quay.io/coreos/etcd를 사용한다면, 해당 이미지가 gcr.io 이미지와 다이제스트 수준에서 일치하는지 확인하세요. 보조 레지스트리는 업데이트가 늦을 수 있습니다. 태그만 핀닝하는 것으로는 부족하고, 다이제스트로 고정해야 버전 불일치를 막을 수 있습니다.

주요 변경 (4)
  • 릴리스 노트에 구체적인 변경 사항 없음 — 실제 내용은 CHANGELOG-3.6.md에서 확인 필요
  • 3.6 시리즈에 잠재적 브레이킹 체인지가 있으므로 업그레이드 가이드 사전 검토 필수
  • 기본 컨테이너 레지스트리는 gcr.io/etcd-development/etcd이며, quay.io/coreos/etcd는 보조 레지스트리
  • 지원 플랫폼 매트릭스가 갱신됐을 수 있으므로 배포 전 아키텍처/OS 조합 확인 권장
원문

etcd

Kubernetes Core2026년 3월 20일

etcd v3.5.28은 3.5 시리즈의 패치 릴리스입니다. 릴리스 노트 내용이 빈약하므로, 업그레이드 전 반드시 전체 CHANGELOG를 확인해야 합니다.

  • breaking릴리스 노트가 불완전하므로 CHANGELOG를 직접 확인할 것

    v3.5.28 릴리스 노트에는 실제 변경 내용이 전혀 없습니다. etcd 클러스터를 업그레이드하기 전, 반드시 저장소의 CHANGELOG-3.5.md를 열어 현재 버전 이후 항목을 직접 검토하세요. etcd는 상태 저장 시스템인 만큼 이 단계를 건너뛰는 건 실질적인 위험입니다.

  • enhancement컨테이너 이미지는 기본 레지스트리에서 받을 것

    gcr.io/etcd-development/etcd가 공식 이미지 소스입니다. quay.io/coreos/etcd는 보조 레지스트리로 업데이트가 늦을 수 있습니다. 현재 quay.io에서 이미지를 받고 있다면, 운영 환경 배포 전 이미지 다이제스트가 기본 레지스트리와 일치하는지 반드시 검증하세요.

주요 변경 (4)
  • 3.5 안정 시리즈의 패치 릴리스
  • 변경 세부사항은 릴리스 노트가 아닌 CHANGELOG-3.5.md에서만 확인 가능
  • 컨테이너 이미지: gcr.io/etcd-development/etcd(기본), quay.io/coreos/etcd(보조)
  • 업그레이드 가이드 검토 필수 — 브레이킹 체인지가 포함될 수 있음
원문

etcd

Kubernetes Core2026년 3월 20일

etcd v3.4.42는 3.4 브랜치의 유지보수 릴리스입니다. 릴리스 노트 자체에는 변경 내용이 거의 없으므로, 업그레이드 전에 전체 CHANGELOG를 반드시 확인하세요.

  • breaking패치 릴리스라도 업그레이드 가이드 확인 필수

    릴리스 노트에 명시적으로 Breaking Change 가능성이 언급되어 있습니다. 3.4.x 패치 버전이라 가능성은 낮지만, 스냅샷이나 WAL 처리 관련 변경이 포함될 수 있습니다. 프로덕션 클러스터에 적용하기 전에 해당 버전의 업그레이드 가이드를 반드시 검토하세요.

  • enhancement업그레이드 전 전체 CHANGELOG 직접 확인

    공개된 릴리스 노트에는 변경 내용이 사실상 없습니다. 어떤 버그 픽스나 패치가 포함됐는지 파악하려면 etcd 저장소에서 CHANGELOG-3.4.md를 직접 확인하세요. 합의 저장소를 내용도 모른 채 업그레이드하는 건 피해야 합니다.

주요 변경 (4)
  • 3.4.x 안정 브랜치의 유지보수 릴리스
  • 변경 세부사항은 CHANGELOG-3.4.md에서만 확인 가능
  • 업그레이드 전 공식 업그레이드 가이드 검토 필요
  • 컨테이너 이미지는 gcr.io(기본) 및 quay.io(보조)에서 제공
원문

Harbor

Storage & Data2026년 3월 20일

Harbor v2.15.0은 프록시 캐시 연결 제한, 엔드포인트별 CA 인증서, Cosign v3 지원과 함께 베어러 토큰 보안 취약점 수정 및 Trivy 공급망 사고 대응 업데이트를 포함합니다.

  • security즉시 업그레이드 필요: Trivy 공급망 사고 및 베어러 토큰 우회 취약점

    이번 릴리스에 보안 이슈 두 건이 포함되어 있습니다. Trivy 공급망 사고로 인해 v0.69.3으로 긴급 업데이트됐으므로, 다음 스캔 실행 전에 반드시 적용해야 합니다. 베어러 토큰 수정은 프로젝트 생성 이전에 발급된 토큰을 거부하는 인가 우회 패치입니다. 두 이슈 모두 정기 유지보수를 기다리지 말고 빠르게 업그레이드하는 것을 권장합니다.

  • breakingGCR 복제 어댑터 제거 — 업그레이드 전 기존 복제 규칙 마이그레이션 필수

    Google Container Registry 어댑터가 완전히 제거됐습니다. GCR을 대상으로 하는 복제 규칙이 있다면 업그레이드 후 조용히 실패하게 됩니다. v2.15.0 업그레이드 전에 해당 규칙을 Artifact Registry(GAR) 엔드포인트로 전환하세요. GCR을 바라보는 프록시 캐시 프로젝트도 동일하게 재구성이 필요합니다.

  • enhancement프록시 캐시 업스트림 연결 수 제한으로 레이트 리밋 충돌 방지

    새로운 `max_upstream_conn` 파라미터로 프록시 캐시 프로젝트별 아웃바운드 연결 수를 조절할 수 있습니다. Docker Hub처럼 레이트 리밋이 있는 레지스트리나 자체 호스팅 레지스트리를 풀스루 캐시로 사용 중이라면, 업그레이드 후 UI나 API로 프로젝트별 연결 수를 적절히 설정하세요.

주요 변경 (7)
  • 프록시 캐시 프로젝트에 `max_upstream_conn` 파라미터 추가 — UI에서 업스트림 연결 수를 제한할 수 있음
  • 레지스트리 엔드포인트별 CA 인증서 지원 추가 — 커스텀 PKI를 사용하는 사설 레지스트리 환경에 유용
  • 프로젝트 생성 이전에 발급된 베어러 토큰을 거부하도록 수정 — 인가 우회 취약점 패치
  • Trivy 공급망 사고 이후 v0.69.3으로 긴급 업데이트
  • Cosign v3 Bundle 서명 형식 지원 추가, Harbor 릴리스 아티팩트에 Cosign 키리스 서명 적용
  • GCR 복제 어댑터 제거 — Google Cloud Registry 계정 종료에 따른 조치
  • 초기화 시 감사 로그 DB 저장 비활성화 옵션 추가 — 고부하 환경에서 DB 쓰기 부담 감소
원문

OpenFGA

Security2026년 3월 19일

v1.12.1은 OTLP 엔드포인트 URI 파싱 버그를 수정하고, ListObjects 파이프라인 내부를 Go 네이티브 채널로 교체한 유지보수 릴리스입니다.

  • breakinghttps:// 스킴 설정 시 TLS 강제 활성화 — 설정 점검 필요

    OTEL_EXPORTER_OTLP_ENDPOINT에 https:// 스킴을 사용하면 trace.otlp.tls.enabled 값과 무관하게 TLS가 활성화됩니다. 업그레이드 전에 옵저버빌리티 설정을 점검하세요. https:// 엔드포인트를 쓰면서 TLS를 명시적으로 비활성화해뒀던 환경이라면, 이제 TLS가 켜지므로 콜렉터 쪽도 TLS 연결을 받을 수 있는지 확인해야 합니다.

  • enhancementOTLP URI 스킴 문제 해결 — 우회 설정 정리 가능

    기존에는 http://host:4317 형태의 URI를 그대로 넣으면 gRPC 익스포터에 스킴이 그대로 전달돼 오류가 발생했습니다. 스킴을 생략하는 식으로 우회하고 있었다면, 이제 표준 URI 형식을 그대로 써도 됩니다. 배포 설정에서 우회 로직을 제거하고 표준 형식으로 정리하세요.

  • enhancementListObjects 성능 개선 — 별도 조치 없이 업그레이드만으로 효과

    커스텀 Pipe를 Go 네이티브 채널로 대체하면서 ListObjects의 동시 처리 성능이 개선됐습니다. API나 설정 변경은 없습니다. 튜플 검증 로직 리팩터링 효과까지 더해져, ListObjects를 대량으로 호출하는 환경이라면 이번 패치를 적용할 이유가 충분합니다.

주요 변경 (4)
  • ListObjects 파이프라인, 커스텀 Pipe 구현 대신 Go 네이티브 채널로 교체 — 동시성 처리가 더 단순하고 디버깅하기 쉬워짐
  • 튜플 검증 및 조작 함수 리팩터링으로 부하 상황에서 성능 개선
  • grpc-go v1.79.3, grpc-health-probe v0.4.47로 의존성 업그레이드
  • OTEL_EXPORTER_OTLP_ENDPOINT에 http:// / https:// 스킴이 포함된 URI를 정상적으로 처리하도록 수정
원문

Linkerd

Networking & Messaging2026년 3월 19일

proxy 두 차례 업데이트(v2.343.0, v2.344.0), Go 1.25.8 업그레이드, rustls 패치, proxy-init 2.4.6이 포함된 의존성 중심의 edge 릴리스입니다. 신규 기능이나 파괴적 변경은 없습니다.

  • securityrustls 패치 업데이트 — 구버전 edge 사용 중이라면 롤포워드 고려

    rustls가 한 릴리스에서 두 버전 올라갔습니다(0.23.35 → 0.23.37). 서비스 메시의 TLS 계층 패치인 만큼 보안 또는 버그 수정이 포함됐을 가능성이 높습니다. CVE가 명시되진 않았지만, 구버전 edge를 운영 중이라면 이번 버전으로 업데이트하는 것이 바람직합니다.

  • enhancementproxy 두 버전이 번들 — proxy 변경 내역을 별도 확인하세요

    이번 릴리스에 v2.343.0과 v2.344.0이 연속으로 포함됐습니다. 릴리스 노트에는 각 proxy 버전의 세부 변경 사항이 없으므로, 라우팅·관측성·프로토콜 감지 동작을 추적 중이라면 linkerd2-proxy 저장소의 해당 버전 changelog를 직접 확인한 뒤 배포 여부를 결정하세요.

  • enhancement컨트롤 플레인 Go 1.25.8 업그레이드 — 별도 조치 불필요

    Go 1.25.8은 패치 릴리스로 주로 런타임 안정성 수정이 목적입니다. Linkerd Go 모듈을 기반으로 커스텀 도구를 빌드 중인 경우라면 툴체인 버전을 맞춰주세요. 그 외 일반 운영 환경에서는 별도 조치가 필요하지 않습니다.

주요 변경 (5)
  • 이번 릴리스 사이클 내 proxy가 v2.343.0, v2.344.0으로 두 차례 업데이트
  • 컨트롤 플레인 Go 런타임을 1.25.8로 업그레이드
  • proxy 내 TLS 라이브러리 rustls를 0.23.35에서 0.23.37로 패치 업데이트
  • proxy-init 2.4.5 → 2.4.6 업데이트
  • openssl-sys(0.9.112)와 gRPC(1.79.3) 의존성 업데이트
원문

Dapr

Orchestration & Management2026년 3월 19일

Dapr v1.17.2는 Go 표준 라이브러리 CVE 3건 수정, CRD 수동 업데이트가 필요한 브레이킹 체인지, 대규모 액터 배포의 배치 장애 및 스트리밍 OOM 문제를 포함한 긴급 패치입니다.

  • securityGo 표준 라이브러리 CVE 3건 — 즉시 업그레이드 필요

    Go 1.24.x에서 net/url의 IPv6 SSRF(GO-2026-4601), os.Root 경로 탈출(GO-2026-4602), html/template XSS(GO-2026-4603)가 발견됐습니다. 사용자 입력 URL을 처리하거나 템플릿 렌더링이 관련된 서비스라면 실질적인 위험이 있습니다. Go 툴체인 업그레이드로 해결되므로 애플리케이션 코드 변경 없이 v1.17.2로 업그레이드하면 됩니다.

  • breakingHelm 업그레이드 전 CRD 수동 업데이트 — 안 하면 daprd 기동 실패

    Configuration CRD의 `stateRetentionPolicy` 필드 타입이 integer에서 string으로 바뀌었습니다. Helm은 CRD를 자동으로 업데이트하지 않으므로, CRD 업데이트 없이 `helm upgrade`를 실행하면 duration 문자열을 쓰는 Configuration 오브젝트가 Kubernetes 검증에서 거부되고 daprd가 설정을 불러오지 못할 수 있습니다. 공식 Kubernetes 업그레이드 가이드의 CRD 업데이트 절차를 먼저 수행하세요. 현재 워크플로우 상태 보존 정책을 사용하지 않더라도 CRD는 업데이트해두는 편이 좋습니다.

  • enhancement대규모 액터 배포 및 스트리밍 워크로드는 이번 패치를 우선 적용하세요

    보안 외에 두 가지 수정이 특히 중요합니다. 첫째, 1.17.x에서 50개 이상의 액터 레플리카 환경은 배치 전파 타임아웃이 연쇄적으로 발생하는 문제가 있었는데, 이번 릴리즈의 배치 처리 개선으로 해결됐습니다. 둘째, 파일 업로드·SSE·청크 데이터 같은 스트리밍 요청/응답이 사이드카 메모리에 통째로 버퍼링되어 OOM 킬이 발생하던 문제도 수정됐습니다. 두 패턴 중 하나라도 해당한다면 일반 정기 업그레이드가 아닌 긴급 패치로 취급하세요.

주요 변경 (5)
  • Go 1.25.8 업그레이드로 html/template XSS, os.Root 경로 탈출, net/url IPv6 파싱 등 CVE 3건 수정
  • 브레이킹 체인지: 워크플로우 상태 보존 정책 CRD 필드 타입이 integer에서 string으로 변경 — Helm 업그레이드 전 CRD 수동 업데이트 필수
  • 50개 이상 레플리카 환경에서 발생하던 액터 배치 전파 타임아웃 연쇄 장애 수정
  • 서비스 호출 시 스트리밍 요청/응답 전체를 메모리에 버퍼링하던 문제 수정 — 사이드카 OOM 방지
  • 그레이스풀 셧다운 중 DLQ 오라우팅 수정, 벌크 퍼블리시 네임스페이스 프리픽스 누락 수정
원문

Operator Framework

Orchestration & Management2026년 3월 19일

gRPC 의존성을 1.78.0에서 1.79.3으로 올리고 Ansible 오퍼레이터 플러그인을 갱신한 패치 릴리스입니다. 변경 범위가 좁아 빠르게 적용해도 무방합니다.

  • securitygRPC 의존성 업그레이드 적용 권장

    gRPC가 두 마이너 버전을 건너 1.79.3으로 올라갔습니다. gRPC의 전송 계층 문제나 CVE는 조용히 오퍼레이터-레지스트리 통신에 영향을 줄 수 있습니다. grpc 변경 이력을 한 번 확인한 뒤 업그레이드하세요. 의존성 범위가 좁아 리스크는 낮습니다.

  • enhancementAnsible 기반 오퍼레이터는 이미지 재빌드 필요

    Ansible 오퍼레이터를 운영 중이라면 플러그인 업데이트로 인해 기존 스캐폴딩 파일이 현재 기준과 어긋날 수 있습니다. SDK 업그레이드 후 플러그인이 관리하는 파일을 재생성해 동기화 상태를 유지하세요. 급하지는 않지만 다음 오퍼레이터 릴리스 전에 처리해 두는 편이 좋습니다.

주요 변경 (3)
  • google.golang.org/grpc 1.78.0 → 1.79.3 업그레이드 (dependabot)
  • Ansible 오퍼레이터 플러그인 v1.42.2 버전으로 업데이트
  • v1.42.1 릴리스 이후 생성 파일 동기화
원문

Keycloak

Security2026년 3월 19일

Keycloak 26.5.6은 SSRF, 토큰 재사용, IDOR, 권한 상승 등 8개 CVE를 패치하는 긴급 보안 릴리스입니다. 즉시 업그레이드가 필요합니다.

  • security8개 CVE 패치 — 즉시 26.5.6으로 업그레이드

    SSRF, 토큰 재생, 권한 상승, IDOR, 다중 정보 노출 경로를 포함한 8개 CVE가 수정되었습니다. 특히 jwks_uri 경유 SSRF, manage-clients 권한 상승, 인증 세션 오염은 멀티테넌트 또는 외부 노출 환경에서 매우 위험합니다. 별도의 완화 방법은 없으며 업그레이드가 유일한 해결책입니다. 26.x 버전을 운영 중이라면 긴급 패치로 처리하세요.

  • securitymanage-clients 권한 부여 내역 및 동적 클라이언트 등록 설정 점검

    CVE-2026-3121(manage-clients 권한 상승)과 CVE-2026-1180(동적 클라이언트 등록의 jwks_uri SSRF)은 현재 권한 설정과 기능 활성화 여부를 함께 검토해야 합니다. 업그레이드 후 manage-clients를 보유한 사용자·서비스 계정을 감사하세요. OIDC 동적 클라이언트 등록을 사용하지 않는다면 렐름 단위에서 비활성화해 SSRF 공격면을 완전히 제거하세요.

  • breaking업그레이드 후 Operator DB 설정 및 다중 렐름 시작 동작 검증 필요

    26.5.0에서 도입된 Operator의 DB targetServerType=primary 미적용 문제(마스터-레플리카 페일오버 시 연결 검증 실패)와 26.5.4에서 발생한 O(N²) 시작 스캔 회귀가 모두 수정되었습니다. 해당 버그를 경험했다면 업그레이드 후 DB 페일오버 동작과 시작 시간을 반드시 확인하세요. 렐름이 많은 대규모 환경에서는 재시작 속도가 눈에 띄게 빨라질 겁니다.

주요 변경 (6)
  • CVE-2026-1180: OIDC 동적 클라이언트 등록의 jwks_uri를 통한 블라인드 SSRF — 내부 네트워크 탐색 가능
  • CVE-2026-1035: TOCTOU 경쟁 조건을 이용한 리프레시 토큰 재사용 우회 — 토큰 재생 공격 가능
  • CVE-2026-3121: manage-clients 권한을 통한 권한 상승 — 낮은 권한 사용자가 상위 권한 획득 가능
  • CVE-2025-14777: 렐름 클라이언트 생성/삭제 시 IDOR — 무단 클라이언트 조작 가능
  • 버그 수정: AUTH_SESSION_ID 쿠키 재사용으로 재인증 시 세션 오염 발생 — 심각한 데이터 격리 문제 해결
  • 버그 수정: 26.5.4에서 도입된 다수 렐름 환경의 O(N²) 시작 시간 회귀 수정
원문

Kubernetes

Kubernetes Core2026년 3월 19일

v1.35.3은 kubeadm 버그 수정 2건과 DRA 퇴출 상태 메시지 정리 1건으로 구성된 소규모 패치입니다. 위험도가 낮아 안심하고 적용할 수 있습니다.

  • enhancementetcd learner 엔드포인트 버그 수정을 위해 kubeadm 업그레이드 권장

    etcd learner 멤버 수정이 이번 패치에서 운영상 가장 중요한 변경 사항입니다. kubeadm으로 관리하는 클러스터에서 노드 조인이나 멤버 승격 중 etcd 클라이언트 연결 문제를 겪은 적 있다면 이 패치가 근본 원인을 해결합니다. 설정 변경 없이 kubeadm 바이너리만 업데이트하면 되므로, 다음 유지보수 창에 적용하는 것을 권장합니다.

  • enhancement피어 마운트 환경에서 kubeadm reset 안정성 향상

    /var/lib/kubelet에 피어 마운트가 구성된 환경(특정 컨테이너 런타임 또는 중첩 마운트 설정)에서 reset 자동화가 실패한 경험이 있다면 이 수정이 적용됩니다. EINVAL 오류가 reset 과정을 막지 않으므로, 원인 불명의 reset 실패를 겪고 있는 경우 업그레이드할 만합니다.

주요 변경 (3)
  • etcd learner 멤버를 클라이언트 엔드포인트에 추가하지 않도록 kubeadm 수정
  • kubeadm reset 시 /var/lib/kubelet 피어 마운트 해제 중 EINVAL 오류 무시 처리
  • DRA 디바이스 테인트 퇴출 컨트롤러의 중간 상태 이중 집계 문제 수정
원문

Kubernetes

Kubernetes Core2026년 3월 19일

v1.34.6은 etcd learner 엔드포인트 문제와 클러스터 리셋 시 kubelet 언마운트 오류를 수정하는 소규모 패치 릴리스입니다.

  • enhancementetcd 멤버 추가 작업이 있다면 즉시 업그레이드 검토

    etcd learner는 아직 투표권이 없는 상태인데, 이 시점에 클라이언트 엔드포인트에 포함되면 프로모션 완료 전까지 요청 실패가 발생할 수 있습니다. etcd 노드 추가 중 간헐적 클라이언트 오류를 겪었다면 이 패치가 해결책입니다. 그렇지 않다면 일반 패치 주기에 맞춰 적용하면 됩니다.

  • enhancementkubeadm reset 실패 경험이 있다면 이 패치를 우선 적용

    /var/lib/kubelet 하위 바인드 마운트를 정리하지 못해 reset이 중간에 멈추는 문제가 수정됐습니다. 마운트 네임스페이스가 겹치거나 특정 파일시스템 설정을 쓰는 노드에서 주로 발생합니다. 리셋 실패 후 수동 정리를 반복했다면, 이 패치로 해당 번거로움을 없앨 수 있습니다.

주요 변경 (3)
  • kubeadm이 etcd learner 멤버를 클라이언트 엔드포인트 목록에 추가하지 않도록 수정 — etcd 멤버 변경 중 라우팅 오류 방지
  • kubeadm reset 시 /var/lib/kubelet 피어 마운트 언마운트 중 발생하는 EINVAL 오류를 무시하도록 수정 — 특정 커널/파일시스템 환경의 리셋 실패 해결
  • 의존성 변경 없음 — 순수 버그 수정 릴리스
원문

Kubernetes

Kubernetes Core2026년 3월 19일

v1.33.10은 ValidatingAdmissionPolicy의 kube-controller-manager 크래시 버그와 kubeadm 운영 버그 두 건을 수정한 소규모 패치입니다. 의존성 변경은 없습니다.

  • breaking개방형 스키마 VAP 사용 중이라면 즉시 패치 필요

    `additionalProperties: true`를 사용하는 ValidatingAdmissionPolicy가 존재하면 kube-controller-manager가 nil 포인터 예외로 완전히 다운됩니다. 우아한 성능 저하가 아닌 즉각적인 크래시입니다. v1.33.x를 사용 중이라면 현재 배포된 VAP 정책을 점검하고, 개방형 스키마 정책을 추가하기 전에 반드시 v1.33.10으로 업그레이드하세요.

  • enhancementHA 클러스터 컨트롤 플레인 확장 전 업그레이드 권장

    etcd는 신규 멤버를 learner로 먼저 등록한 뒤 승격시키는데, 이전 버전 kubeadm은 learner를 클라이언트 엔드포인트 풀에 포함시켜 조인 과정에서 간헐적 etcd 클라이언트 오류를 유발했습니다. kubeadm으로 관리되는 HA 클러스터에서 컨트롤 플레인 노드를 추가할 계획이 있다면, 작업 전에 이 패치를 적용하세요.

  • enhancement노드 자동화 해제 스크립트에서 kubeadm reset 안정성 개선

    /var/lib/kubelet이 bind 마운트된 노드에서 `kubeadm reset`을 실행하면 EINVAL 오류로 정리 작업이 중간에 실패했습니다. 이제 peer 마운트에서 예상되는 EINVAL을 무시하므로 reset이 깔끔하게 완료됩니다. 노드 폐기를 스크립트로 자동화하는 환경이라면 이 패치의 효과를 바로 체감할 수 있습니다.

주요 변경 (3)
  • ValidatingAdmissionPolicy에서 `additionalProperties: true` 스키마로 인한 kube-controller-manager nil 포인터 크래시 수정
  • kubeadm이 etcd learner 멤버를 클라이언트 엔드포인트에 추가하지 않도록 수정 — HA 클러스터 조인 시 라우팅 오류 방지
  • kubeadm reset 시 /var/lib/kubelet peer 마운트 해제 중 EINVAL 오류를 무시하도록 수정 — 불필요한 실패 방지
원문

Cloud Custodian

Security2026년 3월 18일

AWS 리소스 12종 신규 추가, EKS/Elasticsearch 업그레이드 가능 여부 필터, Azure Entra ID 리소스, GCP Vertex AI 지원이 포함된 대규모 기능 릴리스입니다. S3 캐시 오염, GuardDuty 검증 오류, IAM 사용자 오류 등 주요 버그도 수정됐습니다.

  • enhancementEKS·Elasticsearch 업그레이드 대상 클러스터 즉시 점검

    upgrade-available 필터를 활용하면 신규 버전이 존재하는 클러스터를 정책으로 자동 탐지할 수 있습니다. 지금까지 버전 컴플라이언스를 수동으로 확인했다면, 이 필터를 적용한 정책으로 교체하고 결과를 알림 또는 태깅으로 연결하세요. 지원 종료 일정이 다가오는 클러스터가 있다면 지금이 적기입니다.

  • enhancementcross-account 정책에 whitelist_patterns 추가해 오탐 제거

    삭제된 IAM 주체가 cross-account 정책에서 반복적으로 위반으로 잡혔다면, whitelist_patterns 파라미터로 해당 ARN 패턴을 제외할 수 있습니다. 기존 cross-account 정책을 검토해 결과에 자주 등장하는 삭제된 계정이나 서비스 연결 역할의 패턴을 추가하세요.

  • enhancementAzure Entra ID 보안 상태를 정책으로 감시

    conditional-access-policy, authorization-policy, named-location, security-defaults 네 가지 Entra ID 리소스가 새로 추가됐습니다. Azure 보안 기준선을 관리한다면, 보안 기본값 활성화 여부와 조건부 액세스 정책이 조직 요구사항에 맞는지 확인하는 정책을 작성하세요. 기존에는 별도 도구가 필요했던 영역이 c7n으로 통합됩니다.

주요 변경 (5)
  • EKS, Elasticsearch에 upgrade-available 필터 추가 — 구버전 클러스터를 정책으로 탐지 가능
  • savings-plan, vpc-lattice-listener, directconnect-gateway, bedrock-inference-profile, transfer-connector 등 AWS 리소스 12종 신규 추가
  • Azure Entra ID 리소스 관리 지원: conditional-access-policy, authorization-policy, named-location, security-defaults
  • GCP Vertex AI 리소스(엔드포인트, 배치 예측 작업) 추가 및 BigQuery, BigTable, KMS, GCS 버킷에 set-labels 지원 확대
  • cross-account 필터에 whitelist_patterns 추가로 삭제된 IAM 주체 오탐 방지, org-id + 와일드카드 조합 조건 버그 수정
원문

SPIRE

Security2026년 3월 18일

v1.14.3은 SPIFFE 인증서 체인 검증을 우회할 수 있는 TLS 세션 티켓 취약점을 패치하고, 노드 캐시 재구축 버그와 AWS·페더레이션 관련 안정성 문제를 수정했습니다.

  • securityTLS 세션 티켓 우회 취약점 — 즉시 업그레이드 필요

    SPIRE 서버 TCP 엔드포인트에서 TLS 세션 재개 시 SPIFFE 인증서 체인 검증이 생략될 수 있었습니다. 만료되거나 폐기된 인증서를 가진 클라이언트가 현재 신뢰 번들 검증 없이 재연결할 수 있는 신뢰 경계 위반입니다. v1.14.3으로 즉시 업그레이드하세요. 서버 측에서 자동으로 세션 티켓을 비활성화하므로 별도 설정 변경은 필요 없습니다.

  • security에이전트 로그의 셀렉터 데이터 노출 문제 해결

    셀렉터에는 Kubernetes 파드 레이블, Unix UID, AWS 메타데이터 등 민감한 워크로드 식별 정보가 포함될 수 있습니다. 업그레이드 후에는 에이전트 로그에 더 이상 기록되지 않지만, 기존 로그 파이프라인과 보존 정책을 점검해 과거 로그에 남아 있는 데이터를 확인하세요.

  • breakingPQC 사용자: X25519MLKEM768 마이그레이션 필요

    RequirePQKEM TLS 정책을 활성화한 경우, 알고리즘이 초안 x25519Kyber768Draft00에서 표준 X25519MLKEM768로 변경됩니다. 양쪽 피어 모두 v1.14.3 이상이어야 TLS 핸드셰이크가 성공합니다. 에이전트와 서버를 동시에 업그레이드하는 일정을 조율하세요.

  • enhancement노드 캐시 재구축 버그 — 동적 환경에서 특히 중요

    노드 캐시 재구축이 시작 후 단 1회만 실행되고 이후에는 중단되는 버그가 있었습니다. 워크로드 변경이 잦은 환경에서는 에이전트가 오래된 캐시 데이터를 계속 제공하게 됩니다. v1.14.3에서 자동 수정되며 별도 설정 변경 없이 업그레이드만 하면 됩니다. 동적 환경일수록 에이전트 업그레이드를 서두르세요.

주요 변경 (5)
  • 서버 TCP 엔드포인트의 TLS 세션 티켓 재개(resumption) 비활성화 — 신뢰 번들 검증 우회 가능성 차단
  • 민감 정보 노출 방지를 위해 에이전트 레벨 셀렉터 로깅 제거
  • RequirePQKEM 정책의 알고리즘을 초안 x25519Kyber768Draft00에서 표준화된 X25519MLKEM768로 교체
  • 노드 캐시 주기적 재구축이 최초 1회만 실행되던 버그 수정 — 설정된 인터벌로 정상 반복 실행
  • ReadOnlyEntry.Clone() 버그 수정: Admin 필드 값이 Downstream 필드로 잘못 복사되어 인가 메타데이터가 오염되던 문제 해결
원문

Litmus

Observability2026년 3월 18일

Litmus 3.27.0은 카오스 실험에서 Kubernetes Job 타겟팅을 지원하고, nil 포인터 크래시·GitOps 교착 상태·레이스 컨디션 등 안정성 버그를 다수 수정했습니다.

  • breakingGitOps 양방향 동기화가 무음으로 중단된 상태였음 — 업그레이드 후 동기화 상태 반드시 확인

    GitOps 동기화 핸들러 고루틴이 비활성화되어 있어 Git 변경 사항이 Litmus에 반영되지 않았습니다. 3.27.0으로 업그레이드한 뒤 동기화를 수동으로 트리거해 실험 상태가 Git 소스와 일치하는지 확인하세요. 그동안 누적된 드리프트는 직접 조정해야 합니다.

  • enhancementKubernetes Job을 카오스 실험 대상으로 지정 가능

    배치 처리나 CI 파이프라인을 Kubernetes Job으로 운영 중이라면, 이제 Job 리소스에 직접 카오스를 주입할 수 있습니다. 실험 매니페스트에 Job 리소스를 타겟으로 지정하고, 기존에 우회 방법이 없어 검증하지 못했던 배치 처리 경로의 복원력을 확인해 보세요.

  • enhancementnil 포인터·레이스 컨디션 다수 수정으로 간헐적 크래시 해소

    이번 릴리스에서 구독자, QueryServerVersion, YAML 파서에서 발생하던 nil 포인터 역참조 세 건과 실험 실행 레이스 컨디션이 수정됐습니다. 간헐적 크래시나 실험이 비정상 상태로 멈추는 현상을 겪었다면 업그레이드만으로 해결됩니다. 별도 설정 변경은 필요 없습니다.

주요 변경 (5)
  • 신규: 카오스 실험 대상에 Kubernetes Job 추가 — 배치 워크로드 커버리지 확장
  • MongoDB 다운 시 503 반환으로 프로브가 인프라 장애를 정확히 감지 가능
  • Workflow ADD 이벤트에서 발생하던 구독자 nil 포인터 크래시 수정
  • GitMutexLock.Unlock 교착 상태 해소 및 GitOps 동기화 핸들러 고루틴 재활성화로 양방향 동기화 복구
  • CMD 프로브 명령어 1024자 제한 제거 — 복잡한 프로브 스크립트 사용 가능
원문

Backstage

CI/CD & App Delivery2026년 3월 17일

v1.49.0은 새 프론트엔드 시스템이 1.0 RC에 도달하고, CLI가 모듈 시스템으로 전환되며, UI 컴포넌트·인테그레이션·엔티티 카드 전반에 걸쳐 다수의 breaking 변경이 포함된 대형 릴리스입니다.

  • breaking`@backstage/plugin-catalog` 업그레이드 전 엔티티 카드와 BUI 컴포넌트 마이그레이션 필수

    `@backstage/plugin-catalog`가 메이저 버전 업됐으므로 즉각적인 조치가 필요합니다. EntityAboutCard, EntityLinksCard, EntityLabelsCard, GroupProfileCard, UserProfileCard에서 `variant` 프롭을 모두 제거하세요. React Router 컨텍스트 내에 `BUIProvider`를 래핑하지 않으면 Link, ButtonLink, Tabs, Menu, Table의 클라이언트 사이드 내비게이션이 동작하지 않습니다. CSS 셀렉터에서 `bui-HeaderPage` 클래스 패턴과 camelCase 데이터 속성을 찾아 수정하고, Checkbox의 `selected`/`indeterminate` 프롭도 `isSelected`/`isIndeterminate`로 교체해야 합니다.

  • breakingBitbucket 및 레거시 인테그레이션 설정 즉시 제거 필요

    구 `bitbucket` 설정 키와 Azure DevOps의 `token`/`credential` 필드는 폐기 예고 상태가 아니라 완전히 제거됐습니다. `app-config.yaml`에 이 설정이 남아 있으면 업그레이드 후 백엔드가 시작되지 않습니다. `bitbucket`은 `bitbucketCloud` 또는 `bitbucketServer`로, Azure DevOps는 `credentials` 배열 방식으로 전환하세요. 스캐폴더 템플릿도 점검 대상입니다. `parseRepoUrl`이 더 이상 `bitbucket`을 처리하지 않기 때문입니다.

  • enhancement`@backstage/cli-defaults`를 지금 devDependency에 추가하세요

    CLI 모듈 시스템이 정식 도입됐고, 기존 내장 명령으로 폴백되는 경우 이미 폐기 경고가 표시됩니다. 루트 `devDependencies`에 `@backstage/cli-defaults`를 추가하면 경고가 사라지고 향후 폴백 제거에도 대비할 수 있습니다. 커스텀 CLI 도구를 관리하고 있다면 `@backstage/cli-node`의 `createCliModule` API로 정식 CLI 확장 패키지를 만들어 두는 것이 좋습니다.

주요 변경 (7)
  • 새 프론트엔드 시스템 1.0 RC 출시 — 신규 앱은 기본 적용, `--next` 플래그는 `--legacy`로 교체
  • BUI에서 다수의 breaking 변경: Checkbox 프롭 이름 변경, CSS 클래스 이름 변경, 라우팅에 `BUIProvider` 필수화, 폐기 타입 제거
  • 엔티티 카드들(`EntityAboutCard` 등) MUI → BUI 마이그레이션 완료, `variant` 프롭 제거 및 `@backstage/plugin-catalog` 메이저 버전 업
  • Bitbucket 레거시 인테그레이션 및 관련 필드 완전 제거 — `@backstage/integration`, `@backstage/backend-defaults`, 스캐폴더 패키지 전반에 영향
  • CLI가 `cli-module` 패키지 기반 모듈 시스템으로 전환 — 지금 바로 `@backstage/cli-defaults`를 devDependency에 추가해야 폴백 제거에 대비 가능
  • `queryEntities()` 등 카탈로그 메서드에 프레디케이트 기반 필터링 지원 추가 (새 POST 엔드포인트)
  • 퍼미션 검사 일괄 처리(batching) 도입으로 퍼미션이 많은 페이지 성능 개선
원문

Kubescape

Security2026년 3월 17일

v4.0.3은 소규모 패치 릴리스로, 에어갭 환경을 위한 --grype-db-url 플래그 추가, 호스트 누락 시 에러 미반환 버그 수정, 의존성 업데이트가 주요 변경 사항입니다.

  • securitygo-git v5.16.5 업그레이드 — CVE 여부 확인 후 신속히 적용

    go-git 패치 릴리스에는 git 프로토콜 파싱 관련 취약점 수정이 포함되는 경우가 많습니다. go-git v5.16.5 변경 로그에서 CVE 수정 여부를 직접 확인하고, git 저장소 스캔이나 Kubescape를 라이브러리로 임베딩하여 사용 중이라면 업그레이드를 서두르세요.

  • breaking호스트 누락 시 에러 반환 변경 — 에러 처리 로직 점검 필요

    이전 버전에서는 스캔 대상에 호스트 정보가 없을 때 nil을 반환해 에러가 무시됐습니다. 이 동작에 의존해 exit code 0을 성공으로 처리하던 파이프라인이 있다면, 업그레이드 후 기존에 묻혔던 실패가 표면에 드러날 수 있습니다. 업그레이드 전에 스캔 워크플로우의 에러 처리를 반드시 검토하세요.

  • enhancement에어갭/내부 미러 환경에서 --grype-db-url 활용

    인터넷 직접 접근이 불가한 환경에서 Kubescape를 운영 중이라면, --grype-db-url 플래그로 내부 Grype DB 미러를 지정할 수 있습니다. 기존에 환경 변수 패치나 우회 방법을 쓰고 있었다면 CI 파이프라인이나 오퍼레이터 설정에 이 플래그를 적용하는 편이 깔끔합니다.

주요 변경 (5)
  • kubescape scan 명령에 --grype-db-url 플래그 추가 — Grype 취약점 DB URL 직접 지정 가능
  • 호스트 정보 누락 시 nil 에러를 반환하던 버그 수정 — 스캔 실패가 묵살되던 문제 해결
  • go-git v5.16.5로 업그레이드 (보안/버그 수정 포함 가능성)
  • OpenTelemetry SDK 1.40.0으로 업데이트
  • Grype DB 조회 URL 디버깅을 위한 로그 추가
원문

Lima

Kubernetes Core2026년 3월 17일

Lima v2.1.0은 macOS·FreeBSD 게스트를 실험적으로 지원하고, 게스트 홈 디렉터리 경로를 변경하며 디스크 파일 구조를 통합했습니다. 업그레이드 전 마이그레이션 고려가 필요합니다.

  • breaking디스크 파일 통합으로 다운그레이드 불가

    v2.1에서 한 번 실행된 인스턴스는 v2.0·v1.x와 호환되지 않습니다. 업그레이드 전에 중요한 VM 인스턴스를 스냅샷하거나 백업하세요. CI 파이프라인이나 팀 공유 환경에서 Lima 버전을 고정해 쓰고 있다면, 모든 사용자가 동시에 업그레이드해야 합니다. 인스턴스별 롤백은 불가능합니다.

  • breaking`/home/${USER}.linux` 하드코딩 경로 점검 필요

    게스트 홈 디렉터리가 `/home/${USER}.guest`로 바뀌었습니다. 심볼릭 링크 덕분에 대부분은 그냥 동작하겠지만, `.linux` 경로를 직접 참조하는 스크립트·dotfile·바인드 마운트 설정은 따로 확인해야 합니다. 특히 심볼릭 링크를 따라가지 않는 컨테이너 볼륨 설정이 있다면 지금 수정하세요.

  • enhancementAI 에이전트 워크플로에는 `--sync` 플래그 적용

    Claude Code, Aider 같은 AI 코딩 에이전트를 Lima 셸 안에서 실행한다면, `limactl shell --sync`를 쓰면 에이전트가 호스트 파일을 실수로 수정하는 상황을 막을 수 있습니다. 에이전트를 구동하는 스크립트나 자동화 설정에 이 플래그를 기본으로 추가해 두는 걸 권장합니다.

  • enhancementk3s 템플릿으로 멀티노드 클러스터 로컬 테스트 가능

    내장 k3s 템플릿이 멀티노드 클러스터를 지원하게 됐습니다. 그동안 이 한계 때문에 Rancher Desktop이나 커스텀 설정을 써왔다면, 이제 네이티브 템플릿으로 전환할 시점입니다. 로컬 Kubernetes 테스트 환경을 더 현실적으로 구성할 수 있습니다.

주요 변경 (6)
  • macOS·FreeBSD 게스트 실험적 지원 (`template:macos`, `template:freebsd` 템플릿 추가)
  • 게스트 홈 디렉터리 경로가 `/home/${USER}.linux`에서 `/home/${USER}.guest`로 변경, 구 경로는 심볼릭 링크로 유지
  • `basedisk`·`diffdisk`가 단일 `disk` 파일로 통합 — v2.0/v1.x 인스턴스는 v2.1에서 부팅 가능하나, 역방향은 불가
  • AI 에이전트의 호스트 파일 수정 방지를 위한 `limactl shell --sync` 플래그 추가
  • 호스트→게스트 시간 동기화 추가, 게스트에이전트 바이너리 크기 14MB → 6.1MB로 감소
  • 비네이티브 아키텍처에서 QEMU가 기본 하이퍼바이저로 변경
원문

KubeVirt

Orchestration & Management2026년 3월 16일

KubeVirt v1.7.2는 네트워킹, 스토리지, 모니터링, 백업 영역의 버그 7건을 수정한 패치 릴리스입니다. 프로덕션 환경에서 실제로 문제가 되던 사항들이 포함되어 있어 즉시 업그레이드를 검토할 만합니다.

  • breaking혼합 NIC 구성 VMI 스펙을 점검하세요

    기본 네트워크 인터페이스가 보조 인터페이스보다 뒤에 정의된 VMI에서 virt-controller와 virt-handler 간 상태 무한 루프가 발생했습니다. VM이 지속적으로 업데이트 상태로 머물거나 virt-controller/virt-handler 로그량이 비정상적으로 많다면 이 버그일 가능성이 높습니다. v1.7.2로 업그레이드하고, VMI 스펙에서 기본 인터페이스가 목록 앞에 오는지 확인하세요.

  • enhancementWindows VM Velero 백업 안정성 개선 — 업데이트 권장

    QuiesceTimeout 처리 방식 변경과 60초 pre-backup 훅 타임아웃 추가로 Windows VSS 스냅샷의 간헐적 실패 문제가 해결됩니다. Velero로 Windows VM을 백업하다가 퀴에스 실패가 반복됐다면 이 패치가 직접적인 해결책입니다. 업그레이드 후 Velero 백업 정책의 훅 타임아웃 설정이 운영 SLA와 맞는지 점검하세요.

  • enhancementGCP NetApp Volumes 스토리지 마이그레이션 차단 해제

    GCP에서 NetApp Volumes를 사용하는 VM의 스토리지 라이브 마이그레이션이 조용히 실패하는 버그가 수정됐습니다. 이 문제로 스토리지 이동 작업을 미뤄왔다면 업그레이드 후 바로 테스트해볼 수 있습니다.

주요 변경 (7)
  • VMI 스펙에서 기본 NIC가 보조 인터페이스 뒤에 위치할 때 발생하던 VMI 상태 무한 업데이트 루프 수정
  • v3 핫플러그 포트 토폴로지 사용 시 업그레이드 후 PCI 주소 안정성 문제 수정
  • Google Cloud NetApp Volumes 환경에서 스토리지 마이그레이션 실패 수정
  • 스케줄 불가 노드를 kubevirt_allocatable_nodes 메트릭에서 제외하도록 수정
  • Windows VSS 백업의 QuiesceFailed를 QuiesceTimeout으로 교체하고 Velero pre-backup 훅에 60초 타임아웃 추가
  • 낮은 레플리카 경보 기준을 Deployment에 정의된 레플리카 수로 수정
  • Persistent Reservations 활성화 시 소켓 디바이스 헬스 상태 미갱신 버그 수정
원문

KubeVirt

Orchestration & Management2026년 3월 16일

KubeVirt v1.6.4는 CVE 패치, 핫플러그/마이그레이션 버그 수정, vCPU 큐 알림 추가를 포함한 108개 변경 사항의 패치 릴리스입니다.

  • securityCVE-2025-47913 대응 — 즉시 v1.6.4로 업그레이드

    CVE-2025-47913은 golang/x/crypto 의존성 취약점입니다. v1.6.4 이전 버전을 사용 중이라면 지금 바로 업그레이드하세요. 바이너리를 직접 패치하지 않는 한 별도의 우회 방법은 없습니다.

  • breaking크로스 벤더 라이브 마이그레이션 차단 — 노드 구성 사전 점검 필요

    이제 KubeVirt는 서로 다른 CPU 벤더(예: Intel ↔ AMD) 간 라이브 마이그레이션을 명시적으로 차단합니다. 혼합 CPU 환경에서 크로스 벤더 마이그레이션을 의도적으로든 비의도적으로든 사용하고 있었다면, 업그레이드 전에 노드 토폴로지를 반드시 점검하세요. 이전에는 성공하던 마이그레이션이 오류로 실패할 수 있습니다.

  • enhancementvCPU 큐 알림을 모니터링에 추가하세요

    GuestPeakVCPUQueueHighWarning, GuestPeakVCPUQueueHighCritical 두 알림이 새로 추가됐습니다. Prometheus를 사용 중이라면 이 알림이 정상적으로 수집되는지 확인하세요. VM이 부하 상태에서 이상 증상을 보이기 전에 CPU 고갈을 미리 감지할 수 있어 운영 가시성이 높아집니다.

주요 변경 (5)
  • CVE-2025-47913 수정: golang/x/crypto를 OpenShift 패치 포크로 교체
  • v3 핫플러그 포트 토폴로지 업그레이드 시 PCI 주소 안정성 문제 수정
  • 블록 볼륨 핫플러그 시 autoattachVSOCK 중단 버그 수정
  • 신규 Prometheus 알림 추가: GuestPeakVCPUQueueHighWarning / GuestPeakVCPUQueueHighCritical
  • 라이브 마이그레이션 시 메모리 오버커밋 재계산 및 크로스 벤더 마이그레이션 차단
원문

Flux

CI/CD & App Delivery2026년 3월 16일

Flux v2.8.3은 YAML 구분자나 임베디드 콘텐츠가 포함된 차트에서 템플릿 처리를 중단시키던 helm-controller 회귀 버그를 수정했습니다.

  • breakingYAML 구분자 사용 Helm 차트 운영 시 즉시 업그레이드 필요

    v2.8.2의 회귀 버그로 인해 멀티 문서 YAML 파일이나 임베디드 스크립트 같은 일반적인 차트 패턴에서 템플릿 처리가 중단됩니다. Helm 배포 실패 여부를 확인하고 v2.8.3으로 즉시 업그레이드하세요. Flux v2.7+ 공식 업그레이드 절차를 따라 마이그레이션 문제를 피하세요.

  • enhancement업그레이드 후 Helm 차트 배포 검증 실시

    업그레이드 완료 후 이전에 실패했던 Helm 릴리스가 정상 배포되는지 확인하세요. 인증서나 스크립트를 임베드하거나 다중 YAML 문서를 사용하는 차트에 특히 주의를 기울이세요. 이번 수정으로 최근 버전에서 조용히 실패했을 수 있던 기능이 복구됩니다.

주요 변경 (4)
  • 차트에 '---' 구분자가 포함될 때 발생하던 helm-controller 템플릿 오류 수정
  • 임베디드 스크립트와 ConfigMap 내 CA 인증서 관련 문제 해결
  • CLI 업데이트 작업에 대상 브랜치 이름 기능 추가
  • 호환성 개선을 위한 툴킷 컴포넌트 업데이트
원문

Argo

CI/CD & App Delivery2026년 3월 16일

Argo CD 3.3.4는 토큰 새로고침 처리와 git-lfs 지원에 대한 중요한 버그 수정을 제공하며, 보안 문서가 강화된 운영 안정성 개선 릴리스입니다.

  • security서명된 릴리스 자산 검증

    모든 컨테이너 이미지에 cosign 서명과 SLSA Level 3 출처 증명이 포함됩니다. 특히 보안에 민감한 환경에서는 배포 전에 공식 검증 문서를 사용해 컨테이너 이미지의 유효성을 검사하세요.

  • breaking토큰 새로고침 설정 검토

    토큰 새로고침 수정으로 컴포넌트 동작에 영향을 줄 수 있던 파싱 오류가 해결됐습니다. 기존 토큰 설정을 확인하고 업그레이드 후 인증 문제가 없는지 모니터링하세요. 특히 다중 컴포넌트 환경에서 주의 깊게 살펴보세요.

  • enhancementppc64le 아키텍처 지원을 위한 업그레이드

    ppc64le 시스템에서 운영 중이라면, 이번 릴리스가 누락된 체크섬으로 인해 작동하지 않던 git-lfs 기능을 수정했습니다. 해당 아키텍처에서 완전한 git-lfs 기능을 복구하려면 업그레이드를 계획하세요.

주요 변경 (5)
  • 무관한 컴포넌트에 영향을 주던 토큰 새로고침 임계값 파싱 오류 수정
  • ppc64le 아키텍처용 git-lfs 설치 프로그램의 누락된 체크섬 추가
  • 더 나은 관찰 가능성을 위한 OpenTelemetry SDK 의존성 업데이트
  • 클러스터 버전 변경과 마이그레이션 가이드 문서 개선
  • 서명된 컨테이너 이미지와 출처 증명으로 SLSA Level 3 준수 유지
원문

KServe

AI & ML2026년 3월 13일

v0.17.0은 새로운 LLMInferenceService 베타 출시, 스토리지 병렬화 개선, vLLM 0.15.1 업그레이드, 그리고 프로덕션 환경에 영향을 미치는 주요 CVE 수정을 제공합니다.

  • security중요 CVE 패치 즉시 적용 필요

    이번 릴리스는 경로 순회(storage-initializer), HTTP 파서 취약점(h11, starlette), 암호화 부분군 공격 등 여러 고위험 CVE를 해결했습니다. 특히 storage-initializer나 외부 모델 다운로드를 사용 중이라면 v0.17.0으로 신속히 업데이트하세요. 패치된 버전과 비교해 현재 CVE 스캔 결과를 검토하십시오.

  • breakingLLMInferenceService 마이그레이션 계획 수립

    새로운 LLMInferenceService CRD는 기존 InferenceService와 다른 의미론을 가진 LLM 전용 API를 도입했습니다. LLM 모델을 운영 중이라면 더 나은 오토스케일링, 라우팅, 운영 기능을 위해 이 새 리소스 타입으로의 마이그레이션을 검토하세요. CRD는 API 구조에서 주요 변경사항을 포함합니다.

  • enhancement병렬 스토리지 다운로드로 배포 속도 향상 활용

    Storage-initializer가 이제 S3와 Azure에서 블롭을 병렬로 다운로드해 대용량 모델의 로딩 시간을 획기적으로 단축합니다. 특히 LLM 워크로드에 유용하며, 업그레이드만으로 별도 설정 없이 자동으로 개선 효과를 누릴 수 있습니다.

주요 변경 (5)
  • 웹훅, 오토스케일링, Gateway API 통합을 포함한 LLMInferenceService CRD 도입
  • S3와 Azure 스토리지에서 병렬 블롭 다운로드 추가로 모델 로딩 성능 대폭 개선
  • 향상된 시작 프로브와 설정 유연성을 갖춘 vLLM 런타임 0.15.1로 업그레이드
  • 경로 순회, HTTP 파서 취약점, 암호화 이슈를 포함한 다수 CVE 수정
  • 확장된 모델 형식 지원을 위한 OpenVINO 모델 서버 런타임과 예측 추론 서버 추가
원문

OpenFGA

Security2026년 3월 13일

OpenFGA v1.12.0은 자동 TLS 인증서 회전, 강화된 입력 검증, 중요한 경쟁 조건 수정으로 운영 안정성을 개선했습니다.

  • securityGo 표준 라이브러리 취약점 수정을 위한 업그레이드

    이번 릴리스는 두 개의 Go 표준 라이브러리 취약점(GO-2026-4603, GO-2026-4601)을 해결합니다. 프로덕션 배포에서 이러한 보안 위험을 제거하기 위해 업그레이드를 계획하세요.

  • enhancementgRPC 메시지 크기 제한 설정

    현재 메시지 크기를 검토하고 새로운 설정 옵션을 사용해 적절한 제한을 설정하여 리소스 고갈 공격을 방지하고 시스템 안정성을 개선하세요.

  • enhancement자동 인증서 회전 기능 활용

    cert-manager 같은 인증서 회전 도구를 사용 중이라면 이번 릴리스로 인증서 업데이트 중 연결 실패가 해결됩니다. 업그레이드 후 인증서 회전 프로세스를 테스트해 개선 사항을 확인하세요.

주요 변경 (5)
  • 더 나은 리소스 제어를 위한 gRPC 메시지 크기 제한 설정 기능
  • HTTP 게이트웨이가 연결 실패 없이 TLS 인증서 회전을 자동 처리
  • 보안 강화를 위한 유니코드 제어 문자 및 null 바이트 튜플 검증 거부
  • 비결정적 실행을 방지하는 체크 리듀서의 경쟁 조건 수정
  • 덮어쓰기 시 무한 증가를 방지하는 캐시 메트릭 수정
원문

Longhorn

Storage & Data2026년 3월 13일

Longhorn v1.11.1은 인스턴스 매니저 파드의 심각한 메모리 누수와 S3 호환 스토리지 백업 실패 문제를 해결한 중요한 패치 릴리스로, v1.11.0 사용자에게는 긴급 업그레이드가 필요합니다.

  • security백업 복원 기능 손상

    AWS SDK v2 인증 문제로 S3 호환 백업 대상(Storj, GCS)이 실패했습니다. 업그레이드 후 백업 및 복원 워크플로를 테스트하세요. 특히 비 AWS S3 엔드포인트를 사용하는 경우 큰 백업 전송이 성공적으로 완료되는지 확인하세요.

  • breakingv1.11.0 사용자 긴급 업그레이드 필요

    인스턴스 매니저 파드에서 높은 메모리 사용량을 경험하는 v1.11.0 사용자는 즉시 업그레이드해야 합니다. 메모리 누수는 클러스터 불안정성과 파드 축출을 야기할 수 있습니다. 업그레이드 점검 시간을 계획하고 롤아웃 중 메모리 사용량을 모니터링하세요.

  • enhancement토폴로지 인식으로 스케줄링 개선

    새로운 CSI 토폴로지 인식 nodeAffinity 제어로 더 나은 볼륨 배치가 가능합니다. 멀티존 배포와 특정 노드 스케줄링 요구사항에 맞춰 allowedTopologies와 strictTopology 설정을 활용하도록 스토리지 클래스 구성을 검토하세요.

주요 변경 (5)
  • 프록시 연결 누수로 인한 longhorn-instance-manager 파드의 심각한 메모리 누수 문제 해결
  • Storj, GCS 등 S3 호환 스토리지 백업 실패를 야기한 AWS SDK v2 호환성 문제 해결
  • V2 데이터 엔진의 빠른 레플리카 리빌드 및 클론 기능 개선
  • 더 나은 스케줄링을 위한 CSI 토폴로지 인식 PV nodeAffinity 제어 기능 추가
  • 동일 노드의 다중 레플리카로 인한 스토리지 중복 계산 및 스케줄링 실패 문제 해결
원문

Strimzi

Networking & Messaging2026년 3월 12일

Strimzi 0.45.2는 0.45.x 브랜치의 마지막 패치 릴리스로, 주요 CVE 수정과 Kafka 3.9.2 지원에 집중하며 ZooKeeper 기반 클러스터를 지원하는 최종 버전입니다.

  • securityCVE 수정을 위한 즉시 패치 적용

    이번 릴리스는 ZooKeeper, JWT 라이브러리, 네트워킹 컴포넌트의 여러 고위험 CVE를 수정했습니다. 민감한 데이터를 다루거나 인터넷 연결 서비스를 운영한다면 이러한 취약점 패치를 위해 0.45.2로 즉시 업그레이드하세요.

  • breaking0.45.x 이후 업그레이드 전 KRaft 마이그레이션 필수

    Strimzi에서 ZooKeeper 기반 Kafka 클러스터를 실행할 수 있는 마지막 기회입니다. Strimzi 0.46+는 KRaft 모드만 지원하므로 지금 KRaft 마이그레이션을 계획하세요. 공식 KRaft 마이그레이션 가이드를 따르고 프로덕션 환경 적용 전 충분히 테스트하세요.

  • breaking향후 업그레이드 시 Kafka 3.9.2 어노테이션 문제 대응

    Kafka 3.9.2를 사용 중이라면 Strimzi 0.46-0.51로 업그레이드할 때 파드 어노테이션을 수동으로 업데이트해야 합니다. 오퍼레이터 실패를 방지하기 위해 제공된 kubectl 명령어를 업그레이드 시 사용하도록 저장해두세요.

주요 변경 (5)
  • 0.45.x 브랜치 최종 패치 릴리스 - 이후 추가 패치 없음
  • Apache Kafka 3.9.2 지원 추가 및 컨테이너 이미지 업데이트
  • ZooKeeper CVE-2024-47554, Nimbus Jose JWT CVE-2025-53864, GRPC Netty Shaded CVE-2025-55163 등 다수 CVE 수정
  • ZooKeeper 기반 Kafka 클러스터 및 MirrorMaker 1 지원하는 마지막 Strimzi 버전
  • 의존성 버전 업그레이드: Vert.x 4.5.24, Netty 4.1.130.Final, Apache Log4J 2.25.3, Cruise Control 2.5.146
원문

Flux

CI/CD & App Delivery2026년 3월 12일

Flux v2.8.2는 조정 루프, Azure Container Registry 인증 문제를 해결하고 CVE-2026-27138 보안 패치를 포함한 중요한 수정사항들을 제공합니다.

  • securityCVE-2026-27138 패치를 즉시 적용

    TLS 핸드셰이크 중 발생할 수 있는 서비스 거부 공격 취약점이 수정되었습니다. 특히 외부 TLS 연결을 처리하거나 보안 컴플라이언스 요구사항이 있는 환경이라면 v2.8.2로 즉시 업그레이드를 예약하세요.

  • enhancementHelmRelease 안정성을 위한 DefaultToRetryOnFailure 활성화

    CancelHealthCheckOnNewRevision을 사용 중이고 HelmRelease가 멈춘 경험이 있다면 새로운 DefaultToRetryOnFailure 기능 게이트를 활성화하세요. 재시도 전략 없이 취소된 릴리스가 무한정 대기하는 것을 방지해 배포 안정성이 개선됩니다.

  • enhancement업그레이드 후 Azure Container Registry 인증 확인

    ACR 인증 스코프 수정으로 Azure 레지스트리에서 간헐적으로 발생하던 인증 실패가 해결될 수 있습니다. 업그레이드 후 이미지 풀과 소스 작업을 모니터링해서 ACR 저장소 연결 안정성이 개선되었는지 확인하세요.

주요 변경 (5)
  • 소스 객체가 현재 리비전을 이미 처리 중일 때 불필요한 조정 요청 수정
  • Helm 4.1.3 업그레이드로 YAML 구분자 버그 해결
  • 취소된 HelmReleases가 멈춤 현상을 방지하는 DefaultToRetryOnFailure 기능 게이트 추가
  • Azure Container Registry 인증 스코프 오류 수정
  • Go 1.26.1로 빌드하여 CVE-2026-27138 TLS 핸드셰이크 DoS 취약점 패치
원문

Linkerd

Networking & Messaging2026년 3월 12일

Linkerd edge-26.3.2는 Rust, Go, Node.js 컴포넌트의 일상적인 의존성 업데이트와 실패한 파드 및 완료된 잡에서 메트릭 수집을 제외하는 개선사항을 제공합니다.

  • enhancement메트릭 수집 개선사항 모니터링

    업데이트로 실패한 파드와 완료된 잡이 프록시 메트릭 스크래핑에서 제외되어 모니터링 데이터의 노이즈가 줄어듭니다. 업그레이드 후 현재 메트릭 대시보드에서 더 깔끔한 데이터 패턴을 확인하고, 이전에 이런 노이즈를 고려했던 알림 임계값 조정을 검토하세요.

  • enhancement비프로덕션 환경에서 엣지 릴리스 테스트

    이번 엣지 릴리스는 많은 의존성 업데이트를 한 번에 묶었습니다. 프로덕션 클러스터에 배포하기 전에 스테이징 환경에서 먼저 배포하여 결합된 변경사항이 특정 워크로드 패턴에서 예상치 못한 동작을 일으키지 않는지 검증하세요.

주요 변경 (4)
  • 프록시를 v2.342.0으로 업데이트하여 최신 개선사항 적용
  • Rust(pin-project-lite, ryu, anyhow), Go(gRPC, klog), JavaScript(webpack, babel-loader) 컴포넌트 전반의 포괄적인 의존성 업데이트
  • 실패한 파드와 완료된 잡을 프록시 스크래핑에서 제외하여 메트릭 수집 개선
  • CI/CD 워크플로 개선을 위해 Docker 빌드 액션을 v4.0.0 및 v7.0.0으로 업그레이드
원문

Helm

Kubernetes Core2026년 3월 12일

Helm v3.20.1은 차트 값 처리와 OCI 레지스트리 운영에서 배포 실패를 유발할 수 있는 두 가지 중요한 버그를 수정했습니다.

  • enhancement값 처리 수정을 위해 즉시 업그레이드

    차트 배포를 중단시킬 수 있는 두 가지 버그가 해결되었습니다. nil 값 보존 수정으로 차트 기본값을 재정의할 때 예상치 못한 동작을 방지하고, OCI 태그+다이제스트 수정으로 두 식별자를 모두 사용하는 레지스트리에서 차트를 제대로 가져올 수 있게 됩니다. 업그레이드 후 기존 차트를 테스트해서 값 재정의가 예상대로 작동하는지 확인하세요.

  • enhancementOCI 차트 참조 정상 동작 확인

    태그+다이제스트 참조(`registry/chart:v1.0@sha256:abc123` 형태)와 함께 OCI 레지스트리를 사용한다면, 이번 릴리스에서 이전의 'invalid byte' 오류가 수정되었습니다. 차트 불변성을 위해 태그+다이제스트 조합을 사용하기 전에 CI/CD 파이프라인을 이 버전으로 업데이트하세요.

주요 변경 (4)
  • 차트에 빈 맵이나 키 기본값이 없을 때 nil 값 보존 버그 수정
  • 태그+다이제스트가 포함된 OCI 참조에서 'invalid byte' 오류 발생 문제 해결
  • 쿠버네티스 종속성을 최신 버전으로 업데이트
  • OCI 인덱스에서 차트 가져오기 지원 추가
원문

Helm

Kubernetes Core2026년 3월 11일

Helm v4.1.3는 OCI 레지스트리, dry-run 작업, 값 처리에서 배포 실패나 예측 불가능한 동작을 일으키던 여러 중요한 버그를 수정했습니다.

  • breakingOCI 레지스트리 워크플로우 즉시 업데이트

    컨테이너 이미지와 Helm 차트를 같은 태그로 저장하는 OCI 레지스트리를 사용한다면 즉시 업그레이드하세요. 이전 버그는 완전한 풀링 실패를 일으켰습니다. 업그레이드 후 차트 풀링을 테스트해서 레지스트리 설정과의 호환성을 확인하세요.

  • enhancement오토스케일링 업그레이드 타임아웃 검토

    이제 업그레이드가 조기 실패하지 않고 클러스터 오토스케일러와 롤링 업데이트를 제대로 기다립니다. 배포 파이프라인을 검토하고 이 문제를 우회하려고 추가했던 인위적인 지연을 줄이는 것을 고려하세요. 초기 업그레이드를 면밀히 모니터링해서 개선된 동작을 확인하세요.

  • enhancementgenerateName 사용 시 dry-run 작업 검증

    서버사이드 dry-run이 이제 generateName 필드를 올바르게 처리합니다. generateName을 사용하는 리소스에 대해 dry-run 검증을 피하고 있었다면 CI/CD 파이프라인에서 다시 활성화하세요. 배포 전 검증 범위가 개선됩니다.

주요 변경 (5)
  • dry-run 서버 모드에서 generateName을 무시하던 검증 문제 해결
  • 컨테이너/차트 혼합 저장소에서 차트 풀링 실패 문제 수정
  • 차트 기본값 재정의를 방해하던 nil 값 보존 문제 해결
  • 오토스케일링 중 업그레이드가 조기 실패하던 FailedStatus 처리 개선
  • 포스트 렌더링 후 템플릿 공백 제거로 인한 YAML 손상 제거
원문

Dragonfly

Storage & Data2026년 3월 11일

Dragonfly v2.4.3은 의존성 업데이트와 보안 패치에 집중한 순수 유지보수 릴리스로, 사용자 기능 변경사항은 없습니다.

  • security정기 보안 업데이트 적용

    이번 패치 릴리스에는 보안 수정사항이 포함될 수 있는 의존성 업데이트가 들어있습니다. 다음 유지보수 시간에 Dragonfly 배포를 v2.4.3으로 업데이트하세요. 호환성을 깨뜨리는 변경이나 설정 업데이트 없이 원활한 업그레이드가 가능합니다.

  • enhancementOpenTelemetry 업데이트로 관찰 가능성 향상

    OpenTelemetry 라이브러리가 v0.63.0에서 v0.67.0로 업데이트되면서 더 나은 트레이싱 기능을 제공합니다. Dragonfly와 함께 분산 트레이싱을 사용하고 있다면 업그레이드 후 개선된 트레이스 수집과 오버헤드 감소를 경험할 수 있습니다.

주요 변경 (5)
  • 관찰 가능성 개선을 위해 OpenTelemetry 라이브러리를 v0.63.0에서 v0.67.0로 업데이트
  • GitHub CI/CD 워크플로우용 Docker 액션을 v4.0.0로 업그레이드
  • oauth2 및 sys 패키지를 포함한 Golang 시스템 의존성 업그레이드
  • 최신 API 호환성을 위해 d7y.io/api를 v2.2.24로 업데이트
  • 오래된 이슈 관리를 위한 GitHub Actions 의존성 갱신
원문

KubeEdge

Provisioning & Runtime2026년 3월 11일

KubeEdge v1.23은 Beego에서 GORM으로의 엣지 DB 전면 교체, 엣지-클라우드 대역폭 절감을 위한 노드 쿼리 최적화, Device CRD 기반 이상 탐지 지원, Windows EdgeCore 개선을 담고 있습니다.

  • breakingDeviceStatus CRD로 상태 조회 경로 즉시 변경 필요

    Device 상태 정보가 Device CRD에서 별도의 DeviceStatus CRD로 분리됐습니다. CRD 스키마 자체의 하위 호환성은 유지된다고 하지만, 기존 Device 오브젝트에서 직접 상태를 읽는 코드·스크립트·자동화 파이프라인은 업그레이드 후 변경사항을 감지하지 못합니다. 업그레이드 전에 운영 중인 오퍼레이터, 대시보드, GitOps 파이프라인을 모두 점검하고 DeviceStatus CRD를 읽도록 수정하세요.

  • enhancement엣지 DB 마이그레이션 후 스테이징 환경에서 동작 검증 필수

    엣지 DB 레이어 전체가 GORM 기반으로 재작성됐고, 모든 DB 작업이 MetaManager 단일 진입점을 통하게 됩니다. 위험도가 낮은 변경이지만 내부 구조의 변화가 크기 때문에, 프로덕션 적용 전 스테이징에서 엣지 워크로드를 충분히 테스트해야 합니다. 특히 오프라인 모드 전환, 재연결 시나리오에서의 MetaManager 동작을 중점적으로 확인하세요.

  • enhancement대규모 엣지 배포 환경에서 노드 쿼리 최적화 효과 확인

    수십~수백 개의 엣지 노드를 운영 중이라면, 노드 조회가 원격 CloudCore 호출 대신 로컬 엣지 DB에서 처리되는 이번 변경으로 엣지-클라우드 터널 대역폭이 눈에 띄게 줄어들 겁니다. 별도의 설정 변경 없이 CloudCore가 자동으로 노드 정보를 엣지 DB에 동기화합니다. 업그레이드 후 엣지-클라우드 채널 지표를 모니터링해 실제 환경에서의 개선 폭을 확인해 보세요.

주요 변경 (6)
  • 엣지 DB를 Beego ORM에서 GORM으로 교체, MetaManager 단일 진입점으로 DB 작업 일원화
  • 노드 조회 경로를 원격 CloudCore에서 로컬 엣지 DB로 전환해 대규모 배포 시 엣지-클라우드 채널 부하 감소
  • Device CRD의 pushMethod에서 이상 탐지 설정 가능, 매퍼 레벨에서 플러그인 방식으로 구현 지원
  • Device CRD에서 상태 정보가 별도의 DeviceStatus CRD로 분리 — 기존 소비자는 쿼리 대상 변경 필요
  • Windows EdgeCore: Named Pipe 기반 DMI, 버전 인식 keadm 업그레이드, 서비스 모드 로그 파일 리다이렉션 추가
  • 벤더링된 Kubernetes 버전을 v1.32.10으로 업그레이드
원문

Envoy

Networking & Messaging2026년 3월 11일

Envoy v1.37.1은 크래시 취약점과 RBAC 우회를 포함해 5개 CVE를 해결한 중요 보안 패치입니다. 프로덕션 Envoy를 운영하는 팀은 즉시 업데이트를 우선해야 합니다.

  • security긴급 CVE 수정사항 즉시 적용

    속도 제한과 IPv6 처리의 크래시 조건, RBAC 우회를 포함한 5개 CVE가 수정됐습니다. 먼저 스테이징에서 테스트한 후, 24-48시간 내에 프로덕션 클러스터 업데이트를 위한 긴급 유지보수를 스케줄하세요.

  • enhancementOAuth2 및 ext_authz 설정 검토

    OAuth2 리프레시 토큰을 사용한다면 수정 후 호스트 헤더 동작이 올바르게 작동하는지 확인하세요. ext_authz 사용자는 오류 처리가 이제 status_on_error 설정을 제대로 준수하고 거부 응답 헤더가 예상대로 클라이언트에 도달하는지 점검하세요.

  • enhancementext_proc 필터 체인 검증

    이제 체인 내 다중 ext_proc 필터가 올바르게 작동합니다. 이전에 버그로 인해 체이닝을 피했다면, 개발 환경에서 이 기능을 테스트해 복잡한 처리 파이프라인을 단순화할 수 있는지 확인해보세요.

주요 변경 (5)
  • 속도 제한 크래시, 멀티밸류 헤더 RBAC 우회, IPv6 주소 크래시 등 5개 보안 취약점 수정
  • OAuth2 리프레시 토큰 요청에 영향을 주던 호스트 헤더 재작성 문제 해결
  • ext_proc 필터 체인에서 다중 필터 구성 지원 개선
  • ext_authz 5xx 응답 처리 개선 및 적절한 헤더 전파
  • 동적 모듈용 확장 ABI 호환성 메커니즘 도입
원문

Envoy

Networking & Messaging2026년 3월 11일

Envoy v1.36.5는 레이트 리미팅 크래시, RBAC 우회, 메모리 손상 등 5개 CVE를 해결하는 중요 보안 패치를 제공하여 즉시 업그레이드가 필요합니다.

  • security심각한 크래시 수정을 위한 즉시 업그레이드

    다수의 CVE가 Envoy 크래시나 메모리 손상을 일으킬 수 있습니다. 레이트 리미팅 크래시(CVE-2026-26330)와 IPv6 주소 처리 버그(CVE-2026-26310)는 서비스 가용성에 즉각적인 위험을 가합니다. 특히 레이트 리미팅이나 IPv6 트래픽을 처리하는 환경이라면 긴급 점검 시간을 잡고 패치를 배포하세요.

  • security다중값 헤더 우회에 대한 RBAC 정책 검토

    CVE-2026-26308이 다중값 헤더를 통한 RBAC 규칙 우회를 허용했습니다. 업그레이드 후에는 RBAC 설정을 점검해서 악용되지 않았는지 확인하고, 헤더 기반 접근 제어가 환경에서 예상대로 작동하는지 검증하세요.

  • enhancement호스트 재작성 수정 후 OAuth2 워크플로 테스트

    OAuth2 새로고침 버그 수정으로 인증 플로우에서 호스트 헤더 처리 방식이 바뀝니다. 커스텀 호스트 재작성 규칙과 함께 Envoy를 OAuth2에 사용한다면, 업그레이드 후 인증 워크플로를 철저히 테스트해서 토큰 새로고침이 올바르게 작동하는지 확인하세요.

주요 변경 (5)
  • 레이트 리미트 크래시, RBAC 다중값 헤더 우회, IPv6 주소 처리 크래시, JSON 문자열 손상, HTTP 디코드 메서드 차단 관련 5개 CVE 수정
  • OAuth2 새로고침 요청에서 호스트 재작성이 원본 Host 값을 덮어쓰는 버그 수정
  • 내부 googleurl에서 오픈소스 Google GURL 라이브러리로 마이그레이션
  • Kafka 테스트 바이너리 3.9.2 버전으로 업데이트
  • Docker 베이스 이미지 보안 업데이트
원문

Envoy

Networking & Messaging2026년 3월 10일

Envoy v1.35.9는 RBAC, IPv6 처리, JSON 처리, HTTP 디코딩과 관련된 4개의 CVE에 대한 중요 보안 패치와 OAuth2 호스트 재작성 수정 사항을 제공합니다.

  • security중요 보안 수정을 위한 즉시 업그레이드 필요

    이번 릴리즈에서 수정된 4개 CVE는 인증 우회, 크래시, 메모리 손상을 유발할 수 있습니다. 특히 RBAC 정책, IPv6 네트워킹, JSON 처리를 사용하거나 다운스트림 연결 재설정 문제를 겪고 있다면 즉시 배포를 계획하세요. 보안 수정이 요청 처리 동작에 영향을 줄 수 있으므로 스테이징에서 충분히 테스트하세요.

  • enhancementOAuth2 호스트 재작성 동작 검증 필요

    OAuth2 새로고침 요청에서 이제 원본 Host 헤더가 재정의되지 않고 올바르게 보존됩니다. OAuth2 플로우에서 사용자 정의 호스트 재작성에 의존하고 있다면 업그레이드 후 인증이 여전히 예상대로 작동하는지 확인하세요. 이 변경은 OAuth2 사양 준수를 개선합니다.

주요 변경 (5)
  • RBAC 다중값 헤더 우회, IPv6 크래시, JSON 손상, HTTP 디코드 차단 문제를 해결하는 4개 CVE 수정
  • OAuth2 새로고침 요청에서 호스트 재작성 시 원본 Host 헤더 값 보존
  • 내부 googleurl에서 공개 GitHub 저장소(google/gurl)로 마이그레이션
  • Kafka 테스트 바이너리 3.9.2 버전으로 업데이트
  • Docker 기본 이미지를 최신 버전으로 새로 고침
원문

containerd

Kubernetes Core2026년 3월 10일

containerd 2.2.2는 프로덕션 쿠버네티스 워크로드에 영향을 줄 수 있는 CRI 네트워킹 버그, 레지스트리 인증정보 유출, AppArmor 호환성 문제를 수정했습니다.

  • security레지스트리 인증정보 노출 방지를 위한 업데이트

    레지스트리 인증정보가 에러 메시지와 파드 이벤트에 노출될 수 있었습니다. 인증이 필요한 프라이빗 레지스트리를 사용한다면 즉시 이 패치를 배포하세요. 해당 인증정보가 권한 없는 사용자가 접근할 수 있는 로그나 쿠버네티스 이벤트에 나타날 수 있기 때문입니다.

  • breaking재시작 후 CNI 네트워크 정리 문제 해결

    containerd 재시작 후 CNI DEL 작업이 실행되지 않아 오래된 네트워크 구성이 남아있었습니다. 파드 네트워킹 안정성에 영향을 줍니다. 다음 유지보수 기간 전에 업데이트해서 네트워크 네임스페이스 누수와 잠재적인 IP 충돌을 방지하세요.

  • enhancementAppArmor 호환성을 위한 업그레이드

    AppArmor 프로파일이 이제 최신 커널에서 유닉스 도메인 소켓과 올바르게 동작합니다. 최신 커널 버전을 실행하면서 AppArmor가 활성화된 상태에서 소켓 연결 문제를 겪고 있다면, 이 업데이트가 호환성 문제를 해결해줍니다.

주요 변경 (5)
  • containerd 재시작 후 네트워크 정리가 실패하던 CNI 문제 해결
  • 레지스트리 인증 실패 시 에러 메시지에서 인증정보 유출 문제 해결
  • 최신 커널에서 유닉스 소켓 실패를 야기하던 AppArmor 프로파일 문제 해결
  • 레거시 설정의 레지스트리 미러 구성 마이그레이션 오류 수정
  • 메모리 제약 조건이 부분적으로만 구성된 경우 메모리 메트릭에서 발생하는 nil 포인터 크래시 해결
원문

Envoy

Networking & Messaging2026년 3월 10일

RBAC 우회, IPv6 크래시, 메모리 손상, HTTP 디코드 취약점을 포함한 4개 CVE를 해결하는 긴급 보안 패치입니다.

  • securityRBAC 우회 수정을 위한 즉시 업그레이드

    CVE-2026-26308은 멀티밸류 헤더를 이용해 RBAC 정책을 우회할 수 있게 합니다. 접근 제어 보안에 직접적인 영향을 미치므로, RBAC를 인가에 사용하는 모든 Envoy 인스턴스의 긴급 업그레이드를 계획하세요.

  • security프로덕션 IPv6 크래시 취약점 패치

    CVE-2026-26310은 스코프드 IPv6 주소 처리 시 크래시를 발생시켜 서비스 중단을 야기합니다. IPv6 트래픽을 처리하거나 듀얼스택 구성을 운영 중이라면 DoS 공격을 방지하기 위해 업그레이드를 우선순위에 두세요.

  • securityJSON 처리 메모리 손상 문제 해결

    CVE-2026-26309는 JSON 처리 중 문자열 널 터미네이터를 손상시켜 메모리 손상이나 정보 노출로 이어질 수 있습니다. Envoy를 통해 JSON 페이로드를 처리하는 서비스라면 즉시 업데이트하세요.

주요 변경 (5)
  • 무단 접근을 허용할 수 있는 CVE-2026-26308 RBAC 멀티밸류 헤더 우회 수정
  • 스코프드 IPv6 주소 처리 시 발생하는 CVE-2026-26310 크래시 취약점 해결
  • JSON 처리 중 발생하는 CVE-2026-26309 오프바이원 메모리 쓰기 버그 패치
  • 다운스트림 리셋 후 CVE-2026-26311 HTTP 디코드 메서드 취약점 수정
  • OAuth2 새로고침 요청의 호스트 재작성 동작 오류 해결
원문
← 최신이전 →
월별 보기