RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 3월해제 ×

cert-manager

Security2026년 3월 10일

cert-manager v1.20.0에서 Gateway API ListenerSet 지원, Azure Private DNS 통합, OtherNames 베타 승격과 함께 여러 ACME 및 DNS 관련 버그를 수정했습니다.

  • securityDNS DoS 취약점 수정을 위한 업데이트

    잘못된 DNS 응답으로 컨트롤러 서비스 거부 공격이 가능한 보안 이슈가 수정됐습니다. cert-manager 컨트롤러가 신뢰할 수 없는 DNS 서버나 DNS 트래픽 조작 가능한 네트워크에 노출된 경우 즉시 업데이트하세요.

  • breaking컨테이너 UID/GID 변경으로 보안 컨텍스트 영향

    기본 컨테이너 사용자가 UID 1000에서 65532로, 그룹이 GID 0에서 65532로 변경됐습니다. 이 값들을 하드코딩했거나 루트 그룹 접근에 의존하는 경우 파드 보안 정책, 보안 컨텍스트, 파일 권한을 검토하세요.

  • enhancement내부 인증서 관리용 Azure Private DNS 활성화

    새로운 Azure Private DNS 지원으로 프라이빗 존에서 DNS-01 챌린지가 가능해졌습니다. DNS 레코드를 공개하지 않고 내부 서비스용 인증서를 관리하려면 Azure DNS issuer에 프라이빗 존 설정을 구성하세요.

주요 변경 (5)
  • Gateway API ListenerSet 리소스 지원 (실험적 기능 게이트)
  • DNS-01 챌린지용 Azure Private DNS 존 지원
  • OtherNames 기능 베타로 승격 및 기본 활성화
  • 모든 컨테이너에 네트워크 정책 설정 플래그 추가
  • 커스텀 필드 어노테이션 지원으로 Venafi 프로바이더 기능 강화
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.13.5는 더 엄격한 bearer 토큰 검증과 감사 로그에서 민감한 설정 데이터 제거를 통해 보안을 강화했습니다.

  • securityBearer 토큰 보안 강화로 인한 기존 통합 검토 필요

    프로젝트 생성 이전에 발급된 bearer 토큰을 거부하게 되어 기존 통합에서 문제가 발생할 수 있습니다. Harbor를 인증하는 CI/CD 파이프라인과 자동화 스크립트를 점검하여 업그레이드 후 토큰을 재생성하도록 설정하세요.

  • enhancement감사 로그 정리로 보안 태세 개선

    설정 payload가 더 이상 감사 로그에 기록되지 않아 민감한 설정 노출이 줄어들었습니다. 로그 모니터링과 컴플라이언스 프로세스를 검토하여 로그의 설정 데이터에 의존하지 않고도 필요한 보안 이벤트를 계속 포착할 수 있는지 확인하세요.

  • enhancement업데이트된 Trivy로 최신 취약점 정의 제공

    Trivy v0.69.3에는 새로운 취약점 데이터베이스와 탐지 규칙이 포함되어 있습니다. 컨테이너 이미지를 다시 스캔하여 이전 스캔에서 감지되지 않은 새로 발견된 취약점을 식별하세요.

주요 변경 (5)
  • 민감한 데이터 노출 방지를 위해 설정 감사 로그에서 payload 제거
  • 프로젝트 생성 이전에 발급된 bearer 토큰을 거부하여 토큰 보안 강화
  • 최신 취약점 탐지를 위해 Trivy 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 보안 패치를 위해 Go 런타임 및 베이스 컨테이너 이미지 업그레이드
  • 새로운 Docker 버전과의 호환성을 위해 CI 파이프라인 수정
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.14.3은 bearer 토큰 검증 관련 중요한 보안 수정사항과 Trivy 스캐너 0.69.3 버전 업데이트를 제공하여 인증 메커니즘을 강화하고 취약점 탐지 기능을 최신 상태로 유지합니다.

  • securitybearer 토큰 수정을 위해 즉시 업데이트

    Harbor가 프로젝트 생성 전에 발급된 bearer 토큰을 허용하는 보안 결함을 수정했습니다. 토큰 기반 인증을 사용한다면 무단 프로젝트 접근을 막기 위해 v2.14.3을 즉시 배포하세요.

  • enhancement업데이트된 Trivy 스캐닝 활용

    Trivy v0.69.3에는 최신 취약점 데이터베이스와 탐지 기능이 포함되어 있습니다. 업그레이드 후 중요한 이미지들을 재스캔하여 이전 버전에서 놓쳤던 새로운 취약점을 찾아보세요.

  • enhancement감사 로그 구성 검토 필요

    자격 증명 노출을 막기 위해 구성 감사 로그에서 민감한 페이로드 데이터가 제거되었습니다. 이 변경 후에도 로그 모니터링 도구가 필요한 보안 이벤트를 여전히 캡처하는지 확인하세요.

주요 변경 (5)
  • 프로젝트 생성 전에 발급된 bearer 토큰 거부하는 보안 수정
  • Trivy 취약점 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 구성 감사 로그에서 민감한 페이로드 데이터 제거
  • 보안 강화를 위한 베이스 이미지 새로고침 및 Go 의존성 업데이트
  • GitHub Actions 워크플로를 ubuntu-latest 러너로 마이그레이션
원문

Dapr

Orchestration & Management2026년 3월 9일

Dapr 1.17.1은 프로덕션 아키텍처에서 WASM 컴포넌트 등록 실패와 워크플로우 정리 문제 등 중요한 런타임 이슈를 수정했습니다.

  • breakingWASM 컴포넌트 사용 시 즉시 업그레이드 필요

    v1.16.0-v1.17.0에서 프로덕션 아키텍처의 WASM 바인딩과 미들웨어 컴포넌트가 완전히 작동하지 않았습니다. 이런 컴포넌트를 사용하는 애플리케이션은 시작에 실패했죠. 업그레이드 후 WASM 컴포넌트가 정상 등록되고 동작하는지 테스트하세요.

  • enhancement배치 서비스 성능 개선 효과 확인

    액터를 사용하지 않는 사이드카가 많은 대규모 클러스터에서 배치 오버헤드가 줄어듭니다. 배치 서비스 메트릭과 액터 호출 지연 시간을 모니터링하세요. 특히 사이드카 재시작 시 락 사이클이 줄고 성능이 개선되는 걸 확인할 수 있을 겁니다.

  • enhancement워크플로우 정리 설정 재검토

    이전에 중단되었다가 재개된 워크플로우를 이제 제대로 정리할 수 있습니다. 상태 보존 정책이 예상대로 작동하는지 확인하고, 퍼지되어야 했지만 남아있던 워크플로우 인스턴스가 있는지 점검하세요.

주요 변경 (4)
  • 파일명 빌드 제약 조건 수정으로 amd64/arm64/arm 아키텍처에서 WASM 바인딩과 미들웨어 컴포넌트가 정상 등록됨
  • 이전에 중단되었던 워크플로우를 상태 보존 정책과 퍼지 API로 정리 가능
  • 액터 타입이 없는 사이드카에 대해 배치 서비스가 불필요한 전파 사이클을 트리거하지 않음
  • 메시지 개수 제한으로 인한 조기 전송 후 벌크 구독 타이머가 올바르게 리셋됨
원문

Argo

CI/CD & App Delivery2026년 3월 9일

Argo CD v3.3.3은 CNPG 액션, 훅 어노테이션, 리소스 상태 확인 관련 버그를 수정하여 호환성 문제 없이 안정성을 개선했습니다.

  • enhancementCNPG 통합 구성 업데이트 확인

    CloudNativePG를 Argo CD와 함께 사용하는 팀은 업그레이드 후 suspend/resume 액션이 올바르게 동작하는지 검증해야 합니다. 어노테이션 수정으로 Argo CD 워크플로를 통한 CNPG 클러스터 생명주기 관리가 정상화됩니다.

  • enhancement다중 훅 리소스 구성 검토

    쉼표로 구분된 어노테이션으로 여러 PreDelete 또는 PostDelete 훅을 사용하는 애플리케이션이 이제 정상 실행됩니다. 복잡한 훅 구성을 가진 기존 애플리케이션을 점검하여 예상된 동작을 확인하세요.

  • enhancement교차 네임스페이스 리소스 종속성 검증

    클러스터 범위 리소스를 포함한 다단계 교차 네임스페이스 종속성을 가진 복잡한 애플리케이션이 이제 올바르게 탐색됩니다. 기존에 불완전한 리소스 트리나 동기화 문제를 보였던 애플리케이션을 테스트하세요.

주요 변경 (6)
  • CNPG suspend/resume 액션의 올바른 어노테이션 사용 문제 수정
  • PreDelete/PostDelete 훅의 쉼표로 구분된 어노테이션 처리 개선
  • drySha를 활용한 리소스 상태 확인 정확성 향상
  • UI에서 표준 리소스 아이콘 표시 문제 해결
  • Helm 버전 3.3과 kubeversion 일관성 개선
  • 클러스터 범위 리소스의 다단계 교차 네임스페이스 계층 구조 탐색 수정
원문

NATS

Networking & Messaging2026년 3월 9일

NATS v2.12.5는 리프노드 압축 및 WebSocket 취약점에 대한 중요한 보안 수정을 제공하며, JetStream 백업 성능을 크게 개선하고 파일스토어 운영의 여러 안정성 문제를 해결했습니다.

  • security중요한 CVE 수정을 위한 즉시 업데이트

    두 개의 CVE가 프로덕션 시스템에 영향을 미칩니다. CVE-2026-29785는 리프노드 압축에, CVE-2026-27889는 WebSocket 연결에 영향을 주며 둘 다 서버 패닉이나 보안 문제를 일으킬 수 있습니다. v2.12.4 이하를 실행하는 모든 NATS 서버의 업데이트를 위한 유지보수 시간을 계획하세요.

  • enhancement불안정한 네트워크를 위한 JetStream 백업 최적화

    스트림 백업이 이제 더 나은 플로우 컨트롤을 위한 window_size 매개변수를 지원합니다. 느리거나 불안정한 연결을 통해 백업을 실행한다면 적절한 윈도우 크기를 설정해서 처리량을 개선하고 백업 실패를 줄이세요. 네트워크 상황에 맞춘 최적값을 찾기 위해 테스트를 진행하세요.

  • enhancement비동기 메타레이어 스냅샷 동작 검토

    메타레이어 스냅샷이 JS API 작업 차단 방지를 위해 비동기로 실행됩니다. 성능은 개선되지만 타이밍 동작이 변경됩니다. 애플리케이션이 동기 스냅샷 타이밍에 의존한다면 jetstream 설정 블록에서 `meta_compact_sync: true`를 설정해서 이전 동작을 복원하세요.

주요 변경 (5)
  • 리프노드 압축(CVE-2026-29785) 및 WebSocket 파싱(CVE-2026-27889)에 대한 중요한 CVE 수정
  • JetStream 스트림 백업에서 불안정한 연결에 대한 성능 개선을 위한 window_size 매개변수와 개선된 플로우 컨트롤 적용
  • JS API 작업 차단 방지를 위해 메타레이어 스냅샷이 기본적으로 비동기 실행
  • 충돌이나 성능 저하를 일으킬 수 있는 여러 파일스토어 경쟁 조건 및 락 누수 문제 수정
  • 적절한 프레임 검증 및 압축 상태 관리를 포함한 WebSocket 처리 개선
원문

NATS

Networking & Messaging2026년 3월 9일

NATS v2.11.14는 leafnode 압축과 WebSocket 기능에 영향을 주는 두 개의 CVE를 해결하고 서버 패닉을 방지하는 여러 안정성 수정을 포함한 중요한 보안 릴리스입니다.

  • securityleafnode나 WebSocket 사용 시 즉시 업그레이드 필요

    일반적인 NATS 구성에 영향을 주는 두 개의 CVE가 발견되었습니다. leafnode 압축이나 WebSocket 기능을 사용한다면 잠재적 보안 취약점을 방지하기 위해 즉시 업그레이드하세요. 설정에서 leafnode 섹션의 'compression: enabled'나 'websocket' 리스너를 확인해보세요.

  • securityWebSocket Origin 검증 설정 검토 필요

    Origin 헤더 검증에 프로토콜 스킴 확인이 추가되었습니다. 업그레이드 후 연결 거부를 방지하려면 WebSocket 클라이언트 설정을 점검하여 올바른 origin(https:// 또는 wss:// 스킴 포함)을 지정했는지 확인하세요.

  • enhancement패닉 발생 감소 모니터링

    leafnode와 WebSocket 처리에서 발생하는 여러 패닉 상황이 수정되었습니다. 업그레이드 후 예상치 못한 서버 재시작이 줄어들 것입니다. 모니터링 대시보드를 확인하여 안정성 지표 개선을 확인해보세요.

주요 변경 (5)
  • leafnode 압축 시스템에 영향을 주는 CVE-2026-29785 수정
  • WebSocket 활성화 배포에 영향을 주는 CVE-2026-27889 수정
  • leafnode 구독 경합 조건으로 인한 서버 패닉 방지
  • WebSocket 프레임 파싱 및 페이로드 검증 개선
  • WebSocket 보안을 위한 Origin 헤더 검증 강화
원문

Open Policy Agent (OPA)

Security2026년 3월 9일

OPA v1.14.1은 정책 검색 실패를 유발하던 규칙 인덱서 변경사항을 되돌리고 플러그인 매니저 교착상태를 수정한 패치 릴리스입니다.

  • security의존성 보안 업데이트 적용

    Go 1.26.1과 알려진 취약점을 패치한 업데이트된 의존성이 포함되어 있습니다. 특히 운영 환경에서 OPA를 사용한다면 정기 보안 유지보수 일정에 맞춰 이 업그레이드를 진행하세요.

  • breakingv1.14.0 사용 중이면 즉시 업그레이드

    v1.14.0의 규칙 인덱서 변경사항이 일부 설정에서 정책 검색 실패를 야기합니다. 안정적인 정책 평가를 위해 v1.14.1로 배포하세요. 최적화 기능은 v1.15.0에서 적절한 수정과 함께 다시 제공될 예정입니다.

  • enhancement플러그인 매니저 안정성 개선

    교착상태 수정으로 설정 작업 중 발생하던 간헐적 정지 현상이 해결됩니다. 플러그인 설정 과정에서 원인 불명의 OPA 정지를 경험했다면 이 릴리스로 문제가 해결될 것입니다.

주요 변경 (4)
  • v1.14.0에서 정책 검색 실패를 유발했던 규칙 인덱서 최적화 되돌림
  • opa.configure 작업 시 발생하던 플러그인 매니저 간헐적 교착상태 수정
  • Go 1.26.1 업데이트 및 의존성 버전 갱신
  • Golang 표준 라이브러리 및 패키지 취약점 해결
원문

Dragonfly

Storage & Data2026년 3월 9일

Dragonfly v2.4.2는 gRPC 속도 제한과 스케줄러 클러스터 구성 기능을 추가하면서 보안 점수를 개선하고 여러 구성 불일치 문제를 수정했습니다.

  • breaking필드명 변경에 따른 구성 파일 업데이트

    rateLimit 구성 필드가 bandwidthLimit으로 변경되었습니다. 구성 파일을 확인하고 새로운 명명 규칙을 사용하도록 모든 참조를 업데이트해서 구성 파싱 오류를 방지하세요.

  • enhancement프로덕션 환경에서 gRPC 속도 제한 구성

    새로운 gRPC 속도 제한 기능은 리소스 고갈 공격으로부터 보호해줍니다. 현재 트래픽 패턴을 검토하고 Dragonfly 구성에서 적절한 속도 제한을 설정해서 부하 상황에서 서비스 성능 저하를 방지하세요.

  • enhancement새로운 스케줄러 클러스터 관리 활용

    스케줄러 클러스터 해제 등록 지원으로 배포 스크립트에서 적절한 클러스터 생명주기 관리를 구현하세요. 이를 통해 클러스터 상태를 유지하고 고아 스케줄러가 성능에 영향을 주는 것을 방지할 수 있습니다.

주요 변경 (5)
  • 리소스 고갈 방지를 위한 gRPC 서버 요청 속도 제한 추가
  • 더 나은 클러스터 관리를 위한 스케줄러 클러스터 해제 등록 지원 도입
  • 향상된 피어 연결성을 위한 시드 클라이언트 구성 지원 추가
  • 일관성을 위한 구성 명명 리팩터링 (rateLimit → bandwidthLimit)
  • 보안 패치를 위한 API v2.2.14 업그레이드 및 다양한 종속성 업데이트
원문

Jaeger

Observability2026년 3월 7일

Jaeger v2.16.0은 Go 1.25.7 필수 요구사항과 레거시 원격 샘플링 형식 제거라는 주요 변경사항을 도입했으며, ClickHouse 성능 개선과 Elasticsearch 헬스체크 타임아웃 지원을 추가했습니다.

  • breaking배포 전 Go 1.25.7 버전으로 업그레이드 필요

    코드베이스 전체에서 Go 버전 요구사항이 강제됩니다. 구 버전 Go를 사용하는 팀은 빌드 실패를 겪게 됩니다. 업그레이드하거나 소스에서 빌드하기 전에 빌드 환경, CI/CD 파이프라인, 컨테이너 이미지를 Go 1.25.7로 업데이트하세요.

  • breaking원격 샘플링 클라이언트 통합 업데이트 필요

    레거시 원격 샘플링 엔드포인트 응답 형식이 제거되었습니다. 구 형식에 의존하는 커스텀 원격 샘플링 클라이언트를 사용하는 애플리케이션은 동작하지 않습니다. 업그레이드 전에 샘플링 설정을 검토하고 커스텀 클라이언트를 현재 형식에 맞게 업데이트하세요.

  • enhancement향상된 시작 안정성을 위해 Elasticsearch 헬스체크 타임아웃 활성화

    새로운 시작 시 헬스체크 타임아웃 설정은 Elasticsearch 연결 문제 발생 시 무한 대기를 방지합니다. 간헐적 연결 문제가 있는 환경에서 서비스 시작 안정성을 개선하려면 Elasticsearch 스토리지 설정에 헬스체크 타임아웃 설정을 추가하세요.

주요 변경 (6)
  • 전체 코드베이스에서 Go 1.25.7 버전 필수 요구사항 적용
  • 레거시 원격 샘플링 엔드포인트 응답 형식 제거
  • findtraceids 쿼리 재구조화를 통한 ClickHouse 성능 개선
  • 시작 시 안정성을 위한 Elasticsearch 헬스체크 타임아웃 지원 추가
  • HTTP 서버를 Gorilla Mux에서 표준 라이브러리 http.ServeMux로 마이그레이션
  • 크리티컬 패스 시각화 및 v3 API 클라이언트 베이스 패스 처리 UI 수정사항
원문

Dapr

Orchestration & Management2026년 3월 6일

Dapr 1.16.10은 운영 아키텍처에서 WASM 컴포넌트 등록 실패 문제를 수정하고 Go 런타임 및 OpenTelemetry SDK의 보안 취약점을 패치했습니다.

  • securityGo 런타임 및 OpenTelemetry 보안 패치 업데이트

    이번 릴리스는 Go 1.25.7(crypto/tls, go 명령어)과 OpenTelemetry SDK(PATH 하이재킹을 통한 임의 코드 실행)의 취약점을 패치합니다. PATH 조작이 가능한 환경을 우선순위로 두고 일반적인 보안 패치 주기 내에서 업그레이드를 계획하세요.

  • breakingWASM 컴포넌트 사용 시 즉시 업그레이드 필요

    v1.16.0부터 WASM 바인딩 및 미들웨어 컴포넌트가 운영 아키텍처에서 완전히 작동하지 않았습니다. 이러한 컴포넌트를 사용하고 v1.16.0-v1.16.9를 실행 중이라면 WASM 컴포넌트가 조용히 등록되지 않고 있으므로 v1.16.10으로 즉시 업그레이드하세요.

  • enhancement조기 오류 탐지를 위한 Pulsar Avro 메시지 발행 검토

    Pulsar PubSub가 이제 발행 전에 JSON 메시지를 Avro 스키마에 대해 검증하여 잘못된 데이터를 더 일찍 잡아냅니다. Pulsar 발행 워크플로를 테스트하여 새로운 검증 오류를 적절히 처리하고 더 빨라진 코덱 성능의 혜택을 받도록 하세요.

주요 변경 (5)
  • Go 빌드 제약으로 인한 파일명 충돌로 amd64/arm64 아키텍처에서 WASM 바인딩 및 미들웨어 컴포넌트 등록 실패 수정
  • 잘못된 형식의 메시지가 오류 피드백 없이 발행되는 것을 방지하기 위한 Pulsar PubSub Avro 스키마 검증 추가
  • crypto/tls 및 go 명령어 취약점 보안 수정이 포함된 Go 런타임 1.25.7 업데이트
  • 임의 코드 실행 취약점(GO-2026-4394) 패치를 위한 OpenTelemetry SDK v1.40.0 업그레이드
  • 발행 성능 향상을 위한 Pulsar Avro 코덱 컴파일 초기화 시점 캐싱
원문

CoreDNS

Kubernetes Core2026년 3월 6일

CoreDNS v1.14.2는 ACL 우회 방지와 루프 감지 보안 강화 등 중요한 보안 수정사항을 포함하며, 로드 밸런서 뒤에서 클라이언트 IP를 보존할 수 있는 프록시 프로토콜 지원을 추가했습니다.

  • securityACL 우회 취약점 수정을 위한 즉시 업그레이드 필요

    이번 릴리스는 rewrite 플러그인이 ACL 제한을 우회할 수 있는 CVE-2026-26017을 수정합니다. 접근 제어에 ACL 플러그인을 사용하는 팀은 이 업그레이드를 우선시하고, rewrite 규칙이 제한된 존을 의도치 않게 노출하지 않는지 확인해야 합니다.

  • security다중 CVE 수정을 위한 Go 런타임 업데이트

    Go 1.26.1 업데이트는 런타임의 5개 CVE를 해결했습니다. CoreDNS 수정사항과 함께 기반 Go 보안 개선사항도 얻을 수 있도록 롤아웃을 계획하세요. 특히 CoreDNS 인스턴스가 인터넷에 노출되어 있다면 더욱 중요합니다.

  • enhancement로드 밸런서 환경에서 proxyproto 플러그인 배포

    로드 밸런서 뒤에서 CoreDNS를 운영하며 로깅이나 ACL을 위해 실제 클라이언트 IP 가시성이 필요하다면 새로운 proxyproto 플러그인을 설정하세요. 클라이언트 IP 기반 정책이나 감사 추적이 필요한 환경에서 특히 유용합니다.

주요 변경 (5)
  • 새로운 proxyproto 플러그인으로 로드 밸런서 환경에서 클라이언트 IP 보존 가능
  • rewrite 플러그인을 ACL 검사 전에 실행하도록 순서를 변경해 ACL 우회 취약점 수정
  • 암호학적으로 안전한 난수 생성으로 루프 감지 보안성 강화
  • 암호화된 DNS 트래픽에 영향을 주던 TLS+IPv6 포워딩 파싱 오류 해결
  • 응답 타입과 클래스 메타데이터를 DNS 로깅에 추가해 관찰 가능성 개선
원문

Linkerd

Networking & Messaging2026년 3월 6일

의존성 유지보수에 중점을 둔 엣지 릴리스로, 프록시가 v2.341.0으로 업데이트되었습니다. Kubernetes SubjectAccessReview에 추가 속성이 포함되어 권한 부여 처리가 개선되었습니다.

  • enhancementRBAC용 SubjectAccessReview 개선사항 평가

    SubjectAccessReview 요청에 추가 속성이 포함되어 권한 부여 평가 정확도가 향상되었습니다. 현재 RBAC 정책을 검토해서 추가 컨텍스트를 올바르게 처리하는지 확인하세요. 특히 사용자 정의 권한 부여 웹훅이나 세부적인 액세스 제어를 사용하는 경우 더욱 중요합니다.

  • enhancementv2.341.0 업데이트 후 프록시 성능 모니터링

    3차례 프록시 버전 업데이트는 활발한 개발을 보여줍니다. 환경에서 성능과 연결 처리를 테스트하세요. 프록시 관련 문제를 경험한 적이 있다면 더욱 중요합니다. 점진적 업데이트는 급격한 변경보다는 점진적 개선을 의미합니다.

주요 변경 (5)
  • 프록시가 여러 단계별 릴리스를 거쳐 v2.339.0에서 v2.341.0으로 업데이트
  • Tokio v1.50.0, axum v0.8.8, Kubernetes 클라이언트 라이브러리 등 주요 의존성 업데이트
  • 향상된 RBAC 평가를 위해 SubjectAccessReview에 추가 속성 포함
  • aws-lc-rs v1.16.0, rustls-pki-types v1.14.0 등 보안 프레임워크 업데이트
  • GitHub Actions 새 버전 업데이트 (upload-artifact v7.0.0, download-artifact v8.0.0)
원문

Strimzi

Networking & Messaging2026년 3월 6일

Strimzi 0.51.0은 중요한 보안 취약점을 수정하고 쿠버네티스 1.30 미만 버전 지원을 중단했으며, Kafka 4.2.0 지원과 ServerSideApplyPhase1 베타 전환을 포함합니다.

  • securityCVE 수정을 위한 즉시 업그레이드

    Strimzi 0.47.0 이상 버전에 영향을 주는 두 개의 중요한 CVE가 발견되었습니다. 보안 권고사항을 검토해서 본인 배포 환경이 영향받는지 확인한 후, 0.50.1 또는 0.51.0으로 즉시 업그레이드하세요. CVE 번호가 2026년으로 표시된 것은 공개 유예된 취약점일 가능성을 시사합니다.

  • breaking업그레이드 전 쿠버네티스 호환성 확인

    Strimzi 0.51.0은 쿠버네티스 1.30 이상이 필요합니다. 업그레이드 전에 클러스터 버전을 확인하세요. 쿠버네티스 1.27-1.29를 사용 중이면 먼저 클러스터를 업그레이드하거나 클러스터 업그레이드가 가능할 때까지 이전 Strimzi 버전을 유지하세요.

  • breaking업그레이드 시 CRD 및 KafkaUser 리소스 업데이트

    Strimzi 업그레이드 과정에서 CRD를 수동으로 업그레이드해야 하며, 특히 Helm 사용 시 주의하세요. 0.48 이하 버전에서 업그레이드하는 경우 먼저 KafkaUser 리소스를 새로운 `.spec.authorization.acls[]operations` 필드 형식으로 업데이트해야 합니다.

주요 변경 (5)
  • CVE-2026-27133, CVE-2026-27134 보안 취약점 수정으로 0.47.0 이상 버전 즉시 업그레이드 필요
  • 쿠버네티스 1.30 이상 버전만 지원 - 1.27, 1.28, 1.29 버전 지원 중단
  • Kafka 4.2.0 지원 추가, Kafka 4.0.0 및 4.0.1 호환성 제거
  • 리스너별 Kafka 연결 제한 및 재인증 설정 옵션 제공
  • 상위 프로젝트 아카이브로 인한 Ingress 리스너 타입 2026년 3월부터 지원 중단 예정
원문

Keycloak

Security2026년 3월 5일

Keycloak 26.5.5는 운영 환경에서 인증 우회와 무단 접근을 허용할 수 있는 4개의 SAML 브로커 취약점을 해결한 중요 보안 릴리스입니다.

  • securitySAML 사용자는 즉시 업그레이드 필요

    이 CVE들은 SAML 브로커 구성에 영향을 주며 인증 우회를 허용할 수 있습니다. SAML ID 제공자나 브로커 기능을 사용한다면 긴급 유지보수를 예약해 즉시 업그레이드하세요. 업그레이드 후 비활성화된 SAML 제공자들이 제대로 보안되었는지 검토하세요.

  • securitySAML 브로커 구성 감사 실시

    업그레이드 후 비활성화된 SAML ID 제공자가 실제로 비활성화되어 인증 요청을 처리할 수 없는지 확인하세요. IdP 시작 로그인 플로우를 점검하고 SAML 어설션의 암호화가 올바르게 작동하는지 검증하세요.

주요 변경 (4)
  • CVE-2026-3047 수정: 비활성화된 클라이언트가 IdP 시작 로그인을 완료할 때 발생하는 SAML 브로커 인증 우회
  • CVE-2026-3009 해결: 브로커 서비스에서 비활성화된 ID 제공자의 부적절한 강제 실행
  • CVE-2026-2603 패치: 비활성화된 SAML IdP가 잘못되게 IdP 시작 로그인을 허용하는 문제
  • CVE-2026-2092 보안 강화: SAML 브로커 암호화된 어설션 주입 취약점
원문

SPIRE

Security2026년 3월 3일

SPIRE v1.14.2는 서버 노드 증명 플러그인의 SSRF 공격과 CPU 고갈을 일으킬 수 있는 두 가지 심각한 보안 취약점을 해결했습니다.

  • security긴급 업그레이드로 중요 취약점 패치 필요

    http_challenge나 x509pop 증명자를 사용하는 SPIRE 서버에 두 가지 보안 문제가 있습니다. SSRF 취약점으로 공격자가 서버를 무단 도메인으로 리다이렉트하고 응답 데이터를 추출할 수 있으며, x509pop DoS 취약점으로 CPU 고갈 공격이 가능합니다. 해당 증명 플러그인을 사용한다면 v1.14.2로 즉시 업데이트하세요.

주요 변경 (3)
  • http_challenge 서버 노드 증명 플러그인의 SSRF 취약점 수정
  • x509pop 서버 노드 증명 플러그인의 CPU 고갈 문제 해결
  • 노드 증명 과정에서 공격자가 악용할 수 있는 두 취약점 모두 패치
원문

SPIRE

Security2026년 3월 3일

SPIRE v1.13.4는 노드 증명 플러그인에서 SSRF 공격과 CPU 고갈 공격을 가능하게 하는 두 가지 중대한 보안 취약점을 수정했습니다.

  • security중대한 취약점 패치를 위한 즉시 업그레이드 필요

    노드 증명 보안에 영향을 주는 두 가지 심각한 취약점이 발견되었습니다. http_challenge 플러그인의 SSRF 결함은 공격자가 내부 네트워크를 탐지할 수 있게 하고, x509pop 플러그인은 DoS 공격에 악용될 수 있습니다. v1.13.4로 즉시 업데이트하고 최근 증명 로그에서 의심스러운 활동을 감사하세요.

  • security노드 증명기 플러그인 구성 검토

    http_challenge 또는 x509pop 증명기 플러그인을 사용하는 경우, 네트워크 보안 제어를 검증하고 업그레이드가 완료될 때까지 노드 증명 엔드포인트에 임시 제한을 고려하세요. 증명 프로세스 중 CPU 사용량 패턴을 모니터링하세요.

주요 변경 (4)
  • http_challenge 서버 노드 증명기에서 공격자가 서버 요청을 리디렉션할 수 있는 SSRF 취약점 수정
  • x509pop 서버 노드 증명기 플러그인의 CPU 고갈 공격 벡터 패치
  • 두 취약점 모두 워크로드 신원 검증에 사용되는 노드 증명 프로세스에 영향
  • 무단 접근 및 서비스 거부 시나리오를 다루는 보안 수정 사항
원문

CRI-O

Kubernetes Core2026년 3월 3일

CRI-O v1.33.10은 고성능 훅의 IRQ SMP 어피니티 처리에서 발생하는 치명적인 버그를 수정했습니다. 이 버그는 컨테이너 삭제 지연 시나리오에서 컨테이너 간 IRQ 간섭을 일으킬 수 있었습니다.

  • security고성능 훅 사용 시 즉시 업데이트 필요

    이 버그는 컨테이너 간 IRQ 처리를 방해해서 고성능 워크로드에서 성능 저하나 예상치 못한 동작을 일으킬 수 있습니다. 고성능 훅을 활성화한 CRI-O를 운영 중이라면(주로 HPC나 지연 시간에 민감한 환경) 컨테이너 정리 중 발생하는 IRQ SMP 어피니티 손상을 방지하기 위해 즉시 업그레이드하세요.

주요 변경 (3)
  • 고성능 훅에서 IRQ SMP 어피니티 버그 수정으로 컨테이너 간 간섭 방지
  • 늦은 컨테이너 삭제가 다른 컨테이너의 IRQ 설정에 영향을 주던 문제 해결
  • 패치 릴리스로 의존성 변경이나 새 기능은 없음
원문

CRI-O

Kubernetes Core2026년 3월 3일

CRI-O v1.35.1은 사용자 네임스페이스에서 systemd 컨테이너 문제를 해결하고 API 서버용 TLS 설정 옵션을 추가했습니다.

  • breaking사용자 네임스페이스 systemd 워크로드 테스트 필요

    v1.35.0에서 hostUsers: false 설정 시 systemd 컨테이너가 작동하지 않는 회귀 버그가 있었습니다. 이번 패치로 해결되었지만, v1.35.0을 사용 중이라면 즉시 업그레이드하고 사용자 네임스페이스 격리를 사용하는 systemd 워크로드가 정상 시작되는지 테스트해야 합니다.

  • enhancement프로덕션 보안을 위한 TLS 설정 구성

    새로운 TLS 설정 옵션으로 스트리밍 및 메트릭 서버 보안을 강화할 수 있습니다. [crio.api] 섹션에 tls_min_version과 tls_cipher_suites를 추가하여 프로덕션 환경에서 TLS 1.3과 강력한 암호화 제품군을 강제할 수 있습니다.

  • enhancementrunc v1.4.0 호환성 검증

    runc v1.4.0 업데이트로 성능 개선과 버그 수정이 이뤄졌습니다. 특히 cgroups v2나 체크포인트/복원 같은 고급 기능을 사용하는 컨테이너 워크로드는 새로운 런타임 버전과의 호환성을 테스트해봐야 합니다.

주요 변경 (5)
  • 사용자 네임스페이스 활성화 시 systemd 컨테이너가 'Permission denied' 오류로 실패하는 문제 수정
  • 스트리밍 및 메트릭 서버용 TLS 설정 옵션(tls_min_version, tls_cipher_suites) 추가
  • 재시도 가능한 오류 발생 시 OCI 아티팩트 풀백 로직 개선
  • 안정성 향상을 위한 runc v1.4.0 업데이트 및 다수 종속성 버전 업데이트
  • 설정 가능한 TLS 1.2(기본값) 및 TLS 1.3 옵션으로 TLS 지원 강화
원문

CRI-O

Kubernetes Core2026년 3월 3일

CRI-O v1.34.6은 기능 변경, 의존성 업데이트, 버그 수정이 전혀 없는 유지보수 릴리스로, v1.34.5에서 버전만 올린 것입니다.

  • enhancement정책상 필요한 경우가 아니면 업그레이드 생략

    이 릴리스는 기능적 변경이 전혀 없습니다. 조직의 컴플라이언스 정책상 최신 패치 버전 사용이 필수가 아니라면 v1.34.5를 그대로 사용하세요. 실제 개선사항이 있는 릴리스를 위해 업그레이드 작업을 아껴두는 것이 좋겠습니다.

주요 변경 (4)
  • v1.34.5와 v1.34.6 사이 코드 변경 없음
  • 의존성 업데이트나 제거 없음
  • amd64, arm64, ppc64le, s390x 아키텍처용 릴리스 아티팩트 제공
  • SBOM 및 서명 검증 지원 유지
원문
← 최신
월별 보기