RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 4월해제 ×

Kyverno

Security2026년 4월 23일

v1.16.4는 15개 이상의 CVE를 수정한 보안 집중 패치 릴리스로, 네임스페이스 정책에서 HTTP 기본 비활성화 등 동작 변경도 포함됩니다.

  • security즉시 업그레이드 — 공급망 구성 요소 포함 15개 이상 CVE 패치

    sigstore/rekor, go-tuf, docker/cli, Go 표준 라이브러리, Kyverno 자체 코드에 걸쳐 CVE가 수정됐습니다. 이미지 서명 워크플로를 운영 중이라면 rekor와 go-tuf 업데이트가 직접 영향을 줍니다. 다음 정기 유지보수 창에서 업그레이드를 진행하세요. 다음 메이저 사이클까지 미루지 마십시오.

  • breaking네임스페이스 정책에서 HTTP 기본 비활성화 (CVE-2026-4789) — 업그레이드 전 반드시 검증

    평문 HTTP로 외부 데이터를 가져오는 네임스페이스 정책은 이번 업그레이드 후 조용히 동작을 멈춥니다. URL 컨텍스트 소스나 외부 데이터 fetch를 사용하는 ClusterPolicy 또는 Policy 리소스가 있다면, 업그레이드 전에 HTTP(비HTTPS) 엔드포인트 사용 여부를 점검해야 합니다. 해당 엔드포인트를 HTTPS로 전환하거나 HTTPS를 지원하는 데이터 소스로 먼저 마이그레이션하세요.

  • breaking네임스페이스 정책의 ConfigMap 접근 제한 — RBAC 검토 필요

    네임스페이스 정책의 ConfigMap 접근 범위가 축소됐습니다. 정책이 컨텍스트나 설정을 위해 다른 네임스페이스의 ConfigMap을 읽고 있다면, 업그레이드 후 해당 읽기 작업이 실패합니다. 정책 정의에서 크로스 네임스페이스 ConfigMap 참조를 찾아 정책 로직을 수정하거나 접근 권한을 조정한 뒤 배포하세요.

주요 변경 (5)
  • CVE-2026-4789: 네임스페이스 정책에서 HTTP 기본 비활성화 — 단순 의존성 업데이트가 아닌 동작 변경
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한으로 정책 컨트롤러 침해 시 피해 범위 축소
  • 정책 평가 시 요청 인가에 스코프 토큰 사용으로 전환
  • forEach 뮤테이션 패닉 수정 — 특정 mutate 규칙 구성에서 엔진이 크래시되던 버그 해결
  • docker/cli, sigstore/rekor, go-tuf/v2, Go 표준 라이브러리 등 의존성 CVE 다수 해결
원문

Kyverno

Security2026년 4월 23일

v1.17.2는 다수의 CVE 패치와 함께 MutatingPolicy/ValidatingPolicy, 웹훅 재조정 루프, 네임스페이스 정책 처리 버그를 집중 수정한 보안 중심 패치 릴리스입니다.

  • security즉시 업그레이드 필요 — 6개 이상의 CVE 수정

    의존성 라이브러리, Go 표준 라이브러리, 그리고 CVE-2026-4789까지 최소 6개의 CVE가 패치되었습니다. 특히 CVE-2026-4789는 네임스페이스 정책에서 HTTP를 기본 비활성화하는 동작 변경을 수반합니다. HTTP 기반 외부 데이터 소스나 컨텍스트를 사용하는 네임스페이스 정책이 있다면, 업그레이드 전에 해당 설정을 점검하세요. 별도 오류 없이 동작이 중단될 수 있습니다. 스테이징 환경에서 정책 동작을 먼저 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

  • breaking네임스페이스 정책 동작 변경 — HTTP 비활성화 및 ConfigMap 접근 제한

    네임스페이스 정책에 두 가지 보안 강화가 적용됩니다. HTTP가 기본 비활성화되고, ConfigMap 접근 범위도 축소됩니다. HTTP 엔드포인트에서 컨텍스트를 가져오거나 타 네임스페이스의 ConfigMap을 읽는 정책은 업그레이드 후 오류가 발생하거나 조용히 실패할 수 있습니다. 프로덕션 배포 전에 반드시 네임스페이스 정책 전체를 대상으로 드라이런 또는 감사 스캔을 먼저 실행하세요.

  • enhancement웹훅 재조정 루프 수정 — 대규모 클러스터의 컨트롤러 부하 감소

    웹훅 규칙의 순서가 일관되지 않아 반복적인 재조정 루프가 발생하고, API 서버 부하 증가와 컨트롤러 로그 폭증으로 이어지는 문제가 수정됐습니다. 웹훅 오브젝트 변경이 감사 로그에 끊임없이 찍히거나 kyverno-controller CPU가 비정상적으로 높았다면, 이번 릴리스로 해소될 겁니다. 업그레이드 후 별도 조치는 필요 없지만, 배포 후 컨트롤러 메트릭을 모니터링해 안정화 여부를 확인하세요.

주요 변경 (5)
  • CVE-2026-24051, CVE-2026-15558, CVE-2026-1229, CVE-2026-33186, CVE-2026-34986, CVE-2026-4789 등 다수 CVE 패치 및 Go 표준 라이브러리 CVE 대응
  • CVE-2026-4789 대응으로 네임스페이스 정책에서 HTTP 기본 비활성화 — 기존 설정에 영향 가능
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한 — 보안 강화 목적의 권한 축소
  • 웹훅 및 웹훅 규칙의 순서 일관성 보장으로 무한 재조정 루프 버그 수정
  • forEach 뮤테이션 엔진 패닉 방지, NamespacedGeneratingPolicy UPDATE 시 잘못된 lister 사용 수정, MutatingPolicy/ValidatingPolicy에 사용자 정보 처리 추가
원문

Kubernetes

Kubernetes Core2026년 4월 22일

Kubernetes v1.36은 다수의 GA 승격, DRA 대규모 확장, 갱 스케줄링 API 신규 도입, 그리고 업그레이드 전 즉시 조치가 필요한 메트릭 이름 변경을 포함하는 대형 릴리스입니다.

  • breaking업그레이드 전 모니터링 수정 필수 — 메트릭 이름 두 개 변경

    volume_operation_total_errors와 etcd_bookmark_counts가 각각 volume_operation_errors_total, etcd_bookmark_total로 이름이 바뀌었습니다. 기존 이름을 쓰는 Prometheus 알림이나 Grafana 대시보드는 업그레이드 후 조용히 동작을 멈춥니다. v1.36을 프로덕션에 적용하기 전에 모니터링 스택 전체를 점검하고 참조를 모두 교체하세요.

  • breakingDRA 사용 중이라면 RBAC 업데이트 필수

    DRAResourceClaimGranularStatusAuthorization 피처 게이트가 v1.36에서 베타로 기본 활성화됩니다. DRA 스케줄러·컨트롤러는 resourceclaims/binding에 대한 update/patch 권한이, DRA 드라이버는 resourceclaims/driver에 대한 associated-node:update 또는 arbitrary-node:update 권한(특정 resourceNames로 제한)이 필요합니다. DRA 드라이버를 운영 중이라면 업그레이드 전에 RBAC 매니페스트를 반드시 점검하고 수정하세요. 누락 시 파드 스케줄링이 실패합니다.

  • breakingflex-volume·git-repo 볼륨 플러그인 제거 — 마이그레이션 필수

    kubeadm은 더 이상 flex-volume 플러그인 디렉터리를 자동으로 마운트하지 않으며, git-repo 볼륨 플러그인은 영구적으로 비활성화됩니다. 재활성화 옵션이 없으므로 git-repo 볼륨을 사용하는 워크로드는 init 컨테이너 패턴이나 CSI 드라이버로 전환해야 합니다. kubeadm 환경에서 flex-volume을 계속 쓰려면 v1.36 업그레이드 전에 distroless 기반이 아닌 KCM 이미지와 extraVolumes 설정을 수동으로 구성해야 합니다.

  • breakingStrictIPCIDRValidation 기본 활성화 — IP/CIDR 값 점검 필요

    이제 API 필드에서 선행 0이 있는 IP(예: 010.0.0.1)나 호스트 비트가 설정된 CIDR(예: 192.168.1.5/24)을 거부합니다. 기존 오브젝트는 validation ratcheting으로 보존되지만, 신규 생성 및 업데이트는 실패합니다. 업그레이드 전에 매니페스트, Helm 차트, 자동화 스크립트에서 비정규 IP/CIDR 값을 점검하세요.

  • enhancementMutatingAdmissionPolicy GA 승격 — 단순 Webhook 교체 검토 시점

    CEL 기반 MutatingAdmissionPolicy가 v1으로 GA 승격되어 기본 활성화됩니다. 레이블/어노테이션 주입이나 기본값 설정처럼 단순한 뮤테이팅 웹훅을 운영 중이라면 MutatingAdmissionPolicy로 교체를 검토할 때입니다. 웹훅 서버 유지, 인증서 관리, 가용성 걱정 없이 CEL 기반 정책으로 동일한 기능을 구현할 수 있습니다. 상태가 없는 단순 뮤테이션부터 시작하는 것을 권장합니다.

주요 변경 (7)
  • 업그레이드 전 대시보드/알림 수정 필수: `volume_operation_total_errors` → `volume_operation_errors_total`, `etcd_bookmark_counts` → `etcd_bookmark_total`로 메트릭 이름 변경
  • kubeadm에서 flex-volume 지원 제거, git-repo 볼륨 플러그인 영구 비활성화 — CSI로 마이그레이션 필요
  • DRA 대폭 확장: 디바이스 테인트/톨러레이션 베타 승격, DRAAdminAccess·DRAPrioritizedList GA 승격, ResourceClaim 상태 업데이트에 세분화된 RBAC 권한 필요
  • UserNamespacesSupport GA 승격, MutatingAdmissionPolicy GA(v1) 승격 및 기본 활성화
  • StrictIPCIDRValidation 기본 활성화 — 선행 0이나 애매한 서브넷 마스크가 포함된 IP/CIDR 값은 API에서 거부됨
  • 갱 스케줄링을 위한 scheduling.k8s.io/v1alpha2 Workload/PodGroup API 도입, v1alpha1 Workload API 제거
  • InPlacePodLevelResourcesVerticalScaling 베타 승격(기본 활성화) — 파드 수준 CPU/메모리 인플레이스 리사이즈 지원
원문

CoreDNS

Kubernetes Core2026년 4월 22일

CoreDNS v1.14.3은 모든 전송 계층에 TSIG 완전 검증을 적용하고, Go 보안 CVE 13건을 패치하며, 캐시 프리페치 개선과 forward 플러그인의 max_age 옵션을 추가한 운영 보안 강화 릴리스입니다.

  • securityGo CVE 13건 및 TSIG 취약점 수정 — 즉시 업그레이드 필요

    Go 1.26.2가 런타임 CVE 13건을 해결합니다. 여기에 더해 DoH, DoH3, QUIC, gRPC 전송 계층의 TSIG 검증 누락도 함께 수정됐습니다. 해당 전송 방식과 TSIG를 같이 쓰고 있다면, 이전 버전에서는 인증되지 않은 요청이 통과될 수 있었습니다. v1.14.3으로 업그레이드한 뒤 강화된 검증 정책에 맞게 TSIG 설정을 재확인하세요.

  • breakingDoH GET 요청 크기 제한 적용 — 클라이언트 호환성 확인 필요

    CoreDNS가 DoH GET 요청의 dns 쿼리 파라미터 크기를 초과하면 이제 명시적으로 거부합니다. 비표준 구현이나 커스텀 DoH 클라이언트를 사용 중이라면 스테이징에서 먼저 테스트하세요. 표준을 따르는 클라이언트는 대부분 영향이 없지만, 자체 구현 클라이언트는 반드시 검증이 필요합니다.

  • enhancementforward 플러그인 max_age로 오래된 업스트림 연결 관리

    수명이 긴 업스트림 연결은 중간 네트워크 장비에 의해 조용히 끊기거나 성능이 저하될 수 있습니다. 새로운 max_age 옵션으로 연결 최대 수명을 강제 설정할 수 있습니다. 산발적인 업스트림 타임아웃이나 일시적 해석 실패를 경험했다면, 업스트림 안정성에 따라 30초~5분 범위에서 max_age를 설정해 주기적 재연결을 유도해 보세요.

주요 변경 (5)
  • DoH, DoH3, QUIC, gRPC 전송 계층 전체에 TSIG 완전 검증 적용 — 기존에는 검증이 불완전했음
  • Go 1.26.2 빌드로 CVE-2026-32282 등 13개 CVE 패치
  • 캐시 프리페치가 클라이언트 연결을 먼저 해제한 뒤 업스트림을 조회하도록 개선해 고부하 시 연결 고갈 방지
  • forward 플러그인에 max_age 옵션 추가 — 업스트림 연결의 절대 수명을 강제할 수 있음
  • 메트릭 엔드포인트에 TLS 옵션 추가, Go 런타임 메트릭 선택적 내보내기 지원
원문

wasmCloud

Orchestration & Management2026년 4월 21일

v2.0.4는 wash dev/host TLS 지원 확장, Helm 차트 게이트웨이 라우팅 수정, 거버넌스 문서 업데이트를 담은 유지보수 릴리스입니다.

  • breaking로컬 Helm 게이트웨이 라우팅 설정 반드시 확인

    values.local.yaml에서 gateway가 기본 비활성화로 바뀌었고, hello-world 예제는 Kubernetes Service를 통해 라우팅됩니다. 로컬 Helm values를 직접 커스터마이징해 게이트웨이 기반 라우팅을 쓰고 있었다면, 업그레이드 전에 변경된 기본값과 비교해 충돌 여부를 점검해야 합니다.

  • enhancement로컬·프로덕션 환경 모두 TLS 설정 적용 검토

    이제 wash dev와 wash host 모두 TLS를 지원합니다. 그동안 로컬 개발에서 TLS를 건너뛰었다면, 이번 기회에 설정을 맞춰보세요. 로컬 단계에서 인증서·연결 문제를 미리 잡아야 프로덕션 장애를 예방할 수 있습니다.

주요 변경 (5)
  • wash dev와 wash host 모두 TLS 지원
  • Helm 차트 수정: values.local.yaml에서 gateway 비활성화, hello-world가 Service 경유로 라우팅
  • wasmCloud v2 기준 거버넌스 문서 갱신 및 새 wash 메인테이너(Pavel Agafonov) 추가
  • 테스트용 공유 WIT 의존성 인프라 추가
  • WASI Preview 2 문서 링크 오류 수정
원문

Argo

CI/CD & App Delivery2026년 4월 21일

Argo CD v3.3.8은 코어 모드 동기화 오류, AppSet 리소스 한도, CLI diff 정확도, informer 캐시 문제 등 6개 버그를 수정한 패치 릴리스입니다.

  • breaking새로고침 동작 재변경 — 오토싱크 파이프라인 검증 필요

    v3.3.7에서 적용된 informer resync 수정 사항이 롤백되면서 새로고침 동작이 3.3.7 이전 상태로 돌아갔습니다. v3.3.7 업그레이드 이후 새로고침 빈도 감소에 맞춰 설정을 조정했다면 그 전제를 다시 점검해야 합니다. 운영 환경 배포 전에 오토싱크 이벤트 로그로 동작을 확인하세요.

  • enhancement코어 모드 운영 중이라면 즉시 업그레이드하세요

    server.secretkey 누락 시 코어 모드에서 동기화가 조용히 실패하는 버그는 모니터링에서 놓치기 쉬운 심각한 운영 공백입니다. 코어 모드로 Argo CD를 운영 중이라면 이번 패치는 선택이 아닙니다. 업그레이드 후 전체 애플리케이션의 동기화 상태를 반드시 확인하세요.

  • enhancement대규모 ApplicationSet의 리소스 상태 카운트 상한 5,000으로 증가

    수백 개 앱을 관리하는 ApplicationSet을 운영 중이라면 기존 카운트 상한에 걸려 상태가 잘리거나 누락됐을 수 있습니다. 업그레이드 후 리소스 상태가 불완전하게 표시되던 ApplicationSet을 확인해 정상 출력되는지 검증하세요.

주요 변경 (6)
  • informer resync 및 상태 업데이트로 인한 자동 새로고침 방지 수정 사항 롤백 — 이전 새로고침 동작으로 복원됨
  • server.secretkey 누락 시 코어 모드 앱 컨트롤러 동기화 실패 문제 수정
  • AppSet 리소스 상태 카운트 상한이 기본값 5,000으로 상향 조정됨
  • sourceHydrator 사용 시 CLI app diff/manifests가 DrySource revision을 올바르게 참조하도록 수정
  • RevisionMetadata 핸들러의 stale informer 캐시 문제 해결
  • 오토싱크 이벤트 메시지 포맷이 이전 형식으로 복원됨
원문

Argo

CI/CD & App Delivery2026년 4월 21일

Argo CD v3.2.10은 순수 버그 수정 패치로, core 모드 동기화 실패와 stale 캐시 문제 등 5개의 회귀 버그를 해결했습니다.

  • breakingCore 모드 운영 중 앱이 out-of-sync로 멈췄다면 즉시 업그레이드 필요

    API 서버 없이 core 모드로 운영 중이고, 시크릿 관련 오류와 함께 동기화가 실패했다면 이번 버그가 원인일 가능성이 높습니다. v3.2.10으로 업그레이드한 뒤 영향을 받은 앱들이 정상적으로 reconcile되는지 반드시 확인하세요.

  • breaking오토싱크 이벤트 메시지 포맷 롤백 — 알림 규칙 원복 필요

    최근 변경됐다가 다시 롤백된 오토싱크 이벤트 메시지 포맷이 원래대로 돌아왔습니다. 새 포맷에 맞춰 Prometheus 알림 규칙, Grafana 쿼리, 로그 파서를 수정했다면, 업그레이드 전에 해당 변경 사항을 원복해야 오탐이나 알림 누락을 방지할 수 있습니다.

  • enhancementsourceHydrator 사용자: 업그레이드 후 diff 결과 재확인 권장

    sourceHydrator 설정 시 CLI가 app diff와 manifests 명령에서 잘못된 소스 리비전을 참조했습니다. v3.2.9에서 수행한 diff 검토 결과는 잘못된 상태를 기준으로 했을 수 있으므로, 업그레이드 후 다시 실행해서 결과의 정확성을 확인하세요.

주요 변경 (5)
  • informer resync 및 상태 업데이트로 인한 자동 갱신을 차단하던 변경 사항 롤백 — 정상적인 GitOps 동기화 동작 복원
  • server.secretkey 누락 시 core 모드 앱 컨트롤러가 동기화에 실패하던 버그 수정 — 앱이 영구 out-of-sync 상태로 방치될 수 있었던 문제
  • sourceHydrator 사용 시 CLI app diff/manifests 명령이 잘못된 리비전을 참조하던 문제 수정
  • RevisionMetadata 핸들러의 stale 인포머 캐시 읽기 문제 수정
  • 오토싱크 이벤트 메시지 포맷 변경 사항 롤백 — 기존 포맷으로 복원
원문

Argo

CI/CD & App Delivery2026년 4월 21일

자동 새로 고침 방지 로직 되돌리기와 core 모드에서 server.secretkey 누락 시 동기화 실패 수정, 두 가지 버그 픽스 패치 릴리스입니다.

  • breaking자동 새로 고침 방지 픽스 되돌림 — 기존 동작 재노출 가능

    informer 재동기화 및 상태 업데이트로 인한 자동 새로 고침을 막는 픽스가 3.1에서 문제를 일으켜 되돌려졌습니다. 이 동작 수정을 기대하고 3.1.x로 올렸다면, 해당 보호가 다시 사라진 셈입니다. 대규모 클러스터에서 불필요한 새로 고침 폭증이 재발할 수 있으니 upstream 이슈를 주시하세요.

  • enhancementCore 모드 운영 중이라면 즉시 3.1.15로 업그레이드

    core 모드에서 server.secretkey가 클러스터 시크릿에 없으면 앱 컨트롤러가 동기화를 전혀 하지 못하는 버그가 있었습니다. 원인 불명의 간헐적 동기화 실패를 겪었다면 이 버그일 가능성이 높습니다. 3.1.15로 업그레이드 후 동기화가 정상 재개되는지 확인하세요.

주요 변경 (3)
  • 3.1에 백포트된 자동 새로 고침 방지 픽스(#25290) 되돌림 — 해당 픽스가 회귀 문제를 유발
  • server.secretkey가 없을 때 core 모드 앱 컨트롤러가 동기화 실패하던 버그 수정
  • 컨테이너 이미지 cosign 서명 및 SLSA Level 3 출처 증명 유지
원문

cert-manager

Security2026년 4월 21일

순수 보안 패치 릴리스입니다. Go 런타임을 1.23.9로 올리고 취약한 의존성을 갱신했으며, 기능 변경은 없습니다.

  • security즉시 v1.19.5로 업그레이드 — CVE 수정 전용 패치

    cert-manager 팀은 모든 사용자에게 업그레이드를 권고하고 있습니다. 변경 내용이 Go 런타임 및 의존성 버전 업 에만 한정되어 있어 기능적 위험 없이 교체할 수 있습니다. v1.19.x를 운영 중이라면 별도 마이그레이션 절차 없이 바로 적용하면 됩니다. Helm, 정적 매니페스트, OperatorHub 등 배포 방식에 맞춰 전체 클러스터에 롤아웃하세요. 업그레이드를 미루면 알려진 취약점이 있는 Go 패키지를 계속 실행하는 셈입니다.

주요 변경 (3)
  • Go 런타임을 1.23.9로 업그레이드하여 Go 툴체인 내 복수의 CVE 대응
  • 취약점이 보고된 서드파티 Go 의존성 패키지를 패치된 버전으로 갱신
  • API, 동작 방식, 설정 변경 없음 — v1.19.x의 드롭인 대체 버전
원문

Flux

CI/CD & App Delivery2026년 4월 21일

Flux v2.8.6은 helm-controller 포스트 렌더러 충돌, generic provider 커밋 상태 이벤트 누락 버그를 수정하고, kustomize-controller에 MigrateAPIVersion 기능 게이트를 추가한 패치 릴리스입니다.

  • breakingv2.9 업그레이드 전 GCR Receiver 시크릿에 'audience' 필드 추가 필요

    현재는 선택 항목이지만, v2.9부터 GCR Receiver 시크릿의 'audience' 필드가 필수로 바뀝니다. 지금 Receiver 리소스를 점검하고 GCR 연동 시크릿에 audience 값을 미리 추가해두세요. 방치하면 다음 메이저 업그레이드 시 즉시 장애로 이어집니다.

  • breakinggeneric provider 커밋 상태 이벤트 전달 버그 — 즉시 업그레이드 권장

    이전 릴리스부터 generic provider가 커밋 상태 이벤트를 전달하지 못하는 회귀 버그가 있었습니다. 웹훅 기반 파이프라인 게이팅이나 관측성 연동을 사용 중이라면 이미 조용히 실패하고 있었을 가능성이 높습니다. v2.8.6으로 업그레이드하면 즉시 복구됩니다.

  • enhancementdeprecated API 버전 드리프트 문제는 MigrateAPIVersion 기능 게이트로 해결

    kustomize-controller가 관리하는 리소스 중 구버전 API를 사용하는 항목이 있다면, MigrateAPIVersion 기능 게이트를 활성화해 자동으로 마이그레이션할 수 있습니다. deprecated API로 인한 드리프트 감지 노이즈가 잦은 환경에서 먼저 적용해볼 만합니다.

주요 변경 (5)
  • helm-controller: 훅과 템플릿이 겹칠 때 발생하는 포스트 렌더러 충돌 수정, 서버 사이드 어플라이 활성화 시 force-replace 무시
  • notification-controller: generic provider의 커밋 상태 이벤트 전달이 끊기는 회귀 버그 수정 — 제네릭 웹훅 사용자는 필수 업그레이드
  • notification-controller: GCR Receiver 시크릿에 'audience' 필드 추가 권고 — v2.9에서 필수 항목으로 변경 예정
  • kustomize-controller: 관리 필드 항목의 API 버전 마이그레이션을 위한 MigrateAPIVersion 기능 게이트 신규 도입
  • source-controller, image-automation-controller: go-git v5.18.0 업데이트로 Git 작업 성능 향상
원문

KubeVirt

Orchestration & Management2026년 4월 20일

KubeVirt v1.8.2는 핫플러그 볼륨, 라이브 마이그레이션, TLS 설정, qcow2 디스크 처리, 멀티아치 VM 안정성 등 12개 버그를 수정한 패치 릴리스입니다.

  • breaking백엔드 스토리지 볼륨 이름 변경 — 자동화 스크립트 점검 필요

    백엔드 스토리지 볼륨 이름이 VM 이름을 포함한 형식에서 'persistent-state-for-this-vm'으로 바뀝니다. 이 볼륨 이름을 기준으로 동작하는 모니터링 알림, 스크립트, 도구가 있다면 업그레이드 전에 반드시 점검하세요. 실패 없이 조용히 오동작할 수 있는 유형의 변경입니다.

  • enhancements390x·ARM64 클러스터라면 v1.8.2로 업그레이드 권장

    ARM64 게스트의 SMBIOS 시스템 정보 미노출 문제와, v3 PCI 토폴로지 변경으로 인한 s390x VM 생성 실패 문제가 함께 수정됐습니다. 멀티아치 클러스터에서 v1.8.x 적용을 보류하고 있었다면 이 버전에서 해결됩니다.

  • enhancementKubeVirt CR의 TLS 설정이 이제 실제로 적용됨 — 설정값 재확인 필요

    sync-controller healthz 서버와 virt-exportserver가 KubeVirt CR의 TLSConfiguration을 무시하던 문제가 수정됐습니다. 업그레이드 후 CR에 설정된 TLS 옵션이 실제로 활성화되므로, 특히 특정 암호화 알고리즘이나 TLS 버전을 강제하는 클러스터에서는 CR 설정값이 의도한 대로 되어 있는지 미리 확인하세요.

주요 변경 (6)
  • domain-notify.sock 삭제 시 virt-handler가 알림 서버를 자동 재시작 — VM 통신 장애 자동 복구
  • 'Detaching' 상태에 stuck되던 핫플러그 볼륨 문제 수정
  • 분산 라이브 마이그레이션 후 컴퓨트 마이그레이션 시 'succeeded' 상태가 보고되지 않던 버그 수정
  • qcow2 오버레이 디스크의 소스 해석 오류 수정 — 잘못된 디스크 확장 및 캐시/IO 모드 감지 오류 방지
  • v3 PCI 토폴로지 변경으로 인한 s390x VM 생성 실패(미지원 PCIe root-port 컨트롤러) 수정
  • 백엔드 스토리지 볼륨 이름이 VM 이름 기반에서 'persistent-state-for-this-vm'으로 고정
원문

Contour

Networking & Messaging2026년 4월 20일

v1.33.4는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. Envoy 1.35.0 이상이 필수 요건이므로 즉시 업그레이드해야 합니다.

  • securityCVE-2026-41246 즉시 패치 — 공유 Envoy 환경에서 임의 코드 실행 위험

    HTTPProxy 리소스를 생성하거나 수정할 수 있는 RBAC 권한이 있다면, pathRewrite 값을 조작해 Envoy 안에서 임의 Lua 코드를 실행할 수 있습니다. Envoy가 여러 테넌트 사이에서 공유되는 환경에서는 xDS 클라이언트 인증 정보 탈취나 서비스 거부 공격으로 이어질 수 있어 파급 범위가 넓습니다. Contour를 v1.33.4로 업그레이드하고, 배포 전에 Envoy 버전이 1.35.0 이상인지 반드시 확인하세요. 심층 방어 차원에서 HTTPProxy 쓰기 권한도 신뢰할 수 있는 주체로만 제한하도록 RBAC 정책을 점검하는 게 좋습니다.

  • breakingEnvoy 1.35.0 필수 요건 — 업그레이드 전 버전 확인 필수

    새로운 filterContext 기반 Lua 방식 때문에 Envoy 1.35.0 미만 버전에서는 정상 동작하지 않습니다. Envoy 이미지를 직접 관리하거나 버전을 고정해 사용한다면 Contour 업그레이드 전에 Envoy를 먼저 올려야 합니다. 공식 매니페스트를 그대로 사용한다면 번들 Envoy가 이미 v1.35.10이라 별도 조치는 불필요하지만, 커스텀 환경이나 에어갭 환경은 별도로 확인해야 합니다.

  • enhancement업그레이드 여부와 관계없이 HTTPProxy RBAC 점검 권장

    취약점 패치 후에도 근본적인 공격 경로는 HTTPProxy 리소스에 대한 넓은 쓰기 권한입니다. HTTPProxy 생성/수정 권한은 애플리케이션 개발자가 아닌 플랫폼 운영자 수준으로 좁히는 방향이 바람직합니다. 멀티 테넌트 환경일수록 이런 권한 분리가 장기적으로 더 효과적인 통제 수단이 됩니다.

주요 변경 (4)
  • CVE-2026-41246 수정: cookieRewritePolicies pathRewrite 값을 통한 Lua 코드 인젝션으로 Envoy 내 임의 코드 실행 가능
  • Cookie Rewriting 구현 방식 변경: text/template 기반 Lua 코드 생성 방식 제거, 정적 Lua 스크립트 + filterContext 구조 데이터 방식으로 전환
  • Envoy 1.35.0 이상이 이번 릴리스의 하드 최소 요건으로 지정됨
  • 번들 Envoy 버전이 v1.35.10으로 업데이트됨
원문

Contour

Networking & Messaging2026년 4월 20일

v1.32.5는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. 멀티테넌트 환경이라면 즉시 업그레이드해야 합니다.

  • security멀티테넌트 클러스터라면 CVE-2026-41246 즉시 패치

    신뢰할 수 없는 사용자나 팀이 HTTPProxy 리소스를 생성·수정할 RBAC 권한을 갖고 있다면 직접적인 위협에 노출된 상태입니다. 공격자는 pathRewrite.value에 Lua 문자열 컨텍스트를 탈출하는 값을 심어 Envoy 내에서 코드를 실행할 수 있습니다. Envoy는 공유 인프라이므로 xDS 클라이언트 인증서 탈취나 동일 인스턴스를 사용하는 다른 테넌트 서비스 장애로 이어질 수 있습니다. 지금 바로 v1.32.5로 업그레이드하고, 업그레이드 전까지는 HTTPProxy의 create/update 권한을 최소한으로 줄이세요.

  • breaking업그레이드 후 기존 cookieRewritePolicies 동작 검증 필요

    이번 수정으로 pathRewrite.value 입력값에 이스케이프 처리가 추가됩니다. 백슬래시나 따옴표 같은 특수문자가 포함된 값은 Lua 삽입 전 이스케이프되어 런타임 동작이 달라질 수 있습니다. cookieRewritePolicies[].pathRewrite.value를 사용하는 HTTPProxy 리소스가 있다면 스테이징 환경에서 쿠키 재작성 동작을 반드시 확인하세요.

  • enhancementEnvoy v1.34.14 번들 포함 — 별도 조치 불필요

    Envoy 업데이트는 Contour 이미지에 이미 포함되어 있습니다. 단, Envoy를 Contour와 별도로 관리하는 구성이라면 해당 Envoy 이미지도 v1.34.14로 맞춰 Contour의 테스트 환경과 일치시키세요.

주요 변경 (5)
  • CVE-2026-41246 수정: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • HTTPProxy RBAC 쓰기 권한이 있는 공격자가 공유 Envoy 프록시 내에서 임의 코드 실행 가능
  • 인젝션된 코드로 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스의 다른 테넌트 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입하기 전 이스케이프 처리하는 방식으로 수정
  • Envoy v1.34.14로 업데이트
원문

Contour

Networking & Messaging2026년 4월 20일

Contour v1.31.6은 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 패치합니다. 공유 Envoy 인프라에서 임의 코드 실행으로 이어질 수 있는 심각한 결함입니다.

  • security비신뢰 사용자에게 HTTPProxy 쓰기 권한이 있다면 즉시 패치해야 합니다

    CVE-2026-41246은 멀티테넌트 클러스터에서 특히 위험합니다. HTTPProxy 리소스에 쓰기 권한을 가진 사용자라면 Envoy에 임의 Lua 코드를 주입할 수 있고, Envoy가 공유 인프라인 만큼 피해 범위가 다른 테넌트와 xDS 자격증명까지 미칩니다. v1.31.6으로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면, 기존 HTTPProxy 오브젝트의 pathRewrite 값을 점검하고 HTTPProxy 쓰기 권한을 신뢰할 수 있는 주체로만 제한하세요.

  • enhancementHTTPProxy 쓰기 RBAC 권한을 전면 재검토하세요

    이번 취약점 유형은 사용자 입력값이 코드에 직접 삽입되는 구조적 위험에서 비롯됩니다. 패치 적용과 별개로, HTTPProxy·HTTPRoute 등 프록시 설정을 제어하는 커스텀 리소스 전반에 최소 권한 RBAC을 적용할 타이밍입니다. 네임스페이스 범위 RBAC과 pathRewrite 값을 검증하는 어드미션 웹훅을 패치에 더해 함께 적용하면 방어 심도를 높일 수 있습니다.

주요 변경 (4)
  • CVE-2026-41246 보안 패치: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • 공격 성공 시 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스를 공유하는 테넌트에 대한 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입 전 이스케이프 처리하는 방식으로 수정 — API 변경 없음
  • Envoy v1.34.14로 업그레이드
원문

Crossplane

Orchestration & Management2026년 4월 20일

Crossplane v2.2.1은 ImageConfig 접두사 재작성 시 의존성 업그레이드 누락과 ResourceSelector 처리 버그를 수정하고, 보안 관련 의존성을 일괄 업데이트한 패치 릴리스입니다.

  • security보안 패치 적용을 위해 v2.2.1로 즉시 업그레이드

    이번 릴리스에는 cosign, go-git, go-jose, cloudflare/circl 등 8개 이상의 업스트림 라이브러리 보안 패치가 포함됩니다. go-git은 이번 릴리스에서만 v5.17.1과 v5.18.0으로 두 차례 보안 업데이트가 이뤄졌습니다. v2.2.0을 사용 중이라면 지금 바로 업그레이드 일정을 잡으세요. 호환성을 깨는 변경 사항은 없으므로 드롭인 교체가 가능합니다.

  • breaking업그레이드 후 ImageConfig 접두사 재작성 설정 검증 필요

    프라이빗 레지스트리 미러 등으로 패키지 풀을 우회하는 ImageConfig 접두사 재작성을 사용 중이었다면, 이전까지 의존성 패키지가 오래된 버전에 고정된 채로 방치됐을 수 있습니다. v2.2.1로 업그레이드하면 Crossplane이 그동안 멈춰 있던 의존성 패키지를 재조정하며 업그레이드할 수 있으니, 업그레이드 후 설치된 패키지 버전을 반드시 확인하세요.

  • enhancement컴포지션 함수에서 광범위한 ResourceSelector 안전하게 사용 가능

    특정 kind의 모든 리소스를 선택해야 하는 컴포지션 함수에서 더 이상 우회책이 필요하지 않습니다. apiVersion과 kind만 설정한 ResourceSelector가 유효하게 처리됩니다. matchLabels나 matchName 와일드카드로 이 문제를 우회했다면, 함수 로직에서 해당 셀렉터를 단순화할 수 있습니다.

주요 변경 (5)
  • ImageConfig 접두사 재작성으로 설치된 패키지가 의존성 업그레이드를 무시하던 버그 수정
  • apiVersion/kind만 지정한 ResourceSelector가 거부되던 문제 수정 — 이제 해당 종류의 모든 리소스를 선택하는 것으로 올바르게 처리됨
  • Go 런타임을 보안 태그와 함께 1.25.9로 업그레이드
  • cosign, go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTel OTLP HTTP 추적 익스포터 보안 패치 적용
  • CI 워크플로우 보강: promote 워크플로우의 스크립트 인젝션 위험 완화 및 작업 수준 권한 추가
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.1.5는 ImageConfig 업그레이드 누락, ResourceSelector 매칭 오류, XR 삭제 시 서킷 브레이커 초기화 실패 등 세 가지 동작 버그를 수정하고, Go 1.25.9를 포함한 광범위한 보안 의존성 업데이트를 반영한 패치 릴리스입니다.

  • security핵심 의존성 다수에 CVE 패치 포함 — 빠른 업그레이드 권장

    grpc, go-git(두 번 패치), go-jose, cloudflare/circl, moby/spdystream, docker/cli, OTel OTLP 트레이스 익스포터에 걸쳐 보안 업데이트가 포함됐고, Go 자체도 1.25.9로 올라갔습니다. 단순한 의존성 정리 수준이 아닙니다. v2.1.4에 머무를 이유가 없으니, 가능한 한 빨리 이 버전으로 전환하세요.

  • breakingImageConfig 프리픽스 재작성 사용 시 패키지 버전 누락 여부 확인 필수

    ImageConfig로 레지스트리 프리픽스를 재작성하는 환경이라면, 버그가 존재하던 기간 동안 의존 패키지가 조용히 구버전에 고정됐을 수 있습니다. v2.1.5로 업그레이드한 뒤 패키지 의존성 그래프를 직접 확인하세요. 오래된 패키지는 자동으로 재설치되지 않으므로, 버전 범프나 수동 재설치를 통해 명시적으로 갱신해야 합니다.

  • enhancementkind 전체 선택 ResourceSelector로 컴포지션 함수 로직 단순화 가능

    이전에 bare apiVersion/kind 셀렉터가 거부되어 dummy matchLabels를 추가하거나 로직을 우회하는 방식으로 작성한 컴포지션 함수가 있다면 정리할 때가 됐습니다. 매치 필드 없이 apiVersion과 kind만 지정하면 '해당 종류의 모든 리소스'로 올바르게 해석됩니다. 업그레이드 후 기존 워크어라운드를 검토하고 제거하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 재작성 환경에서 의존 패키지가 오래된 버전에 묶여 있던 문제 수정
  • 컴포지션 함수에서 matchName/matchLabels 없이 apiVersion과 kind만으로 특정 종류의 전체 리소스를 선택할 수 있게 됨
  • XR 삭제 후 재생성 시 이전 서킷 브레이커 상태가 남아 조정을 막던 버그 수정
  • grpc, go-git(두 차례), go-jose, cloudflare/circl, moby/spdystream, docker/cli, sigstore, OTel OTLP HTTP 익스포터 보안 패치
  • Go 런타임을 1.25.9로 업그레이드
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.0.8은 ImageConfig 프리픽스 리라이트 의존성 업그레이드 오류와 ResourceSelector 처리 버그를 수정하고, 다수의 업스트림 보안 취약점을 패치한 릴리스입니다.

  • security보안 패치를 위해 즉시 v2.0.8로 업그레이드

    이번 릴리스에서 보안 태그가 붙은 의존성 업데이트가 다수 포함됐습니다. go-git은 v5.17.1에 이어 v5.18.0까지 두 차례 올라갔고, go-jose, cloudflare/circl 등도 CVE 관련 수정입니다. v2.0.x를 사용 중이라면 지금 바로 업그레이드하세요. API 변경이 없어 업그레이드 경로는 단순합니다.

  • breakingImageConfig 프리픽스 리라이트 환경에서 패키지 의존성 버전 점검 필수

    사설 레지스트리 리다이렉션 등을 위해 ImageConfig 프리픽스 리라이트를 사용해왔다면, 의존 패키지들이 오래된 버전에 조용히 고착됐을 수 있습니다. v2.0.8 업그레이드 후 강제 reconciliation을 실행하고, 모든 패키지 의존성이 기대 버전인지 확인하세요. 업그레이드만으로 이미 고착된 상태가 자동 해소된다고 가정하지 마세요.

  • enhancement컴포지션 함수에서 'kind 전체 선택' 시 빈 ResourceSelector 활용 가능

    기존에는 ResourceSelector에 matchName과 matchLabels를 생략하면 요청 자체가 거부됐습니다. 이제는 빈 셀렉터가 '해당 kind의 모든 리소스'를 의미하도록 올바르게 처리됩니다. 이 제한을 피하려고 리소스를 일일이 열거하거나 더미 조건을 추가했다면, 업그레이드 후 해당 워크어라운드를 정리하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 리라이트 환경에서 의존 패키지가 구버전에 고착되던 버그 수정
  • apiVersion과 kind만 설정된 ResourceSelector(matchName/matchLabels 없음)가 올바르게 '해당 kind의 모든 리소스'로 해석되도록 수정
  • Go 런타임을 1.25.9로 업그레이드(보안 패치 포함)
  • go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTLP HTTP trace exporter 보안 패치
  • promote 워크플로우의 스크립트 인젝션 취약점 완화
원문

Crossplane

Orchestration & Management2026년 4월 20일

v1.20.6은 여러 의존성 CVE를 수정하고 CI 워크플로우의 스크립트 인젝션 취약점을 보강한 보안 중심 패치 릴리스입니다.

  • security의존성 CVE 다수 패치 — 즉시 v1.20.6으로 업그레이드

    이번 릴리스에서 암호화(circl), git 처리(go-git), HTTP/2 스트리밍(spdystream), 텔레메트리(otelhttp) 등 다섯 개 보안 의존성이 한꺼번에 업데이트됐습니다. go-git은 단 하나의 패치 릴리스 안에서 두 번 연속 보안 수정이 들어갔는데, 이는 실제 악용 가능성이 높다는 신호로 읽어야 합니다. v1.20.x를 운영 중이라면 지금 바로 업그레이드하세요.

  • securityCI/CD 공급망 보안 강화 — 자체 파이프라인도 점검 필요

    Crossplane 팀은 릴리스 프로모션 워크플로우의 스크립트 인젝션을 차단하고 GitHub Actions 잡 권한을 최소화했습니다. Crossplane 포크나 커스텀 자동화를 운영 중이라면 자체 워크플로우도 같은 패턴으로 점검해야 합니다. 확인 포인트는 두 가지입니다: run 스텝에 신뢰할 수 없는 입력값이 들어가는 곳, 그리고 GITHUB_TOKEN 권한이 과도하게 넓은 잡.

  • enhancementTrivy 스캔 CI에서 제거 — 자체 스캔 체계 확인 필요

    이번 릴리스에서 Crossplane은 자체 CI 파이프라인에서 Trivy 스캔을 제거했습니다. Crossplane 업스트림의 스캔 결과를 보안 신호로 참고하고 있었다면, 그 정보는 더 이상 제공되지 않습니다. Crossplane 이미지와 프로바이더 이미지에 대한 취약점 스캔을 자체 파이프라인에서 독립적으로 운영하고 있는지 지금 확인하세요.

주요 변경 (5)
  • go-git/go-git 두 차례 업데이트(v5.17.1 → v5.18.0)로 git 관련 보안 취약점 수정
  • cloudflare/circl v1.6.3으로 업그레이드하여 암호화 라이브러리 보안 결함 해소
  • moby/spdystream v0.5.1 업데이트로 HTTP/2 스트림 처리 보안 이슈 패치
  • OpenTelemetry OTLP 트레이스 익스포터 v1.43.0으로 보안 수정 반영
  • CI 워크플로우 스크립트 인젝션 및 권한 상승 취약점 보강
원문

Kubescape

Security2026년 4월 17일

Kubescape v4.0.5는 Go 버전 업그레이드와 의존성 범프만 포함한 순수 유지보수 릴리스입니다. 신규 기능이나 버그 수정은 없습니다.

  • securityGo 런타임 및 의존성 CVE 패치를 위해 업그레이드 권장

    Go 버전 업그레이드는 net/http, crypto 등 표준 라이브러리의 취약점을 함께 수정하는 경우가 많습니다. Kubescape를 클러스터 내 컴포넌트로 운영하거나 CI 파이프라인에서 사용 중이라면 이번 버전으로 교체하세요. 'kubescape version'으로 현재 버전을 확인한 후 바이너리 또는 컨테이너 이미지 태그를 갱신하면 됩니다. 변경 범위가 작아 업그레이드 리스크는 낮습니다.

  • enhancement자동화 파이프라인의 핀 버전을 v4.0.5로 갱신

    CI/CD 보안 스캔 파이프라인에서 Kubescape 버전을 고정해 사용 중이라면 v4.0.5로 업데이트하세요. SCA 도구가 스캔 툴 자체의 의존성 최신화 여부를 감사 항목으로 체크하는 조직이라면 특히 해당됩니다.

주요 변경 (3)
  • Go 툴체인 버전 업그레이드 — 런타임 및 표준 라이브러리 수준 보안 패치 포함 가능성
  • go.mod/go.sum 전반의 의존성 버전 갱신
  • 기능 변경, API 변경, 신규 기능 없음
원문

Kubescape

Security2026년 4월 17일

v4.0.4는 gRPC, go-git, cloudflare/circl, go-jose, hashicorp/go-getter 등 보안 관련 라이브러리 업데이트와 CLI 버그 수정 위주의 의존성 관리 릴리스입니다.

  • security보안 관련 의존성 업데이트로 즉시 업그레이드 권장

    hashicorp/go-getter, cloudflare/circl, go-jose, go-git는 경로 순회, 암호화 취약점, JWT 공격 등의 CVE 이력이 있는 라이브러리입니다. 릴리스 노트에 특정 CVE가 명시되지는 않았지만, go-getter의 1.7.9 → 1.8.6, go-git의 5.16.5 → 5.17.1처럼 버전 차이가 큰 업데이트가 포함돼 있습니다. CI 파이프라인이나 자동화 스캔 환경에서 Kubescape를 운영 중이라면 정기 유지보수 주기를 기다리지 말고 지금 바로 v4.0.4로 업데이트하세요.

  • enhancementHelm 3.20.2 및 gRPC 1.79.3 업데이트로 호환성 개선

    Helm SDK가 3.20.2로 올라가면서 최신 Helm 차트 스캔 결과의 정확도가 높아집니다. 최신 Helm 기능을 쓰는 클러스터를 운영 중이라면, 이전 Kubescape 버전에서 스캔 결과가 불완전했을 수 있습니다. 업그레이드 후 차트 레벨 스캔을 다시 실행해 커버리지를 확인하세요.

  • enhancementscan image 중복 플래그 수정 — 래퍼 스크립트 점검 필요

    kubescape scan image에 플래그를 명시적으로 전달하는 셸 스크립트나 CI 설정이 있다면, 기존의 중복 플래그 버그로 인해 플래그가 무시되거나 예상치 못한 동작이 발생했을 수 있습니다. 업그레이드 후 파이프라인 호출 결과가 기대값과 일치하는지 검증하세요.

주요 변경 (5)
  • hashicorp/go-getter 1.7.9 → 1.8.6 업그레이드 (경로 순회·SSRF 취약점 이력 있는 라이브러리)
  • cloudflare/circl 1.6.1 → 1.6.3 업데이트 (암호화 라이브러리 수정 포함)
  • go-jose/go-jose 4.1.4로 업데이트 (JWT/JWE 처리 취약점 패치)
  • go-git 5.17.1로 업그레이드 (이전 버전에 알려진 git 프로토콜 취약점 존재)
  • scan image 서브커맨드의 중복 CLI 플래그 제거 및 에러 처리 개선
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 ACL을 완전히 우회할 수 있는 경로 순회 취약점 패치. 액세스 제어 정책을 사용하는 모든 Dapr 배포는 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    이론상의 취약점이 아닙니다. 서비스 호출에 액세스 제어 정책을 적용 중이고 Dapr API에 신뢰할 수 없는 호출자가 접근 가능한 환경이라면, 현재 취약한 상태입니다. 특히 gRPC 경로는 메서드 문자열을 raw로 그대로 전달하기 때문에 위험도가 더 높습니다. 지금 바로 v1.15.14로 업그레이드하세요. 서비스 호출 비활성화나 API 완전 격리 외에는 별도의 임시 대응책이 없습니다.

  • securityDapr API 엔드포인트 접근 경로 전면 감사

    이 취약점은 API 접근을 전제로 하므로, 실제 피해 범위는 네트워크 구성에 달려 있습니다. 업그레이드 후 어떤 워크로드와 네트워크 경로가 Dapr HTTP/gRPC API에 접근 가능한지 점검하세요. 사이드카 localhost 접근만 허용하는 구성이 가장 안전합니다. API를 더 넓은 범위에 노출하고 있다면, 이번 패치와 무관하게 접근 범위를 좁혀두는 것이 바람직합니다.

  • breaking업그레이드 후 서비스 호출 메서드 경로 라우팅 검증 필요

    이번 수정으로 모든 메서드 경로에 path.Clean 정규화가 적용되고, #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부됩니다. 특히 gRPC에서 %2F를 경로 구분자로 사용하던 서비스가 있다면 동작이 달라질 수 있습니다. 프로덕션 배포 전에 서비스 간 호출 패턴을 반드시 테스트하세요.

주요 변경 (5)
  • admin%2F..%2Fpublic 같은 경로 순회 시퀀스로 서비스 호출 ACL 완전 우회 가능
  • %23(#), %3F(?) 인코딩 문자로 ACL이 평가하는 경로와 실제 앱이 받는 경로가 달라지는 불일치 발생
  • 단독 % 문자로 ACL 정규화 로직을 크래시시켜 정책 자체를 건너뛸 수 있었던 문제 수정
  • path.Clean을 호출 진입점에서 적용하고 #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부하도록 변경
  • Go v1.25.9로 업데이트(1.24 라인 CVE 대응), ACL 경로에서 purell 의존성 제거
원문

Argo

CI/CD & App Delivery2026년 4월 16일

Argo CD v3.3.7은 컨트롤러 성능 저하, OIDC 설정 갱신, UI 버그, 보안 헤더 누락 등을 수정한 패치 릴리스입니다.

  • securitySwagger UI 클릭재킹 취약점 — 브라우저 접근 환경이라면 즉시 업그레이드

    Swagger UI 엔드포인트에 X-Frame-Options와 CSP 헤더가 누락되어 있었습니다. Argo CD API 서버가 브라우저에서 접근 가능한 환경이라면(내부망 포함) 해당 페이지가 iframe에 삽입될 수 있었습니다. 3.3.7로 업그레이드하면 자동 해결되며, 별도 설정 변경은 불필요합니다.

  • breaking업그레이드 후 SSO 흐름 재검증 권장

    OIDC 설정이 서버 재시작 후에도 캐시된 값을 그대로 쓰던 버그가 수정됐습니다. 정확성 수정이지만, 기존에 stale OIDC 동작을 우회하기 위해 수동으로 파드를 재시작하는 방식을 쓰고 있었다면 업그레이드 후 SSO 인증 흐름이 예상대로 동작하는지 꼭 확인하세요.

  • enhancement컨트롤러 CPU 급등이나 지속적인 재조정 루프가 있다면 우선 적용

    두 가지 수정이 컨트롤러 부하를 낮춥니다. parentUIDToChildren 자료구조 교체는 대규모 클러스터에서 메모리 압박을 줄이고, 인포머 리싱크 수정은 불필요한 앱 새로고침을 차단해 API 서버 부하도 함께 낮춥니다. 재조정 루프가 잦거나 컨트롤러 CPU 사용량이 높은 환경이라면 이번 패치를 우선순위에 두세요.

주요 변경 (5)
  • parentUIDToChildren를 map-of-sets로 교체하고 시크릿 deepcopy/역직렬화 횟수를 줄여 컨트롤러 성능 개선
  • 서버 재시작 시 OIDC 설정이 갱신되지 않던 버그 수정 — 인증 실패 원인 중 하나였음
  • Swagger UI 엔드포인트에 X-Frame-Options 및 CSP 헤더 추가로 클릭재킹 취약점 차단
  • 인포머 리싱크·상태 업데이트로 인한 불필요한 자동 새로고침 방지로 불필요한 재조정 감소
  • copyutil 심링크 처리 오류로 인한 repo-server 크래시 및 helm dependency build에 repo.insecure 플래그 미전달 문제 수정
원문

Dapr

Orchestration & Management2026년 4월 16일

v1.17.5는 인코딩된 URL 문자를 이용한 경로 순회 공격으로 서비스 호출 ACL 정책을 우회할 수 있던 보안 취약점을 수정한 패치입니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출에 접근 제어 정책을 쓰는 모든 배포 환경이 영향을 받습니다. Dapr API(HTTP·gRPC)에 접근할 수 있는 공격자가 경로를 인코딩하는 것만으로 차단된 엔드포인트에 도달할 수 있었습니다. gRPC는 메서드 문자열을 raw로 전달하기 때문에 특히 위험했습니다. 별도의 완화 방법은 없으며, v1.17.5로 즉시 업그레이드하세요. 업그레이드 후에는 ACL 정책을 검토해 의도한 경로가 실제로 적용되는지 확인하세요.

  • breaking#, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    이번 수정으로 #, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 호출 진입점에서 즉시 거부됩니다. gRPC에서 이런 문자를 메서드 경로에 사용하는 서비스가 있다면(드물지만 가능) 업그레이드 후 해당 호출이 실패합니다. 운영 환경 적용 전에 스테이징에서 서비스 호출 경로를 반드시 테스트하세요.

주요 변경 (5)
  • 서비스 호출 메서드 경로의 경로 순회 시퀀스(%2F, ../ 등)로 ACL 우회 가능 — 수정됨
  • 인코딩된 프래그먼트(%23)·쿼리(%3F) 문자로 ACL이 실제 앱에 전달된 경로와 다른 경로를 평가하는 문제 수정
  • 단독 % 문자로 ACL 정규화 크래시 유발 → 정책 전체 우회 가능성 존재했음
  • gRPC는 메서드 문자열을 클라이언트 측 정제 없이 raw로 전달해 더 위험한 공격 경로였음
  • 수정: path.Clean을 호출 진입점에서 적용, purell 의존성 ACL 경로에서 제거
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 메서드 경로의 경로 순회 및 인코딩 문자가 ACL 정책을 우회할 수 있는 치명적 보안 취약점 수정. 접근 제어 정책을 사용 중이라면 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출 접근 제어 정책을 사용하는 모든 배포 환경이 취약합니다. Dapr HTTP 또는 gRPC API에 접근할 수 있는 공격자가 ACL이 허용하는 것처럼 보이지만 실제로는 차단된 엔드포인트로 라우팅되는 메서드 경로를 만들어낼 수 있습니다. gRPC 경로가 특히 위험합니다. 별도의 현실적인 완화 방법이 없으므로 v1.16.14로 즉시 업그레이드하세요. 업그레이드 후에는 기존 ACL 정책 규칙이 정규화된 경로 형식(../ 해소, 인코딩된 구분자 없음)과 일치하는지 검토하십시오.

  • breaking#, ?, 널 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    수정 후에는 프래그먼트(#), 쿼리(?), 널 바이트, 제어 문자가 포함된 메서드 경로를 자동으로 거부합니다. 가능성은 낮지만, 프로그래밍 방식으로 gRPC 메서드 경로를 동적으로 구성하는 코드가 있다면 업그레이드 후 해당 호출이 실패할 수 있습니다. 프로덕션 적용 전에 메서드 경로를 동적으로 생성하는 서비스 호출 코드를 미리 점검하십시오.

주요 변경 (5)
  • 경로 순회 시퀀스(../), 인코딩된 슬래시(%2F), 프래그먼트(%23), 쿼리(%3F), 불완전한 % 문자로 ACL 우회 가능
  • gRPC가 더 위험한 공격 경로 — 메서드 문자열이 클라이언트 측 정규화 없이 그대로 전달됨
  • 근본 원인: ACL은 디코딩·정리된 경로를 평가하고, 대상 앱은 원본 문자열을 그대로 수신하는 불일치
  • 호출 진입점에서 path.Clean 적용 후 ACL 검사와 디스패치 모두 동일한 경로 사용하도록 수정
  • ACL 경로에서 purell 라이브러리 제거, gRPC는 퍼센트 인코딩을 경로 구분자가 아닌 리터럴 문자로 처리
원문

Argo

CI/CD & App Delivery2026년 4월 16일

Argo CD v3.1.14는 informer 재동기화로 인한 불필요한 앱 갱신을 막는 수정과 CI 빌드 재현성 개선, fast-xml-parser 의존성 업데이트로 구성된 소규모 패치입니다.

  • securityfast-xml-parser 업데이트 — UI 의존성 최신화 확인 필요

    fast-xml-parser가 세 마이너 버전 올라갔습니다. XML 파서 계열 업데이트는 서비스 거부나 엔티티 확장 취약점을 수반하는 경우가 많습니다. Argo CD에서 이 라이브러리의 노출 범위는 UI로 제한되지만, 스테이징 환경에서 UI 기능을 검증한 뒤 업그레이드하는 것이 좋습니다.

  • enhancement리프레시 과부하가 있다면 즉시 업그레이드 검토

    informer resync와 상태 업데이트가 앱 리프레시를 과도하게 발생시키는 문제를 수정했습니다. 컨트롤러 CPU가 resync 주기마다 치솟거나 앱 갱신 로그가 과도하게 쌓이는 환경이라면 이 패치가 직접적인 해결책입니다. 위험도가 낮으므로 다음 유지보수 창에서 적용하면 됩니다.

주요 변경 (4)
  • informer resync 및 상태 업데이트로 인한 자동 리프레시 트리거 방지 — 불필요한 조정 루프 감소
  • CI에서 yarn install 시 --frozen-lockfile 누락 문제 수정으로 빌드 재현성 향상
  • UI 의존성 fast-xml-parser를 4.5.3에서 4.5.6으로 업그레이드
  • 모든 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 프로비넌스 유지
원문
← 최신이전 →
월별 보기