RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 4월해제 ×

Argo

CI/CD & App Delivery2026년 4월 16일

Argo CD v3.2.9는 불필요한 자동 리프레시, OCI 리비전 메타데이터 미렌더링, CI 잠금 파일 문제를 수정한 패치 릴리스입니다.

  • securityfast-xml-parser 업그레이드 — UI가 외부에 노출된 환경이라면 우선 적용

    fast-xml-parser가 4.5.3에서 4.5.6으로 올랐습니다. 릴리스 노트에 구체적인 CVE 언급은 없지만, 웹 UI에서 사용되는 XML 파싱 라이브러리는 공격 표면이 넓은 편입니다. Argo CD UI가 외부 트래픽이나 신뢰할 수 없는 사용자에게 노출된 환경이라면 이번 업그레이드를 서둘러 적용하는 게 좋습니다.

  • enhancement인포머 리싱크로 인한 과도한 리컨실리에이션이 있다면 즉시 업그레이드

    이번 릴리스에서 가장 운영 영향이 큰 변경 사항입니다. 클러스터가 바쁠수록 인포머 리싱크와 상태 업데이트가 불필요한 자동 리프레시를 연쇄적으로 일으킬 수 있는데, 이 패치가 그 원인을 차단합니다. 3.2.9로 업그레이드한 뒤 리프레시·싱크 횟수 메트릭을 모니터링해 개선 여부를 확인하세요.

  • enhancementOCI 기반 차트 사용 시 리비전 메타데이터 정상 렌더링 확인

    OCI 기반 Helm 차트나 매니페스트를 쓰는 팀이라면 리비전 메타데이터 패널이 항상 비어 있던 현상을 겪었을 수 있습니다. 설정 문제가 아닌 guard clause 버그였고, 이번 패치에서 수정됐습니다. 업그레이드 외에 별도 조치는 필요 없으며, UI에서 OCI 리비전 정보가 바로 표시될 겁니다.

주요 변경 (5)
  • 인포머 리싱크 및 상태 업데이트로 인한 불필요한 자동 리프레시 트리거 수정 — 바쁜 클러스터에서 성능 및 노이즈 문제로 직결됨
  • guard clause 충돌로 OCI 리비전 메타데이터가 UI에 표시되지 않던 버그 수정
  • fast-xml-parser 4.5.3 → 4.5.6 업그레이드 (보안·안정성 관리)
  • notifications-engine 의존성을 v0.5.1-0.20260316232552로 업데이트
  • 모든 컨테이너 이미지에 cosign 서명 및 SLSA Level 3 프로버넌스 유지
원문

Kubernetes

Kubernetes Core2026년 4월 15일

v1.33.11은 MultiCIDRServiceAllocator 활성화 시 apiserver 기동 실패와 nft 1.1.3에서의 kube-proxy nftables 오작동을 수정한 패치 릴리스입니다. Go 1.25.9로 컴파일러도 업데이트됐습니다.

  • breakingMultiCIDRServiceAllocator + 대규모 클러스터라면 즉시 업그레이드

    MultiCIDRServiceAllocator가 활성화된 환경에서 네임스페이스가 많으면, 업그레이드 중 apiserver가 아직 준비되지 않은 어드미션 플러그인으로부터 Forbidden 오류를 받고 기동에 실패하는 문제가 있었습니다. 이번 패치로 재시도 로직이 추가됩니다. 이 문제 때문에 1.33 업그레이드를 미뤄왔다면 이제 적용할 수 있습니다. apiserver 로그에서 IP 복구 컨트롤러의 Forbidden 오류를 확인해 보세요.

  • breakingnft 1.1.3 사용 노드는 kube-proxy nftables가 사실상 불통 — 즉시 패치 필요

    nft 1.1.3이 설치된 노드(일부 최신 배포판 기본값)에서는 kube-proxy nftables 모드가 제대로 작동하지 않습니다. 처음에는 트래픽이 흐르는 것처럼 보여도 규칙 업데이트가 올바르게 적용되지 않습니다. 노드에서 'nft --version'으로 버전을 확인하고, 1.1.3이라면 이 패치 릴리스로 업그레이드하는 것이 가장 확실한 해결책입니다.

  • enhancementOTel v1.41.0 대폭 업그레이드 — 옵저버빌리티 파이프라인 검증 필요

    OpenTelemetry Go SDK가 v1.33.0에서 v1.41.0으로 한 번에 올라갔습니다. 버전 차이가 큰 만큼, Kubernetes 텔레메트리 데이터를 수집하거나 OTel SDK와 연동되는 사이드카를 운영 중이라면 업그레이드 전 비운영 환경에서 트레이싱·메트릭 파이프라인이 정상 작동하는지 먼저 확인하세요. Kubernetes 기능 자체의 변화는 없지만 버전 갭이 충분히 커서 점검할 가치가 있습니다.

주요 변경 (5)
  • Go 컴파일러 1.25.9로 업데이트 (보안 및 런타임 개선 포함)
  • MultiCIDRServiceAllocator 활성화 상태에서 네임스페이스 수가 많은 클러스터 업그레이드 시 apiserver 기동 실패 수정 — IP 복구 컨트롤러가 아직 준비되지 않은 어드미션 플러그인의 Forbidden 오류를 재시도하도록 개선
  • nft 1.1.3에서 kube-proxy nftables 모드가 정상 작동하지 않던 호환성 문제 수정
  • OpenTelemetry 의존성 v1.33.0 → v1.41.0으로 대폭 업그레이드
  • nftables 수정과 직결된 knftables 라이브러리 v0.0.17 → v0.0.21 업데이트
원문

Kubernetes

Kubernetes Core2026년 4월 15일

v1.34.7은 감사 로그 지연 시간 누락 버그와 nftables kube-proxy 호환성 문제를 수정하고, Go 1.25.9로 재빌드한 패치 릴리스입니다.

  • breaking감사 로그 지연 시간 데이터가 조용히 누락됐습니다 — 즉시 패치 필요

    이 패치 이전의 1.34.x 클러스터는 500ms를 넘는 요청에 대해 감사 로그에서 지연 시간 어노테이션을 누락시켰습니다. 보안 감사나 컴플라이언스 도구가 이 어노테이션을 파싱해 SLO 추적이나 이상 감지에 활용하고 있다면, 그 기간의 데이터에는 공백이 있는 셈입니다. v1.34.7로 업그레이드 후, 해당 기간 감사 로그가 불완전하다는 사실을 기록으로 남겨두세요.

  • breakingnft 1.1.3 환경에서 nftables kube-proxy가 완전히 동작 불가 — 우회 없으면 즉시 업그레이드

    Fedora 42, Ubuntu 25.04처럼 nft 1.1.3이 기본 탑재된 신형 배포판에서 kube-proxy를 nftables 모드로 실행하면 네트워킹 자체가 동작하지 않습니다. 성능 저하가 아닌 완전한 장애입니다. nft를 구버전으로 고정하거나 v1.34.7로 즉시 업그레이드하세요. 수정 사항은 knftables 라이브러리 업그레이드(v0.0.17 → v0.0.21)에 포함되어 있습니다.

  • enhancementOTel v1.41.0으로 대폭 업그레이드 — 트레이싱 연동 검증 필요

    OpenTelemetry Go 패키지가 v1.35.0에서 v1.41.0으로 올라갔습니다. API 호환성은 유지되지만, 스팬 전파나 메트릭 수집 내부 동작이 상당 부분 변경됐습니다. Kubernetes OTel 스팬을 활용하는 커스텀 계측 코드나 사이드카가 있다면, 프로덕션 적용 전에 스테이징에서 반드시 검증하세요.

주요 변경 (5)
  • Go 1.25.9로 재빌드 — 업스트림 런타임 수정 사항 반영
  • 500ms 초과 요청에서 감사 로그 지연 시간 어노테이션이 누락되던 1.34+ 회귀 버그 수정
  • nft 1.1.3 환경에서 kube-proxy nftables 모드가 동작하지 않던 문제 수정
  • kubelet 재시작 후 device plugin 테스트 실패 문제 수정 (런타임 버그 아닌 테스트 안정성 개선)
  • OpenTelemetry 의존성을 v1.35.0에서 v1.41.0으로 대폭 업그레이드
원문

Kubernetes

Kubernetes Core2026년 4월 15일

v1.35.4는 사이드카 컨테이너 재시작 불가, StatefulSet 병렬 스케일링 회귀, kube-proxy nftables 오작동, 감사 로그 레이턴시 어노테이션 오류 등 5개의 실제 버그를 수정한 패치 릴리스입니다.

  • breakingStatefulSet maxUnavailable 동작에 의존 중이라면 즉시 확인 필요

    MaxUnavailableStatefulSet 기능 게이트가 1.35.4에서 다시 기본 비활성화됐습니다. 1.35.x로 업그레이드하면서 maxUnavailable 기반 병렬 파드 관리를 기대했다면, 그 동작은 현재 없는 셈입니다. StatefulSet 스펙에 maxUnavailable을 설정해둔 경우 조용히 무시됩니다. 업그레이드 전 스펙을 점검하고, 해당 기능 게이트가 다시 안정화될 때까지 운영 전략을 조정하세요.

  • breaking사이드카 + startupProbe 조합 사용 중이면 빠른 업그레이드 권장

    restartPolicy: Always인 initContainer와 startupProbe를 함께 쓰는 파드는 kubelet 재시작 이후 크래시된 컨테이너가 영원히 재시작되지 않고 RestartCount: 0에 멈추는 현상이 있었습니다. 서비스 메시 프록시, 로그 수집기 등 사이드카 패턴을 쓰는 프로덕션 워크로드가 영향을 받습니다. 이미 이 상태에 빠진 파드가 있다면, 1.35.4로 업그레이드 후 해당 파드를 수동으로 삭제·재생성하는 것이 복구 방법입니다.

  • enhancementnft 1.1.3 노드 환경이라면 kube-proxy 업그레이드 우선 적용

    nftables 버전 1.1.3이 설치된 시스템에서 kube-proxy의 nftables 모드가 완전히 동작하지 않는 문제가 있었습니다. 네트워킹 자체가 깨지는 조용한 장애입니다. 최근 Debian/Ubuntu 계열 일부 배포판이 nft 1.1.3을 포함하므로, 해당 환경의 노드 컴포넌트는 이번 패치를 우선 적용하세요.

주요 변경 (5)
  • StatefulSet 회귀 수정: MaxUnavailableStatefulSet 기능 게이트를 기본 비활성화로 되돌려 1.35 이전의 안정적인 병렬 파드 관리 동작 복원
  • 사이드카 컨테이너 버그 수정: restartPolicy: Always인 initContainer와 startupProbe를 함께 쓰는 파드가 kubelet 재시작 후 RestartCount: 0에서 멈추는 문제 해결
  • nft 1.1.3이 설치된 시스템에서 kube-proxy nftables 모드 정상화
  • 감사 로그 수정: 500ms 초과 요청에 대한 apiserver 레이턴시 어노테이션이 누락되던 1.34+ 회귀 수정
  • Go 1.25.9 빌드, OpenTelemetry 라이브러리 v1.41.0으로 업그레이드
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.19.3은 메모리 누수, 패닉, 네트워크 동작 오류를 집중적으로 수정한 버그픽스 릴리스입니다. DSR 모드, WireGuard 듀얼스택, IPAM 엣지 케이스가 주요 수정 대상입니다.

  • securitygo-jose 보안 업데이트 확인

    go-jose/go-jose가 보안 목적으로 v4.1.4로 업데이트됐습니다. 이 라이브러리는 JWT/토큰 처리에 관여합니다. SBOM 감사나 공급망 보안 검사를 운영 중이라면 이 의존성 버전 변경을 반드시 반영하세요.

  • breaking듀얼스택 IPAM 충돌 위험 — 즉시 업그레이드 필요

    듀얼스택 cluster-pool IPAM 환경에서 중복 IPv6 PodCIDR이 있을 때 오퍼레이터를 재시작하면 IPv4 PodCIDR이 잘못 해제되어 다른 노드에 재할당될 수 있습니다. 노드 간 IP 충돌로 이어지는 데이터플레인 정확성 문제입니다. 다음 오퍼레이터 재시작 전에 v1.19.3으로 업그레이드하고, 업그레이드 후 각 노드의 PodCIDR 할당 상태를 확인하세요.

  • enhancement메모리 누수 수정 — 정책 변경이 잦은 환경이라면 우선 적용

    두 가지 메모리 누수가 패치됐습니다. 하나는 정책 점진적 업데이트, 다른 하나는 정책 생성·삭제 반복 시 발생합니다. CI 네임스페이스, 멀티테넌트 플랫폼, GitOps 기반 정책 관리 환경처럼 NetworkPolicy 변경이 잦은 클러스터라면 Cilium 에이전트 메모리가 시간이 지날수록 꾸준히 증가하는 현상을 겪었을 수 있습니다. 업그레이드 후 롤링 재시작만으로 충분하며, 별도 설정 변경은 필요 없습니다.

주요 변경 (5)
  • 정책 점진적 업데이트와 정책 생성/삭제 사이클 각각에서 발생하는 두 가지 별도 메모리 누수 수정
  • DSR 모드 NodePort 수정: SocketLB 비활성 상태에서 백엔드가 로컬일 때 원격 노드 IP를 통한 Pod→NodePort 접근 실패 해결
  • WireGuard 듀얼스택 수정: IPv6 언더레이 설정이 피어 엔드포인트 선택 시 무시되던 문제 해결
  • 듀얼스택 cluster-pool IPAM 버그 수정: 중복 IPv6 PodCIDR 존재 시 오퍼레이터 재시작 후 IPv4 PodCIDR이 잘못 해제·재할당될 수 있던 문제
  • go-jose/go-jose 보안 업데이트 v4.1.4 포함
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.18.9는 메모리 누수, 패닉, 로드밸런서 오동작 등 프로덕션 장애로 이어질 수 있는 버그들을 집중 수정한 패치 릴리스입니다.

  • securitygo-jose 보안 패치 포함 — 인증 기능 사용 시 우선 적용

    go-jose/go-jose/v4가 보안 이슈로 v4.1.4로 업데이트되었습니다. Cilium의 상호 인증(mutual auth)이나 JWT/JOSE 관련 기능을 활성화한 환경이라면 해당 취약점에 노출되어 있을 수 있으므로 이번 업그레이드를 우선순위에 두십시오.

  • breaking이중 스택 IPAM 재할당 위험 — 즉시 업그레이드 필요

    cluster-pool IPAM으로 이중 스택을 운영 중이라면, 중복 IPv6 PodCIDR이 존재하는 상태에서 오퍼레이터가 재시작될 때 노드의 IPv4 PodCIDR이 해제되어 다른 노드에 재할당될 수 있습니다. IP 충돌과 파드 네트워킹 장애로 직결됩니다. 다음 정기 점검이나 오퍼레이터 재시작 전에 반드시 1.18.9로 올리십시오.

  • enhancement정책 변동이 잦은 환경의 메모리 누수 해소

    정책 증분 업데이트와 빈번한 정책 생성/삭제로 발생하는 메모리 누수 경로 두 곳이 모두 막혔습니다. CI 환경, 멀티테넌트 클러스터, 네임스페이스가 자주 배포되는 환경에서 에이전트 메모리가 서서히 증가하는 현상을 경험했다면 업그레이드 후 수 시간에서 하루 정도 메모리 기준선이 안정화되는지 확인하십시오.

주요 변경 (5)
  • 정책 증분 업데이트와 정책 생성/삭제 반복으로 각각 발생하던 메모리 누수 두 건 수정
  • 로드밸런서 백엔드 슬롯 간격 버그 수정 — 유지보수 백엔드가 존재할 때 트래픽이 잘못된 엔드포인트로 라우팅될 수 있던 문제
  • 이중 스택 cluster-pool IPAM 버그 수정 — 중복 IPv6 PodCIDR 상태에서 오퍼레이터 재시작 시 IPv4 PodCIDR이 다른 노드에 재할당될 수 있던 문제
  • init identity에 멈춰 있던 스태틱 파드 엔드포인트 문제 해결
  • configDriftDetection Helm 값 추가 및 go-jose 보안 의존성 업데이트
원문

Cilium

Networking & Messaging2026년 4월 15일

v1.17.15는 메모리 누수, 엔드포인트 재생성 중단, IPAM 데이터 오염, 정책 업데이트 데드락 등 운영 환경에서 조용히 악화되는 문제들을 집중 수정한 패치 릴리스입니다.

  • breaking이중 스택 IPAM 오염 위험: 오퍼레이터 재시작 전에 반드시 업그레이드

    클러스터풀 IPAM을 쓰는 이중 스택 환경에서 IPv6 PodCIDR 중복 상태가 있을 때 오퍼레이터를 재시작하면, IPv4 PodCIDR이 다른 노드에 재할당될 수 있습니다. 두 노드가 같은 서브넷을 쓰게 되는 무서운 시나리오로, 오류 메시지도 없이 발생합니다. 노드 스케일링이나 오퍼레이터 재시작 전에 v1.17.15로 먼저 업그레이드하세요.

  • enhancement정책 자주 바꾸는 환경이라면 메모리 누수 패치가 핵심

    증분 정책 업데이트로 인한 누수(느리고 감지 어려움)와 정책 생성/삭제 반복으로 인한 누수 두 건이 함께 수정됐습니다. GitOps 방식으로 NetworkPolicy를 자주 교체하는 환경이라면 지금도 에이전트 메모리가 조금씩 새고 있을 가능성이 높습니다. 업그레이드 후 24~48시간 동안 에이전트 메모리 추이를 모니터링해 안정화 여부를 확인하세요.

  • enhancement엔드포인트가 정책 변경을 반영 못 한다면 이번 릴리스가 답

    'waiting-to-regenerate' 상태에 영구적으로 걸리는 레이스 컨디션이 수정됐습니다. 명확한 오류 없이 파드가 정책 변경을 적용하지 못하는 현상을 겪었다면, 업그레이드 후 'cilium endpoint list'로 정책 변경 시 엔드포인트 재생성이 정상 완료되는지 확인하세요.

주요 변경 (6)
  • 메모리 누수 두 건 수정: 증분 정책 업데이트로 발생하는 느린 누수 + 정책 반복 생성/삭제로 발생하는 누수
  • 'waiting-to-regenerate' 상태에 걸린 엔드포인트 문제 해결 — 정책 변경이 워크로드에 적용되지 않는 현상
  • 이중 스택 클러스터풀 IPAM 버그 수정: 중복 IPv6 PodCIDR 상태에서 오퍼레이터 재시작 시 IPv4 PodCIDR가 다른 노드에 재할당되는 데이터 오염 방지
  • 마지막 프록시 리스너 제거 시 ipcache 아이덴티티 업데이트 행 현상 해결
  • Hubble Relay의 피어 주소 미해석 시 패닉 수정, hubble observe의 로그 컬러링으로 인한 CPU 낭비 제거
  • gRPC v1.79.3 및 CNI 플러그인 v1.9.1로 업데이트
원문

Linkerd

Networking & Messaging2026년 4월 15일

edge-26.4.3은 어노테이션 기반 프록시 환경 변수 주입 기능을 추가하고, 프록시를 v2.349.0으로 올리며, Kubernetes 1.35 호환성을 테스트로 검증했습니다.

  • securityrustls-webpki 패치 — Rust 의존성 벤더링 시 락파일 갱신 필요

    mTLS 스택에 쓰이는 rustls-webpki가 0.103.11로 올라갔습니다. 공개된 CVE는 없지만, 조직에서 Rust 의존성을 감사하거나 벤더링하는 경우 락파일을 업데이트하고 SBOM 스캔을 다시 돌려 최신 상태를 유지하세요.

  • enhancementproxy-additional-env 어노테이션으로 커스텀 이미지 없이 프록시 튜닝

    새로 추가된 `proxy-additional-env` 어노테이션을 쓰면 파드나 네임스페이스 단위로 프록시에 환경 변수를 직접 주입할 수 있습니다. 로그 레벨 조정이나 특정 기능 플래그를 전역 Helm 값 변경 없이 특정 워크로드에만 적용하고 싶을 때 유용합니다. 프로덕션 전에 비중요 워크로드에 먼저 적용해 동작을 검증하세요.

  • enhancementKubernetes 1.35 업그레이드 계획 중이라면 이번 릴리스가 기준점

    Linkerd 테스트 스위트가 k8s 1.35를 공식 커버하기 시작했고, 정책 테스트도 통과했습니다. 1.35 업그레이드를 검토 중인 팀이라면 이 edge 릴리스를 기준으로 스테이징 클러스터에서 직접 스모크 테스트를 돌린 후 프로덕션 전환 일정을 잡으세요.

주요 변경 (5)
  • 새 `proxy-additional-env` 어노테이션으로 주입된 프록시에 스코프별 환경 변수 설정 가능
  • 프록시 v2.349.0으로 업그레이드 — 프록시 자체 변경 사항 별도 확인 필요
  • Kubernetes 1.35 테스트 매트릭스 추가, 정책 테스트 전체 통과 확인
  • Rust TLS 스택의 rustls-webpki가 0.103.10에서 0.103.11로 패치 업데이트
  • Helm v3.20.2, golang.org/x/tools 0.44.0 등 빌드 툴체인 의존성 업데이트
원문

Keycloak

Security2026년 4월 15일

26.6.1은 블라인드 SSRF와 사용자 열거 CVE 두 건을 수정한 보안 패치입니다. 26.6.0 업그레이드 시 커스텀 인증 플로우가 깨지던 치명적 마이그레이션 버그도 함께 수정됐습니다.

  • securitySSRF·사용자 열거 CVE 즉시 패치 필요

    CVE-2026-4366은 HTTP 리다이렉트 처리 과정의 블라인드 SSRF로, Keycloak이 내부 서비스에 접근 가능한 환경이라면 실질적인 위협입니다. CVE-2026-4633은 identity-first 로그인에서 사용자 존재 여부가 노출되어 크리덴셜 스터핑 공격에 악용될 수 있습니다. 즉시 26.6.1로 업그레이드하세요. 업그레이드가 당장 불가하다면 CVE-2026-4633 임시 완화책으로 identity-first 로그인 비활성화를 검토하세요.

  • breaking26.6.0으로 업그레이드했다면 커스텀 인증 플로우 즉시 확인

    26.6.0의 MigrateTo26_6_0 스크립트가 커스텀 브라우저 플로우를 잘못 수정해 릴름 인증을 조용히 망가뜨리는 버그가 있었습니다. 26.6.0 업그레이드 후 로그인 오류나 비정상 플로우 동작을 겪었다면 이 버그가 원인입니다. 26.6.1로 업그레이드하면 마이그레이션 로직은 수정되지만, 이미 손상된 플로우는 수동으로 복구해야 할 수 있습니다. 운영 환경 업그레이드 전 반드시 커스텀 인증 플로우를 점검하세요.

  • breaking26.6.0 JS·Java 어드민 클라이언트 패키지 오류 — 26.6.1로 교체 필요

    26.6.0에서 @keycloak/keycloak-admin-client(JS)와 Java 어드민 클라이언트 모두 패키징 오류로 설치 또는 동기화가 불가능했습니다. 파이프라인이나 애플리케이션에서 26.6.0을 핀닝하고 있다면 현재 동작하지 않을 가능성이 높습니다. 의존성 버전을 26.6.1로 업데이트하세요.

주요 변경 (5)
  • CVE-2026-4366: HTTP 리다이렉트 처리 경로의 블라인드 SSRF 취약점 수정
  • CVE-2026-4633: identity-first 로그인 방식에서 사용자 이름 존재 여부가 노출되던 문제 수정
  • 26.6.0 마이그레이션 스크립트가 커스텀 브라우저 인증 플로우를 손상시키던 버그 수정
  • kc_idp_hint 사용 중 IdP가 access_denied 반환 시 무한 리다이렉트 루프 발생하던 문제 해결
  • DB 저장 데이터 암호화 지원 추가 및 CloudNativePG 1.29 업데이트
원문

Dapr

Orchestration & Management2026년 4월 15일

Dapr v1.16.13은 다중 레플리카 환경에서 스케줄러 재시작 시 job 트리거가 멈추는 심각한 버그를 수정하고, Pulsar 설정 무시 문제와 OOM 위험을 해결하며, Go 1.25.9 보안 패치를 포함합니다.

  • securityGo 1.25.9 보안 패치 적용을 위해 즉시 업그레이드

    Go의 crypto/x509, crypto/tls, archive/tar, html/template 패키지 취약점이 패치됐습니다. 1.16.12 이하를 사용 중이라면 지금 바로 1.16.13으로 올려야 합니다. 소스에서 직접 Go 1.25.9로 재빌드하지 않는 한 다른 우회책은 없습니다.

  • breakingPulsar 사용자: processMode가 이제 실제로 적용됩니다 — 설정 검토 필수

    컴포넌트 YAML에 processMode를 설정해 뒀다면, 이전까지는 조용히 무시됐습니다. 업그레이드 후에는 해당 설정이 실제로 적용됩니다. processMode: sync로 순서 보장을 기대했지만 실제로는 비동기로 동작하고 있었다면, 업그레이드 시 동작이 바뀝니다. 프로덕션 배포 전에 Pulsar 컴포넌트 메타데이터와 구독 동작을 반드시 검토하세요. maxConcurrentHandlers를 0으로 설정했다면 기존에는 데드락이 발생했는데, 이제는 기본값 100으로 폴백됩니다.

  • breaking다중 레플리카 스케줄러 운영 중이라면 즉시 패치 적용

    스케줄러 버그는 실제 운영에서 매우 치명적입니다. 롤링 업데이트, OOM 킬, 노드 축출 등 일상적인 파드 재시작만으로도 전체 배포의 job 트리거가 조용히 멈춥니다. 오류 알림이나 명시적인 실패도 없이 job이 그냥 동작을 멈추는 것입니다. HA 구성으로 스케줄러를 여러 레플리카로 운영 중이라면 이 수정은 필수입니다. 업그레이드 후 스케줄러 파드 재시작 시 예약 작업이 정상 실행되는지 반드시 확인하세요.

주요 변경 (5)
  • Go 1.25.9 재빌드: crypto/x509, crypto/tls, archive/tar, html/template 패키지 보안 취약점 패치
  • 스케줄러 버그 수정: 단일 파드 재시작이 전체 스케줄러 연결의 job 트리거를 중단시키던 문제 해결
  • 각 스케줄러 스트리밍 커넥터가 이제 500ms 백오프로 독립적으로 재시도 — 하나의 연결 실패가 나머지에 영향 없음
  • Pulsar processMode가 컴포넌트 YAML에서 올바르게 읽힘 — 기존에는 조용히 무시되어 항상 기본 모드로 동작
  • Pulsar 비동기 모드에 동시성 제한(기본 100) 적용, maxConcurrentHandlers=0 데드락 및 고루틴 데이터 레이스 수정
원문

Litmus

Observability2026년 4월 15일

Litmus 3.28.0은 프로브 설정 누수, 구독자 크래시, 프론트엔드 이미지의 Python 취약점을 수정한 유지보수 릴리스입니다.

  • security프론트엔드 이미지 업그레이드로 Python 취약점 제거

    기존 ubi8 기반 프론트엔드 이미지에 Python CVE가 존재했습니다. 3.28.0에서 ubi9로 전환해 해소했습니다. Trivy, ACS, Prisma 등 이미지 스캐닝 정책을 운영 중이라면 3.28.0 프론트엔드 이미지로 재배포하면 해당 경고가 사라집니다. 별도 설정 변경 없이 이미지 교체만으로 충분합니다.

  • breaking프로브 설정 누수 수정으로 동일 타입 다중 프로브 동작 변경 가능

    동일 타입의 프로브를 한 실험에 여러 개 정의했을 때, 이전 버전은 프로브 간 설정이 암묵적으로 공유됐습니다. 이번 수정으로 프로브별 설정이 완전히 분리됩니다. 업그레이드 전에 관련 실험을 점검하세요. 설정 누수에 의존하던 케이스가 있다면 결과가 달라질 수 있습니다.

  • enhancementGitOps 및 이벤트 기반 워크플로우의 구독자 안정성 개선

    Argo Workflow ADD 이벤트에 ChaosEngine 노드가 포함된 환경에서 구독자가 간헐적으로 크래시되던 문제가 수정됐습니다. 이런 패턴을 사용 중이었다면 3.28.0 업그레이드 후 구독자 파드를 수동으로 재시작할 필요가 없어집니다. 업그레이드 후 구독자 파드 안정성을 확인해 기존 재시작 이슈가 해소됐는지 검증하세요.

주요 변경 (5)
  • 동일 타입의 여러 프로브 간 stale 설정 누수 수정 — 이전 프로브의 설정이 다음 프로브로 잘못 전달되던 문제
  • Workflow ADD 이벤트에 ChaosEngine 노드가 포함될 때 구독자가 크래시되던 문제 수정
  • 프론트엔드 베이스 이미지를 ubi8에서 ubi9로 업그레이드, Python 취약점 해소
  • Litmus Checker에서 실험 편집 및 복제 시 이미지 레지스트리가 잘못 적용되던 버그 수정
  • Canonical이 공식 채택 기관으로 추가됨
원문

Rook

Storage & Data2026년 4월 14일

Rook v1.19.4는 CephObjectStoreUser 권한 설정 버그 수정, 멀티 클러스터 RBAC 누락 패치, OSD 강제 설치 시 디스크 zap 지원을 포함한 패치 릴리스입니다.

  • breaking멀티 클러스터 환경: RBAC 수정 즉시 적용 필요

    보조 클러스터에서 ceph-mgr RBAC 역할이 누락되면 권한 오류가 조용히 발생해 진단하기 어렵습니다. 멀티 클러스터 구성을 운영 중이라면 v1.19.4로 즉시 업그레이드한 뒤 ceph-mgr 동작 상태를 확인하세요. 미루지 마세요.

  • enhancementOSD 강제 교체 시 디스크 zap 자동화

    기존에는 장애 OSD 교체 시 디스크를 수동으로 정리해야 했는데, 이제 오퍼레이터가 직접 처리합니다. OSD 교체 절차를 스크립트로 자동화해 둔 경우, 관련 런북을 검토해 중복 작업을 제거하세요.

  • enhancementRGW 서비스 레이블로 트래픽 라우팅 세밀화

    CephObjectStore RGW 서비스에 커스텀 레이블을 붙일 수 있어 서비스 메시, 로드 밸런서, 네트워크 정책 타겟팅이 정밀해집니다. 오브젝트 스토어를 여러 개 운영하거나 트래픽 제어가 필요한 환경이라면 적극 활용할 만합니다.

주요 변경 (5)
  • CephObjectStoreUser 권한(Capabilities) 설정 버그 수정
  • 보조 클러스터에서 ceph-mgr RBAC 역할 누락 문제 해결 — 멀티 클러스터 환경에서 조용히 실패하던 문제
  • OSD 강제 설치 시 디스크 zap 추가로 OSD 교체 작업 흐름 개선
  • CephObjectStore RGW 서비스에 커스텀 레이블 지원 추가
  • CSI 오퍼레이터 v0.6.0 업그레이드 및 COSI 사이드카 이미지 최신화
원문

Backstage

CI/CD & App Delivery2026년 4월 14일

v1.50.0은 인증, 프론트엔드 API, 카탈로그 전반에 걸친 다수의 브레이킹 체인지와 함께 AWS RDS IAM 인증, Auth0 federated logout, 카탈로그 데드락 수정, 보안 패치를 포함한 대규모 릴리스입니다.

  • securityrollup 경로 순회 취약점 패치 — CLI 및 빌드 도구 업데이트 필요

    rollup v4.59 미만 버전에는 고위험도 경로 순회 취약점(GHSA-mw96-cpmx-2vgc)이 있습니다. @backstage/cli, repo-tools, 여러 CLI 모듈이 이미 업데이트됐습니다. 업그레이드 헬퍼를 실행하고 lockfile을 갱신하세요. 워크스페이스 어딘가에 rollup 버전을 직접 고정했다면 v4.59+로 올려야 합니다. glob 의존성도 v7/v8/v11의 취약점을 해소하기 위해 v13으로 업그레이드됐습니다.

  • breaking업그레이드 전 토큰 디코딩 코드 점검 필수 — ent 클레임 기본 제거

    auth.omitIdentityTokenOwnershipClaim의 기본값이 true로 바뀌어 Backstage 사용자 토큰에 ent 소유권 클레임이 더 이상 포함되지 않습니다. 토큰을 직접 디코딩해 ent를 읽는 코드가 있다면 아무 값도 반환되지 않아 조용히 버그가 생깁니다. 코드베이스에서 raw 토큰 디코딩을 찾아 userInfo 코어 서비스로 교체하세요. 시간이 필요하다면 config에 auth.omitIdentityTokenOwnershipClaim: false를 일시적으로 추가할 수 있지만, 이 설정은 향후 릴리스에서 완전히 제거될 예정이므로 마이그레이션 계획을 세워야 합니다.

  • breakingfrontend-plugin-api 업그레이드 전 createSchemaFromZod를 configSchema로 교체

    @backstage/[email protected]에서 deprecated된 createSchemaFromZod 헬퍼가 삭제됐습니다. 이를 사용하는 extension이나 blueprint는 런타임에서 즉시 실패합니다. backstage.io/docs/frontend-system/architecture/migrations#150의 마이그레이션 문서를 참고해 configSchema 옵션으로 전환하세요. zod v3 스키마는 직접 지원되지 않으므로 import { z } from 'zod/v4' 방식을 사용하거나 zod v4로 업그레이드해야 합니다.

주요 변경 (7)
  • BREAKING: auth.omitIdentityTokenOwnershipClaim 기본값이 true로 변경 — 토큰에 ent 클레임이 더 이상 포함되지 않아 대규모 조직의 HTTP 헤더 크기 문제 해소
  • BREAKING: frontend-plugin-api에서 deprecated된 createSchemaFromZod 헬퍼 제거 — configSchema 옵션(zod v4)으로 마이그레이션 필요
  • BREAKING: @backstage/ui에서 React 17 지원 종료 — 최소 버전은 React 18
  • 카탈로그 백엔드 데드락 수정: 다중 레플리카 환경에서 SELECT ... FOR UPDATE SKIP LOCKED가 트랜잭션 없이 호출되어 발생하던 PostgreSQL 40P01 오류 해결
  • 보안 패치: rollup v4.59+(GHSA-mw96-cpmx-2vgc 경로 순회 취약점) 및 glob v13으로 업그레이드
  • backend-defaults에서 PostgreSQL AWS RDS IAM 인증 지원 — 정적 비밀번호 대신 단기 토큰 사용 가능
  • Auth0 프로바이더가 federated logout을 수행하도록 개선 — federatedLogout: true 설정 시 상위 IdP 세션도 함께 종료
원문

containerd

Kubernetes Core2026년 4월 14일

containerd v2.2.3은 spdystream의 CVE-2026-35469를 패치하고, 병렬 언팩 시 whiteout 누락 버그, tar 추출 경쟁 조건, Go 1.24 심링크 회귀 등 여러 버그를 수정했습니다.

  • securityCVE-2026-35469 패치: 즉시 v2.2.3으로 업그레이드

    CVE-2026-35469는 containerd가 스트리밍 연결에 사용하는 moby/spdystream에서 발견된 취약점입니다. 이번 릴리스에 spdystream v0.5.1이 포함되어 수정됐습니다. 2.2.x 버전을 운영 중이라면 다음 정기 점검을 기다리지 말고 지금 바로 업그레이드하세요.

  • breaking병렬 언팩 whiteout 버그 — 영향받은 이미지는 재풀링 필요

    병렬 언팩이 활성화된 환경에서 레이어 간 파일 삭제를 표시하는 whiteout 파일이 무시되는 버그가 있었습니다. overlayfs와 병렬 언팩을 함께 사용했다면 레이어 삭제 시맨틱이 제대로 적용되지 않았을 수 있습니다. 업그레이드 후 병렬 언팩으로 받은 이미지는 재풀링해서 레이어 상태를 확인하는 것이 좋습니다.

  • enhancementGo 1.24 + NixOS 계열 환경의 컨테이너 기동 실패: 이번 릴리스로 해결됩니다

    Go 1.24로 빌드된 바이너리에서 rootfs 내 사용자/그룹 조회 시 절대 심링크 처리에 회귀가 생겼습니다. /etc/passwd나 /etc/group이 심링크인 NixOS 계열 시스템에서 주로 나타나는 문제입니다. Go 1.24 빌드로 전환한 뒤 사용자 조회 실패나 컨테이너 기동 오류를 겪었다면 v2.2.3 업그레이드로 해결됩니다.

주요 변경 (5)
  • spdystream v0.5.1 업그레이드로 CVE-2026-35469 보안 패치 적용
  • 병렬 언팩 시 whiteout이 무시되던 버그 수정 — 이미지 레이어 정합성에 직결되는 문제
  • tar 추출 경로의 TOCTOU 경쟁 조건 강화
  • runc v1.3.5로 업데이트
  • /etc/passwd, /etc/group 절대 심링크 해석 수정 — Go 1.24 빌드 및 NixOS 계열 시스템에서의 회귀 해소
원문

containerd

Kubernetes Core2026년 4월 14일

containerd 2.0.8은 CVE-2026-35469 보안 패치, CRI 에러 메시지의 인증 정보 노출 수정, containerd 재시작 후 CNI DEL이 실행되지 않던 버그 수정을 포함합니다.

  • securityCVE-2026-35469 대응: 즉시 2.0.8로 업그레이드

    CVE-2026-35469는 moby/spdystream 의존성에 존재하는 취약점입니다. 2.0.x를 운영 중인 클러스터라면 다음 유지보수 주기를 기다리지 말고 2.0.8로 올리세요. 해당 advisory의 심각도를 확인한 뒤 업그레이드 우선순위를 판단하기 바랍니다.

  • security과거 파드 이벤트 로그에서 인증 정보 노출 여부 점검

    이번 수정 이전에는 레지스트리 인증 정보 등 URL에 포함된 민감 데이터가 CRI gRPC 에러 메시지와 파드 이벤트에 평문으로 기록될 수 있었습니다. Datadog, Splunk, ELK 등 외부 로깅 백엔드로 파드 이벤트를 수집 중이라면, 최근 로그에서 노출된 쿼리 파라미터가 없는지 점검하세요. 2.0.8부터는 containerd 내부에서 마스킹 처리됩니다.

  • breaking업그레이드 후 CNI 네트워크 정리가 정상 동작하는지 확인

    이번에 수정된 CNI DEL 버그로 인해, containerd 재시작 이후 파드를 삭제할 때 CNI 플러그인 정리가 실행되지 않아 노드에 네트워크 상태가 남아 있을 수 있습니다. 2.0.8로 업그레이드한 뒤에는 containerd 재시작을 경험한 노드에서 파드 삭제 시 CNI DEL이 제대로 호출되는지 검증하세요. 이전에 고아 네트워크 인터페이스나 IP 할당 충돌이 발생했다면 이 버그가 원인이었을 가능성이 높습니다.

주요 변경 (5)
  • CVE-2026-35469: spdystream v0.4.0 → v0.5.1 업데이트로 취약점 해소
  • CRI 에러 sanitization: gRPC 에러 반환 전 쿼리 파라미터 포함 민감 정보를 자동 마스킹 처리
  • CNI DEL 버그 수정: containerd 재시작 후 파드 삭제 시 CNI DEL이 실행되지 않던 문제 해결
  • opencontainers/selinux v1.11.1 → v1.13.1 업데이트
  • Go 툴체인 1.25.9 / 1.26.2로 업데이트
원문

containerd

Kubernetes Core2026년 4월 14일

containerd 2.1.7은 spdystream의 CVE-2026-35469를 패치하고, gRPC 자격 증명 누출 방지 및 tar 추출 TOCTOU 경쟁 조건 수정 등 보안 강화 변경을 포함합니다.

  • securityCVE-2026-35469 패치를 위해 즉시 2.1.7로 업그레이드

    moby/spdystream의 CVE-2026-35469가 이번 릴리스에서 수정됐습니다. spdystream은 CRI 스트리밍 경로에서 사용되므로 exec/attach/port-forward를 쓰는 Kubernetes 워크로드가 잠재적으로 영향을 받습니다. 모든 노드의 containerd를 2.1.7로 업그레이드하세요. 설정 변경 없이 바이너리 교체 후 데몬 재시작만 하면 됩니다.

  • securitypod 이벤트를 통한 자격 증명 누출 경로 차단

    이번 수정 전까지 레지스트리 자격 증명이 포함된 원시 오류가 pod 이벤트에 노출될 수 있었습니다. 네임스페이스 범위 사용자에게 pod 이벤트 접근을 허용하는 클러스터라면 자격 증명이 로그나 이벤트 스트림에 노출됐을 가능성이 있습니다. 영향받은 클러스터에서 사용된 레지스트리 pull secret을 교체한 뒤 2.1.7로 업그레이드하세요.

  • enhancementCNI DEL 버그 수정으로 재시작 후 네트워크 자원 누수 방지

    기존에는 containerd 재시작 후 정리되는 샌드박스에 CNI DEL이 호출되지 않아 IP 등 네트워크 자원이 누수됐습니다. 노드 재시작 후 스테일 IP나 CNI 상태 이상을 겪은 적 있다면 이 버그가 원인일 가능성이 높습니다. 2.1.7로 업그레이드하고, 기존 누수 상태를 정리하려면 containerd 재시작 전 노드를 드레인하는 편이 안전합니다.

주요 변경 (5)
  • spdystream v0.5.1 업그레이드로 CVE-2026-35469 패치
  • gRPC 오류 sanitization으로 pod 이벤트 내 자격 증명 노출 차단
  • tar 추출 시 TOCTOU 경쟁 조건 수정
  • containerd 재시작 후 CNI DEL이 정상 실행되도록 수정
  • runc v1.3.5로 업데이트, 사용자 네임스페이스에서 읽기 전용 바인드 마운트 플래그 보존
원문

containerd

Kubernetes Core2026년 4월 14일

v1.7.31은 spdystream의 CVE-2026-35469를 패치하고, 재시작 후 CNI DEL이 실행되지 않던 버그와 gRPC 에러를 통한 자격증명 노출 문제를 수정합니다.

  • securityCVE-2026-35469 패치: 즉시 v1.7.31로 업그레이드

    CVE-2026-35469는 SPDY 멀티플렉싱에 쓰이는 moby/spdystream 라이브러리의 취약점입니다. 수정본은 이번 릴리스에 포함된 spdystream v0.5.1에 담겨 있습니다. 1.7.x 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 특히 CRI 스트리밍 서버가 노출되어 있거나 kubectl exec/attach/port-forward 트래픽이 containerd를 통해 흐르는 클러스터라면 더욱 시급합니다.

  • security파드 이벤트 로그에서 자격증명 노출 여부 점검

    원시 에러 메시지에 레지스트리 자격증명이 포함된 채로 gRPC를 통해 반환되고 파드 이벤트에 노출되는 버그가 있었습니다. 업그레이드 후, 수정 전 기간의 파드 이벤트 로그(kubectl get events 또는 로그 수집 시스템)를 검토해 인증 토큰, 비밀번호, 이미지 풀 시크릿이 포함된 항목이 있는지 확인하세요. 노출된 자격증명이 발견되면 즉시 교체해야 합니다.

  • breaking업그레이드 후 CNI 네트워크 정리 동작 검증 필요

    CNI DEL 버그 수정으로, 기존에 containerd 재시작 후 스테일 네트워크 상태를 남기던 컨테이너가 이제 제대로 정리됩니다. 올바른 동작이지만, CNI DEL이 생략된다고 가정하는 자동화 스크립트나 워크플로가 있다면 미리 테스트하세요. 비정상 재시작 이력이 있는 노드는 업그레이드 후 첫 파드 삭제 시 정리 작업이 실행될 수 있습니다.

주요 변경 (5)
  • CVE-2026-35469 대응: spdystream v0.2.0 → v0.5.1 업그레이드
  • containerd 재시작 후 CNI DEL이 실행되지 않던 버그 수정 — 네트워크 정리가 조용히 건너뛰어지던 문제 해결
  • gRPC 에러 메시지 정제로 레지스트리 자격증명이 파드 이벤트에 노출되던 문제 수정
  • runc 바이너리를 v1.3.5로 업데이트
  • tar 추출 과정의 TOCTOU 경쟁 조건 버그 수정
원문

NATS

Networking & Messaging2026년 4월 14일

v2.12.7은 ACL 우회 보안 버그, 리프노드 패닉, JetStream 컨슈머 stuck 상태, 그리고 2.12.6에서 유입된 MQTT JWT 회귀 버그를 수정한 버그픽스 릴리스입니다.

  • securitydeny ACL이나 큐 그룹을 사용 중이라면 즉시 업그레이드 필요

    이번 릴리스에서 두 가지 ACL 시행 버그가 수정됐습니다. 와일드카드가 중첩된 deny ACL이 제대로 적용되지 않았고, 큐 구독이 비큐 deny 규칙을 통째로 우회할 수 있었습니다. deny 기반 ACL, 특히 와일드카드나 큐/비큐 혼합 구독을 보안 모델에 활용 중이라면 필수 업그레이드입니다. 업그레이드 후 deny 규칙이 의도대로 동작하는지 반드시 검증하세요.

  • breaking2.12.6에서 MQTT + auth callout을 쓰고 있다면 즉시 업그레이드

    2.12.6에서 MQTT 클라이언트의 JWT가 auth callout 서비스로 전달되지 않는 회귀 버그가 있었습니다. 인증 로직이 조용히 무시되거나 실패했을 가능성이 있습니다. 2.12.7로 업그레이드 후 MQTT 클라이언트 인증이 전 구간에서 정상 동작하는지 확인하세요.

  • enhancementJetStream 스토리지 한도, 이제 재시작 없이 상향 조정 가능

    max_mem_store와 max_file_store를 config reload만으로 늘릴 수 있게 됐습니다. 단, 줄이는 것은 여전히 reload로 지원되지 않습니다. 피크 트래픽 구간에 다운타임 없이 용량을 확장할 수 있어 운영 유연성이 높아졌습니다. 평소 여유 있게 스토리지를 설계하되, 필요 시 즉각 확장하는 방식으로 활용하세요.

주요 변경 (5)
  • ACL 보안 수정: 와일드카드 deny 패턴 중첩 시 미적용 버그, 큐 구독이 비큐 deny 규칙을 우회하던 문제 해결
  • MQTT 회귀 버그 수정: 2.12.6부터 MQTT 클라이언트의 JWT가 auth callout에 전달되지 않던 문제 해결
  • JetStream 컨슈머 수정: 삭제된 메시지가 pending 상태에 남아 max_ack_pending이 stuck되는 문제 해결
  • 리프노드 안정성: 계정 resolve 실패 시 패닉 및 pre-CONNECT 가드 관련 패닉 다수 수정
  • JetStream 성능: subject purge가 관련 filestore 블록만 스캔하도록 개선, 쓰기 직후 캐시 과도 축출 문제 수정
원문

NATS

Networking & Messaging2026년 4월 14일

v2.11.16은 보안 패치 릴리스로, 큐 구독의 ACL 우회, 리프노드 인바운드 메시지 권한 누락, 와일드카드 deny 패턴 미적용 등 여러 인가 취약점을 수정했습니다. ACL에 의존하는 환경이라면 즉시 업그레이드해야 합니다.

  • security큐 구독을 통한 ACL 우회 — 즉시 패치 필요

    비큐 구독에 적용된 deny 규칙을 큐 구독자가 우회할 수 있었습니다. 멀티테넌트 환경이나 subject 단위 접근 제어를 쓰고 있다면 기존 deny 규칙이 제대로 적용되지 않았을 가능성이 있습니다. v2.11.16으로 업그레이드하고, ACL 설정 전체를 재검토하세요.

  • security리프노드 ACL 검사 누락 — 리프 설정 점검 필수

    리프노드 인바운드 메시지가 ACL 권한 검사를 통과하지 않고 처리되는 경로가 존재했습니다. 계정별 또는 사용자별 권한을 리프노드에 적용 중이라면, 무단 데이터 접근이 발생했을 가능성을 배제할 수 없습니다. 업그레이드 후 리프노드 자격증명과 권한 설정을 재확인하세요.

  • breakingno_auth_user 범위 변경 — 리프노드 연결에 영향 가능

    no_auth_user가 이제 클라이언트 연결에만 적용됩니다. 리프노드 등 비클라이언트 연결에서 no_auth_user를 암묵적으로 사용하던 구성이 있다면, 업그레이드 후 해당 연결에 명시적인 자격증명이 필요해집니다. 프로덕션 리프노드에 배포하기 전에 스테이징 환경에서 반드시 검증하세요.

주요 변경 (5)
  • 큐 구독이 비큐(non-queue) ACL deny 규칙을 우회하던 문제 수정
  • ACL deny 블록의 중첩 와일드카드 패턴이 올바르게 적용되지 않던 문제 수정
  • no_auth_user 옵션이 클라이언트 연결로만 범위 제한됨
  • 리프노드 인바운드 메시지 전체 경로에서 ACL 권한 검사가 누락되던 문제 수정 및 pre-CONNECT 패닉 버그 수정
  • WebSocket 전용 no_auth_user 설정 시 fast-path에서 올바르게 적용되도록 수정
원문

TiKV

Storage & Data2026년 4월 14일

TiKV v8.5.6은 컬럼 수준 권한 관리, 다차원 슬로우 쿼리 규칙, FK 체크 공유 잠금 지원과 함께 crossbeam skiplist 메모리 누수, 비관적 트랜잭션 데이터 불일치 등 주요 버그 13건을 수정했습니다.

  • security컬럼 수준 권한으로 민감 데이터 격리 — 기존 권한 설정을 재검토하세요

    TiDB가 MySQL 호환 컬럼 수준 GRANT/REVOKE를 지원합니다. 지금까지 뷰(View) 기반으로 특정 컬럼(PII, 금융 데이터 등) 접근을 제한했다면 이제 권한 레이어에서 직접 제어할 수 있습니다. 민감 컬럼이 포함된 테이블을 감사하고 최소 권한 원칙에 따라 컬럼 수준 GRANT를 적용하세요. 기존 권한 감사 결과가 컬럼 수준 제어를 반영하지 못했을 수 있으므로 사용자 권한 목록을 전면 재검토할 필요가 있습니다.

  • breaking통계 Version 1 지금 바로 마이그레이션 — 다음 릴리스에서 제거됩니다

    이번 릴리스에서 tidb_analyze_version=1이 공식 deprecated 처리됐고, 향후 버전에서 제거됩니다. 모든 인스턴스에서 SHOW VARIABLES LIKE 'tidb_analyze_version'으로 현황을 확인하세요. v1을 사용 중인 경우 v2로 전환하고 해당 테이블에 ANALYZE를 다시 실행해야 합니다. Version 2는 히스토그램 정확도가 더 높고 앞으로 유일하게 지원되는 방식입니다. 제거 시점에 쫓기기 전에 미리 전환하는 게 낫습니다.

  • enhancementFK 체크 공유 잠금 활성화로 쓰기 집중 워크로드 경합 해소

    소수의 부모 테이블 행을 참조하는 자식 테이블에 고동시 INSERT/UPDATE가 발생한다면 현재 배타적 잠금 경합이 심할 겁니다. tidb_foreign_key_check_in_shared_lock=ON으로 설정하고 스테이징에서 벤치마크해 보세요. 부모 테이블에 공유 잠금을 사용하면 FK 체크가 서로를 블록하지 않습니다. 잠금 의미 구조가 바뀌는 만큼 운영 적용 전 반드시 검증이 필요합니다. 비관적 트랜잭션 환경이라면 prewrite 재시도 불일치 버그(#11187) 수정도 포함됐으므로 TiKV 노드 패치 버전을 확인하세요.

주요 변경 (6)
  • 컬럼 수준 GRANT/REVOKE 지원 — MySQL과의 오랜 권한 호환성 격차 해소
  • tidb_slow_log_rules로 인스턴스/세션/SQL 단위에서 Query_time, Digest, Mem_max, KV_total 등 복합 조건 기반 슬로우 쿼리 로그 세밀 제어 가능
  • tidb_foreign_key_check_in_shared_lock=ON 설정 시 FK 체크에 공유 잠금 사용 — 대용량 자식 테이블 동시 쓰기 경합 완화
  • TiKV에 부하 기반 컴팩션 도입 — MVCC 읽기 오버헤드를 감지해 핫 Region을 자동으로 우선 컴팩션
  • 통계 Version 1(tidb_analyze_version=1) 및 TiDB Lightning 웹 UI 지원 중단(v8.5.7에서 제거 예정)
  • crossbeam skiplist 메모리 누수, 비관적 트랜잭션 prewrite 재시도 시 데이터 불일치, 디스크 가득 찬 노드에서 팔로워 읽기 차단 등 핵심 버그 수정
원문

wasmCloud

Orchestration & Management2026년 4월 14일

v2.0.3은 NATS 구독자 초기화 경쟁 조건 버그 수정, Kubernetes EndpointSlice 지원 추가, 컨테이너 비루트 소유권 설정, Helm 차트 확장 구성을 포함합니다.

  • security즉시 업그레이드: 컨테이너가 기본적으로 비루트로 실행됩니다

    이전 릴리스는 루트 소유권으로 실행되어 컨테이너 보안 관점에서 문제가 있었습니다. 이번 릴리스부터 비루트 소유권이 기본값으로 변경됐습니다. 볼륨 마운트나 루트 권한에 의존하는 init 컨테이너가 있다면 프로덕션 적용 전 반드시 테스트하고, 필요하면 파드 스펙의 fsGroup 또는 runAsUser 설정을 조정하세요.

  • breakingHelm 차트 이미지 태그 기본값 변경 — values 파일을 점검하세요

    기본 이미지 태그가 더 이상 하드코딩된 값을 사용하지 않고 chart.yaml의 appVersion을 따릅니다. values 파일에서 태그를 명시적으로 오버라이드하고 있다면 대부분 그대로 동작하겠지만, 기존 기본값 방식으로 이미지 버전을 고정했던 경우라면 차트 업그레이드 후 배포된 이미지 버전을 반드시 확인하세요.

  • enhancementKubernetes 1.21 이상이라면 EndpointSlice를 활성화하세요

    EndpointSlice는 기존 Endpoints API를 대체하는 방식으로, 백엔드 수가 많을 때 확장성이 훨씬 뛰어납니다. kube-apiserver 부하를 줄이고 기존 Endpoints API의 스케일 한계를 피하려면 Helm values에서 EndpointSlice 옵션을 활성화하세요. Kubernetes 1.21 이상 환경이라면 지금 바로 적용할 수 있습니다.

주요 변경 (6)
  • NATS 구독자 초기화 시 발생하는 경쟁 조건(race condition) 수정
  • Kubernetes EndpointSlice 지원 추가 — 백엔드 수가 많은 서비스 환경에서 필수
  • 컨테이너 소유권을 비루트(non-root)로 변경해 기본 보안 강화
  • Helm 차트에 TLS 설정, 커스텀 어노테이션, 레이블 옵션 추가
  • Helm 차트 기본 이미지 태그가 하드코딩된 값 대신 chart.yaml의 appVersion을 따르도록 변경
  • WASIp3 지원이 피처 플래그 뒤에 추가됨 — 실험적 기능으로 프로덕션 사용 불가
원문

OpenCost

Observability2026년 4월 13일

OpenCost v1.120.0은 OVH 클라우드 프로바이더 지원, AWS CUR 2.0 호환성을 추가하고, AWS·DigitalOcean·S3 통합 전반의 리소스 누수 및 버그를 수정했습니다.

  • breaking업그레이드 후 PV 비용 수치 검증 필요

    이전 버전에서 Ki/Mi/Gi/Ti 단위의 PV 용량을 잘못 파싱해 영구 볼륨 비용 할당이 틀렸을 가능성이 있습니다. 업그레이드 후 PV 비용 데이터를 반드시 확인하세요. 이상한 PV 비용 수치를 보고 있었다면 이번 수정으로 해결될 겁니다.

  • enhancementAWS CUR 2.0으로 전환 — 지금이 적기

    AWS가 CUR 1.0 지원 종료를 예고한 상황에서, 이번 릴리스로 CUR 2.0 지원이 추가됐습니다. 아직 CUR 1.0 내보내기를 사용 중이라면 AWS 빌링 내보내기 설정을 CUR 2.0으로 전환하고 OpenCost가 새 형식을 바라보도록 구성을 업데이트하세요. AWS가 강제 전환하기 전에 미리 진행하는 게 좋습니다.

  • enhancementSpot 미사용 팀은 Spot Data Feed 토글 비활성화로 로그 정리

    AWS Spot 인스턴스를 쓰지 않는 환경에서도 Spot 데이터 피드 관련 경고 로그가 계속 발생하는 문제가 있었습니다. 이제 설정 토글로 명시적으로 비활성화할 수 있으니, Spot을 사용하지 않는다면 해당 옵션을 꺼두는 게 좋습니다. 오해를 유발하는 로그도 함께 정리됩니다.

주요 변경 (7)
  • OVH 클라우드 프로바이더 통합 신규 추가
  • AWS CUR 2.0(Cost and Usage Report) 지원 추가
  • Prometheus 스크레이프 대상 파싱 시 메모리 누수 수정
  • 인제스터 종료 시 플러그인 프로세스가 좀비로 남는 문제 수정
  • Ki, Mi, Gi, Ti 단위를 잘못 파싱하던 PV 용량 계산 버그 수정
  • 얼로케이션 데이터에 계정 필드 추가, CSV 내보내기에 클러스터 이름 컬럼 추가
  • AWS Spot Data Feed 비활성화 설정 토글 추가
원문

Prometheus

Observability2026년 4월 13일

Prometheus v3.11.2은 웹 UI의 저장형 XSS 취약점(CVE-2026-40179)을 패치하고 Consul SD 버그 2건을 수정합니다. UI가 외부에 노출된 환경이라면 즉시 업그레이드하세요.

  • securityPrometheus UI가 노출된 환경이라면 CVE-2026-40179 즉시 패치

    스크레이프 대상이 메트릭 이름이나 레이블 값을 조작하면 UI에 악성 스크립트를 심을 수 있는 저장형 XSS입니다. 운영팀 외 사용자가 Prometheus UI에 접근할 수 있는 환경(내부 대시보드, 페더레이션 구성 등)이라면 즉각 v3.11.2로 업그레이드하세요. 당장 업그레이드가 어렵다면 네트워크 정책이나 인증 프록시로 UI 접근을 제한하는 것이 먼저입니다.

  • breaking업그레이드 후 Consul SD 스크레이프 대상 변경 여부 반드시 확인

    Consul Health API에 filter 파라미터가 잘못 적용되던 버그가 수정됐습니다. 의도치 않게 해당 동작에 의존하고 있었다면 업그레이드 후 발견되는 서비스 목록이 달라질 수 있습니다. 프로덕션 배포 전에 Consul SD 설정을 검토하고, 스크레이프 대상이 예상과 일치하는지 검증하세요.

  • enhancementConsul SD의 `health_filter`로 비정상 서비스 제거 간소화

    새로 추가된 `health_filter` 필드를 사용하면 SD 레이어에서 직접 Consul Health API 응답을 필터링할 수 있습니다. 지금까지 릴레이블링 규칙으로 비정상 인스턴스를 걸러내고 있었다면, `health_filter: healthy`로 설정해 그 규칙들을 정리하세요. 불필요한 타깃 변동(churn)도 줄어듭니다.

주요 변경 (3)
  • 보안: UI 툴팁·메트릭 탐색기에서 메트릭 이름·레이블 값 미이스케이프로 인한 저장형 XSS — CVE-2026-40179
  • Consul SD: Health API 필터링을 위한 `health_filter` 필드 신규 추가
  • Consul SD: filter 파라미터가 Health API에 잘못 적용되던 버그 수정
원문

OpenTelemetry

Observability2026년 4월 13일

v0.150.0은 소규모 버그 수정 릴리스입니다. print-config --unredacted 출력 누락, 내부 OTLP 익스포터 헤더 노출, debug 익스포터 인덱스 범위 초과 등 세 가지 버그를 고쳤습니다.

  • securitymarshaled config에서 내부 OTLP 익스포터 헤더 redact 처리

    내부 텔레메트리 OTLP 익스포터의 헤더가 config를 marshal할 때 평문으로 노출됐습니다. 헤더에 인증 토큰이 담길 수 있으므로 설정 스냅샷을 로그나 저장소에 기록하는 팀은 기존 저장본을 점검하세요. 업그레이드 후에는 marshal 시 자동으로 redact됩니다.

  • enhancementprint-config --unredacted 모드의 기본값 누락 버그 수정

    print-config 명령의 --unredacted 모드가 기본값 옵션을 모두 누락했던 버그가 수정됐습니다. confmap.WithUnredacted MarshalOption 도입으로 컴포넌트 기본값이 이제 정상 출력됩니다. 설정 감사나 디버깅에 print-config를 쓴다면 업그레이드 후 재실행해 출력이 완전한지 확인하세요.

주요 변경 (5)
  • 전 컴포넌트 semconv 패키지 1.38.0 → 1.40.0 업데이트
  • debug 익스포터의 프로파일 딕셔너리 인덱스 범위 초과 접근 수정
  • pdata/pprofile: 읽기 전용 입력에 대해 방어적 복사 적용
  • print-config --unredacted가 기본값 필드를 정상 출력하도록 수정
  • config marshal 시 내부 텔레메트리 OTLP 익스포터 헤더 자동 redact
원문

cert-manager

Security2026년 4월 11일

webhook.config와 webhook.volumes를 동시에 설정할 때 발생하는 Helm 차트 YAML 생성 버그를 수정하고, 취약점 해소를 위해 Go 1.26.2로 업그레이드한 패치 릴리스입니다.

  • security의존성 취약점 패치 포함 — 다음 유지보수 창에 업그레이드 예약

    Go 런타임과 의존성을 보고된 취약점 해소 목적으로 업데이트했습니다. 릴리스 노트에 구체적인 CVE ID가 명시되진 않았지만, cert-manager는 클러스터 내 인증서 발급을 담당하는 특권적 위치에 있는 컴포넌트입니다. 보안 패치는 미루지 않는 게 좋습니다.

  • breakingwebhook.config와 webhook.volumes를 함께 쓰고 있다면 즉시 업그레이드

    Helm values에 webhook.config와 webhook.volumes를 모두 설정한 환경이라면, 지금까지 잘못된 YAML이 생성됐을 가능성이 높습니다. 웹훅이 의도와 다른 설정으로 배포됐을 수 있으므로, v1.20.2로 업그레이드하고 재배포한 뒤 웹훅 파드의 볼륨 마운트와 설정이 정상인지 반드시 확인하세요.

주요 변경 (3)
  • webhook.config와 webhook.volumes를 함께 설정했을 때 잘못된 YAML이 생성되던 버그 수정
  • Go 런타임을 1.26.2로 업그레이드
  • 보고된 취약점 해소를 위한 Go 의존성 업데이트
원문

Envoy

Networking & Messaging2026년 4월 10일

Envoy v1.37.2는 리스너 제거 시 크래시, 동적 모듈 필터의 불완전한 바디 전달, 내부 리다이렉트 버퍼 오버플로우로 인한 요청 행 문제를 수정한 패치 릴리스입니다.

  • breaking프로세스 레벨 액세스 로그 레이트 리미터 사용 중이라면 즉시 업그레이드

    프로세스 레벨 액세스 로그 레이트 리미터를 설정한 상태에서 xDS를 통한 리스너 변경이나 제거가 발생하면 프로세스가 크래시합니다. 이는 드문 엣지 케이스가 아닙니다. 리스너 제거는 일상적인 설정 업데이트에서도 발생합니다. 다음 설정 배포 전에 v1.37.2로 업그레이드하세요.

  • breaking동적 모듈 필터 파이프라인의 바디 잘림 현상 확인 필요

    동적 모듈 필터를 ext_proc, gRPC 트랜스코딩, JWT 바디 검사 등 버퍼링을 수행하는 필터와 함께 실행 중이라면, 에러 없이 잘린 페이로드가 업스트림이나 클라이언트로 전달됐을 가능성이 있습니다. 업그레이드 후 스테이징에서 바디 크기 불일치 로그를 점검하고 동작을 검증하세요.

  • breaking대용량 요청 바디 + 내부 리다이렉트 조합은 요청 행(hang) 위험

    내부 리다이렉트를 사용하는 라우트에서 큰 POST/PUT 바디로 리다이렉트가 트리거되면 요청이 에러 없이 멈춥니다. 업스트림 타임아웃만이 유일한 안전망인 셈입니다. 즉시 업그레이드하고, 단기 대응책으로 해당 라우트의 요청 버퍼 한도를 임시로 줄이는 것도 고려할 만합니다.

주요 변경 (5)
  • 프로세스 레벨 액세스 로그 레이트 리미터 사용 시 리스너 제거로 발생하던 크래시 수정
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 잘라 전달하던 버그 수정
  • 내부 리다이렉트 중 요청 버퍼 오버플로우 시 요청이 무한 대기하던 문제 수정
  • Docker 릴리스 이미지 업데이트 및 수정
  • Stats 서브시스템 업데이트
원문

Envoy

Networking & Messaging2026년 4월 10일

v1.36.6은 동적 모듈 필터의 불완전한 바디 전달 문제와 내부 리다이렉트 시 버퍼 초과로 인한 요청 hang 문제를 수정한 패치 릴리스입니다.

  • breaking동적 모듈 필터 + 버퍼링 필터 조합 사용 중이라면 즉시 업그레이드

    필터 체인에 동적 모듈 필터와 버퍼링 필터(ext_proc, grpc-web, 커스텀 버퍼링 필터 등)가 함께 있다면, 동적 모듈이 잘린 바디를 받고 있었던 겁니다. 성능 문제가 아닌 데이터 정합성 버그입니다. v1.36.6으로 업그레이드한 뒤, 동적 모듈이 전체 페이로드를 올바르게 처리하는지 반드시 검증하세요.

  • breaking내부 리다이렉트 사용 환경에서 hang 위험 — 즉시 패치 필요

    요청 바디가 버퍼 한도를 초과할 수 있는 환경에서 내부 리다이렉트를 쓴다면, 완료되지 않는 요청이 커넥션을 붙잡는 상황이 발생할 수 있습니다. 트래픽이 몰리는 환경에서 특히 위험합니다. 즉시 업그레이드하고, 그 전까지는 버퍼 한도를 높이거나 내부 리다이렉트를 일시 비활성화하는 것을 검토하세요.

주요 변경 (3)
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 불완전하게 전달하던 버그 수정
  • 요청 버퍼 초과 시 내부 리다이렉트 로직이 요청을 무기한 hang시키던 문제 해결
  • Docker 릴리스 이미지 업데이트 및 수정
원문

OpenFGA

Security2026년 4월 10일

v1.14.1은 AuthZEN 디스커버리의 호스트 헤더 포이즈닝 취약점을 패치하고 취약한 Docker 의존성을 제거했습니다. ListObjects 성능도 소폭 개선됐습니다.

  • securityAuthZEN 호스트 헤더 포이즈닝 취약점, 즉시 패치 필요

    AuthZEN의 well-known 디스커버리 엔드포인트가 요청의 Host 헤더로 URL을 구성하고 있었습니다. 공격자가 이를 악용하면 클라이언트를 악성 엔드포인트로 유도할 수 있었습니다. AuthZEN 디스커버리 메타데이터를 외부에 노출하고 있다면 v1.14.1로 즉시 업그레이드하세요. 별도 설정 변경은 불필요하지만, 서버 설정의 authzen.baseURL이 올바르게 지정되어 있는지 확인하는 것이 좋습니다.

  • security테스트 바이너리를 컨테이너 이미지에 포함하고 있다면 점검 필요

    github.com/docker/docker 패키지는 알려진 CVE가 있으며 테스트 코드에서만 사용됐습니다. 프로덕션 빌드 자체는 영향이 없지만, 파이프라인에서 테스트 바이너리나 vendor 디렉터리를 컨테이너 이미지에 포함하는 경우 업그레이드 후 취약한 패키지가 제거됐는지 확인하세요.

  • enhancementKubernetes 환경에서 셧다운 타임아웃 명시적으로 설정하세요

    새로 추가된 셧다운 타임아웃 옵션으로 OpenFGA가 종료 전 진행 중인 요청을 얼마나 기다릴지 제어할 수 있습니다. 설정이 없으면 파드 재시작 시 요청 오류가 발생할 수 있습니다. Kubernetes의 terminationGracePeriodSeconds보다 약간 짧게 설정해 두면 안전한 트래픽 전환이 가능합니다.

주요 변경 (5)
  • 보안 수정: AuthZEN 디스커버리 메타데이터가 요청의 Host 헤더 대신 설정된 baseURL을 사용하도록 변경
  • 취약한 github.com/docker/docker 테스트 의존성 제거 후 Moby 클라이언트 & API로 교체
  • 서버 셧다운 타임아웃 설정 옵션 추가 — Kubernetes 환경의 graceful drain에 유용
  • ListObjects 힙 할당 감소로 실질적인 레이턴시 개선
  • 캐시 키 생성 시 fmt 제거 및 제어 문자 정규화 범위를 튜플, 조건, 컨텍스트까지 확장
원문

Dapr

Orchestration & Management2026년 4월 10일

Dapr 1.17.4는 워크플로우 정확성, Pulsar OOM 위험, Placement 지연으로 인한 Actor 동결, Go 표준 라이브러리 보안 취약점 등 7개 버그를 수정했습니다.

  • securityGo 표준 라이브러리 CVE 패치 — 즉시 업그레이드 권장

    Go 1.25.9는 archive/tar, crypto/tls, crypto/x509, html/template, 컴파일러에서 발견된 취약점을 수정합니다. Dapr의 모든 바이너리와 Docker 이미지가 패치된 툴체인으로 재빌드됐습니다. 설정 변경 없이 버전만 1.17.4로 올리면 됩니다.

  • breakingPulsar processMode 동작 변경 — 컴포넌트 설정 검토 필수

    기존에 Pulsar 컴포넌트 YAML에 processMode를 설정했다면 그 값은 사실상 무시되고 있었습니다. 업그레이드 후에는 설정값이 실제로 적용됩니다. processMode: sync로 순서 보장을 기대했지만 실제로는 async 모드로 돌고 있었다면, 업그레이드 후 동작이 달라집니다. async 모드는 이제 maxConcurrentHandlers(기본값 100)로 동시성이 제한됩니다. 운영 배포 전 Pulsar 컴포넌트 메타데이터를 반드시 점검하고 처리량 동작을 테스트하세요.

  • enhancementPlacement 지연으로 인한 Actor·워크플로우 동결 위험 해소

    Placement 전파 동결 버그는 롤링 업데이트 중 연쇄적인 헬스 체크 실패를 유발할 수 있었고, Kubernetes가 Pod를 비정상으로 판단해 재시작하면서 상황이 더 악화되는 패턴이었습니다. 1.17.4부터는 느린 피어 감지 시 치명적 종료 대신 재연결을 시도합니다. 롤링 업데이트 중 Actor 행(hang)이나 zombie daprd 프로세스를 경험한 적 있다면 이 버그가 원인이었을 가능성이 큽니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.

주요 변경 (5)
  • Pulsar pub/sub가 컴포넌트 YAML의 processMode를 올바르게 읽고 async 모드에서 동시성 한도를 적용 — 기존에는 고부하 시 Pod OOM 가능성 있었음
  • 원격 앱이 오프라인 상태일 때 크로스 앱 워크플로우가 PENDING으로 무한 대기하던 문제 수정 — 디스패치별 2초 타임아웃과 사전 저장 로직 적용
  • ContinueAsNew 고이벤트량 환경에서 이벤트 유실·중복 처리 수정 — 상태 스냅샷/복원과 inbox 교체로 두 가지 근본 원인 해결
  • 느린 사이드카 하나가 전체 네임스페이스의 Actor·워크플로우 작업을 동결시키던 문제 수정 — Placement 타임아웃 시 재연결 로직으로 전환
  • 멀티노드 클러스터에서 스케줄러 Pod 재시작 후 잡 트리거가 무관한 클러스터 이벤트 전까지 멈추던 문제 수정 — 커넥터별 독립 재시도 방식으로 변경
원문
← 최신이전 →
월별 보기