RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 4월해제 ×

Helm

Kubernetes Core2026년 4월 9일

차트 추출 시 발생하는 경로 순회 취약점을 수정한 보안 패치입니다. 외부 출처 차트를 사용하는 환경은 즉시 업그레이드하세요.

  • security차트 추출 경로 순회 취약점 — 즉시 업그레이드 필요

    Chart.yaml의 차트 이름에 '..' 같은 점-세그먼트를 사용하면 Helm이 의도된 추출 디렉토리 밖으로 파일을 쓸 수 있는 전형적인 경로 순회 공격입니다. 퍼블릭 저장소, 서드파티 레지스트리, 또는 완전히 신뢰할 수 없는 출처의 차트를 파이프라인에서 사용하고 있다면 즉시 v3.20.2로 업그레이드하세요. 내부에서만 작성한 차트를 에어갭 환경에서 운영하는 팀은 위험도가 낮지만, 다음 유지보수 윈도우에 업그레이드하는 것이 바람직합니다.

주요 변경 (3)
  • GHSA-hr2v-4r36-88hr 수정: Chart.yaml의 점-세그먼트(dot-segment) 이름을 이용해 차트 추출 경로를 의도치 않은 디렉토리로 우회할 수 있는 취약점 패치
  • 기능 변경 없음 — 순수 보안 수정 릴리스
  • 다음 패치 릴리스(4.1.5 / 3.20.3)는 2026년 4월 8일 예정
원문

Linkerd

Networking & Messaging2026년 4월 9일

프록시 v2.348.0 업데이트와 Go/Rust/JS 의존성 정리가 전부인 유지보수 릴리스입니다. 기능 변경이나 버그 수정은 없습니다.

  • security웹 대시보드 lodash 업데이트 — 긴급도는 낮지만 SBOM 확인 권장

    lodash가 4.17.23에서 4.18.1로 올라갔습니다. Linkerd 대시보드는 보통 내부망에서 접근하므로 외부 노출 위험은 낮습니다. 다만 팀에서 프론트엔드 의존성 CVE를 관리하고 있다면 SBOM 도구에서 열린 권고 사항이 해소됐는지 확인하세요.

  • enhancement프록시 v2.348.0 — 런타임 변경 여부는 프록시 릴리스 노트 별도 확인

    실질적인 런타임 변경이 있을 수 있는 컴포넌트는 프록시뿐입니다. 릴리스 노트에 프록시 수준의 세부 내용은 나오지 않으므로, 특정 수정 사항이나 동작 변경을 추적 중이라면 linkerd2-proxy v2.348.0 릴리스 노트를 따로 확인한 뒤 프로덕션 배포를 결정하세요.

  • enhancement프록시 업데이트가 필요한 경우가 아니면 업그레이드 서두를 필요 없음

    순수 유지보수 릴리스입니다. edge 빌드를 꾸준히 추적 중이라면 업그레이드 자체는 부담이 없습니다. edge-26.4.1에서 올라와야 할 기능적 이유는 없는 만큼, 프록시 변경 사항이 직접적으로 필요한 팀만 업그레이드를 검토하면 충분합니다.

주요 변경 (5)
  • 프록시 v2.348.0으로 업데이트
  • tokio 런타임 1.50.0 → 1.51.1 (한 사이클에 두 단계 업그레이드)
  • gRPC-Go 1.80.0으로 업데이트
  • 웹 대시보드 lodash 4.18.1로 업데이트
  • destination 컨트롤러 API 테스트 추가로 회귀 감지 커버리지 강화
원문

Falco

Security2026년 4월 9일

Falco 0.43.1은 libs를 0.23.2로, 컨테이너 플러그인을 0.6.4로 올린 최소 패치 릴리스입니다. 기능 변경이나 버그 수정은 없습니다.

  • enhancement컨테이너 플러그인 0.6.4 변경 사항 확인 후 업그레이드 결정

    이번 릴리스의 실질적 이유는 컨테이너 플러그인 0.6.4와 libs 0.23.2 동반 반영입니다. Falco 룰에서 컨테이너 메타데이터 보강 기능을 활용 중이라면 컨테이너 플러그인 0.6.4 릴리스 노트를 먼저 확인하세요. 그렇지 않다면 0.43.0에서의 업그레이드는 위험 부담이 낮고, 긴급하게 적용할 필요는 없습니다.

주요 변경 (4)
  • libs 버전을 0.23.2로 업데이트
  • 컨테이너 플러그인을 0.6.4로 업데이트
  • 드라이버는 9.1.0+driver 유지
  • 머지된 PR 1건, 내부 변경 없음
원문

Helm

Kubernetes Core2026년 4월 9일

Helm v4.1.4는 보안 전용 패치로, 차트 경로 탈출, 플러그인 서명 우회, 플러그인 버전 경로 탈출 등 세 가지 취약점을 수정했습니다.

  • security즉시 업그레이드 — 세 CVE 모두 외부 입력으로 악용 가능

    차트 추출 경로 우회와 플러그인 버전 경로 탈출은 파일시스템의 임의 위치에 파일을 쓸 수 있게 합니다. 서명 우회 취약점은 배포 채널을 제어할 수 있는 공격자가 서명되지 않은 플러그인을 설치하도록 허용합니다. 외부 또는 반신뢰 소스에서 차트나 플러그인을 가져오는 CI/CD 파이프라인이 있다면, 이번 패치 이전 버전에서는 노출 상태입니다. 유지보수 윈도우를 기다리지 말고 v4.1.4(또는 4월 8일 출시 예정인 v3.20.3)로 즉시 업그레이드하세요.

  • security업그레이드 전 설치된 플러그인 출처를 반드시 점검

    GHSA-q5jf-9vfq-h4h7 취약점으로 인해, 플러그인 검증이 활성화된 상태에서도 .prov 파일이 없으면 서명되지 않은 플러그인이 설치될 수 있었습니다. 업그레이드 전에 'helm plugin list'로 설치된 플러그인을 확인하고 출처를 수동 검증하세요. 업그레이드 후에는 공식 소스에서 플러그인을 재설치해 서명 검증이 올바르게 동작하는지 확인하는 게 좋습니다.

  • enhancementCI 파이프라인에서 Helm 버전을 v4.1.4로 명시적 고정

    'latest' 또는 마이너 버전 태그로 Helm을 참조하고 있다면 v4.1.4로 정확히 고정하세요. 이번 릴리스에서 Helm 팀이 CodeQL 액션을 커밋 SHA로 고정한 것처럼, 파이프라인의 모든 툴체인 의존성에 동일한 원칙을 적용하는 것이 좋습니다.

주요 변경 (4)
  • GHSA-hr2v-4r36-88hr: Chart.yaml의 dot-segment 이름을 악용해 지정된 디렉터리 외부로 파일 추출 경로를 우회 가능
  • GHSA-q5jf-9vfq-h4h7: .prov 파일 누락 시 플러그인 서명 검증이 통과되어 서명되지 않은 플러그인 설치 허용
  • GHSA-vmx8-mqv2-9gmg: 플러그인 메타데이터 version 필드의 경로 탈출로 Helm 플러그인 디렉터리 외부에 임의 파일 쓰기 가능
  • 기능 변경이나 동작 추가 없음 — 순수 보안 수정만 포함
원문
Open Policy Agent (OPA)v1.15.2원문2026년 4월 8일

Keycloak

Security2026년 4월 8일

Keycloak 26.6.0은 JWT Authorization Grant, Federated Client Auth, Workflows, 무중단 패치 릴리스를 정식 지원으로 격상하면서, UMA·SCIM·Organizations 관련 보안 버그 다수를 수정했습니다.

  • securitySCIM·UMA 보안 취약점 즉시 패치 필요

    SCIM에서 IDOR 방식의 리소스 수정 및 그룹 관리 권한 우회가 가능했던 두 가지 버그가 수정됐습니다. UMA 권한 부여는 만료된 ID 토큰이나 다른 클라이언트용 토큰을 수락하는 문제도 함께 고쳐졌습니다. SCIM이나 UMA를 사용 중이라면 즉시 26.6.0으로 업그레이드하세요. 별도 설정 변경은 불필요하지만, 사용 중인 SCIM 플러그인/익스텐션이 새 유효성 검사와 호환되는지 확인하세요.

  • breaking$ 문자 포함 시크릿은 KCRAW_ 프리픽스로 전환해야 함

    시크릿 매니저 등에서 $ 문자가 포함된 패스워드를 환경변수로 주입할 경우, KC_ 프리픽스는 SmallRye 표현식 평가로 값을 묵시적으로 변조합니다. KC_<KEY> 대신 KCRAW_<KEY>를 사용하면 값이 그대로 유지됩니다. 업그레이드 전에 기존 환경변수를 전수 점검하세요. ${ 또는 $$ 패턴이 포함된 시크릿은 이전 버전에서 이미 깨져 있을 수 있습니다.

  • enhancementOperator 배포에서 무중단 롤링 업데이트 활성화

    무중단 패치 릴리스가 기본 활성화됐습니다. Operator로 Keycloak을 운영 중이라면 업데이트 전략을 명시적으로 Auto로 설정하세요. 아울러 새로 도입된 HTTP Graceful Shutdown 기본값(지연 1초, 타임아웃 1초)을 검토하고, 리버스 프록시의 연결 드레이닝이 더 길게 걸리는 환경(특히 비-Kubernetes 환경이나 장기 연결 사용 구성)에서는 해당 값을 늘려 설정하세요.

주요 변경 (7)
  • JWT Authorization Grant(RFC 7523)와 Federated Client Authentication 정식 지원 — 클라이언트별 시크릿 관리 없이 외부→내부 토큰 교환 가능
  • 무중단 패치 릴리스 기본 활성화 — Operator 사용 시 업데이트 전략을 Auto로 설정해야 효과 적용
  • KCRAW_ 환경변수 프리픽스 도입 — $ 문자 포함 패스워드의 SmallRye 표현식 평가로 인한 묵시적 변조 문제 해결
  • UMA 권한 부여가 만료된 ID 토큰 및 다른 클라이언트 발행 토큰을 거부하도록 수정 (#46716, #46717)
  • SCIM IDOR 버그 수정 — PUT 엔드포인트의 body ID 재정의 공격 및 그룹 관리 권한 우회 패치 (#46658, #47536)
  • OTP와 비밀번호 브루트포스 보호를 기본적으로 분리해 OTP 우회 공격 차단 (#46164)
  • Keycloak 및 KeycloakRealmImport CRD가 v2beta1로 승격
원문

Flux

CI/CD & App Delivery2026년 4월 7일

Flux v2.8.5는 Kustomization을 멈추게 하던 캐시 경쟁 조건 버그와 Azure Blob 접두사 미적용 문제를 수정하고, GCR Receiver 검증 필드를 추가한 패치 릴리스입니다.

  • breakingKustomization이 멈춰 있다면 이 패치로 해결되겠습니다

    조정 타임아웃이나 취소 이후 Kustomization이 stuck 상태로 남아 수동으로 flux reconcile을 실행하거나 파드를 재시작해야 했다면, kustomize-controller v1.8.3의 경쟁 조건 수정이 바로 이 문제를 해결합니다. v2.8.5로 업그레이드한 뒤 조정 루프를 모니터링하세요. 별도 설정 변경은 없으며, 기존에 멈춰 있던 Kustomization이 자동으로 복구되는지 확인하면 됩니다.

  • breaking업그레이드 후 Azure Blob prefix 필터링 동작을 반드시 검증하세요

    Azure Blob Storage 기반 Bucket 소스에 prefix를 설정했다면, 기존에는 해당 옵션이 실제로 적용되지 않아 의도보다 더 많은 오브젝트를 동기화하고 있었습니다. v2.8.5 업그레이드 후 prefix 필터가 실제로 작동하므로, 예상한 블롭 범위만 동기화되는지 확인하고 기존에 무시되던 경로가 배포에 영향을 주지 않는지 검증해야 합니다.

  • enhancementGCR 웹훅 보안을 email/audience 필드로 강화하세요

    GCR Receiver에 선택적 'email'과 'audience' 필드가 추가됐습니다. GCR 이미지 푸시 웹훅으로 Flux 조정을 트리거하고 있다면, Receiver 스펙에 이 필드를 추가해 서비스 계정 ID와 토큰 대상을 검증하도록 설정하세요. 위조된 웹훅 요청의 위험을 낮출 수 있습니다. 선택 사항이므로 기존 설정은 그대로 동작하지만, 보안 요구사항이 높은 환경에서는 적용을 권장합니다.

주요 변경 (5)
  • kustomize-controller 경쟁 조건 수정: 취소된 조정 작업이 남긴 스테일 캐시로 Kustomization이 멈추던 문제 해결
  • Azure Blob Storage 소스 수정: prefix 옵션이 스토리지 클라이언트에 전달되지 않던 버그 수정 (기존에는 조용히 무시됨)
  • source-controller에서 비밀번호 없는 암호화 SSH 키 사용 시 오류 메시지 개선
  • notification-controller GCR Receiver에 'email' 및 'audience' 선택 필드 추가로 웹훅 검증 강화
  • notification-controller에 Azure Event Hub 관리 ID 인증 예시 매니페스트 추가
원문

Flux

CI/CD & App Delivery2026년 4월 7일

Flux v2.8.4는 CLI 전용 패치 릴리스로, Windows에서의 'flux build/diff ks' 오류와 'create kustomization'의 --source 플래그 유효성 검사 문제를 수정했습니다.

  • breaking'create kustomization' 스크립트의 --source 값 점검 필요

    --source 플래그 유효성 검사가 추가되면서, 기존에 잘못된 source 참조를 넘겨도 통과되던 스크립트가 이제 명시적으로 실패합니다. CI/CD 파이프라인에 새 CLI를 배포하기 전에 자동화 스크립트를 먼저 테스트해 두세요.

  • enhancementWindows 사용자라면 즉시 CLI 업그레이드 필요

    Windows 워크스테이션이나 CI 러너에서 flux build ks / flux diff ks를 쓰고 있다면 해당 명령이 제대로 동작하지 않았을 겁니다. CLI를 v2.8.4로 업그레이드하면 되고, 클러스터 측 변경은 필요 없습니다.

주요 변경 (3)
  • Windows에서 'flux build ks' 및 'flux diff ks' 명령 동작 복구
  • 'flux create kustomization'의 --source 플래그 유효성 검사 추가로 잘못된 입력 조기 차단
  • fluxcd/pkg 의존성 패키지 업데이트
원문

OpenFGA

Security2026년 4월 3일

v1.14.0은 ListObjects의 잠재적 데드락을 수정하고, 교집합 알고리즘 성능을 개선하며, BatchCheck 캐싱을 추가합니다. PostgreSQL 사용자에게 영향을 주는 SQL 직렬화 버그도 함께 수정됩니다.

  • securityPostgreSQL 사용자: SQL 직렬화 수정 적용 필수

    TupleOperation 직렬화 버그와 pgx.ErrNoRows 오류 처리 문제는 PostgreSQL 환경에서 데이터 불일치나 잘못된 오류 처리로 이어질 수 있습니다. Postgres 기반으로 OpenFGA를 운영 중이라면 이 수정 사항만으로도 업그레이드 이유가 충분합니다. 업그레이드 후 튜플 쓰기/읽기 동작을 반드시 검증하세요.

  • breakingCVE-2026-33729 검토 후 즉시 업그레이드

    릴리스 노트에 CVE-2026-33729가 명시적으로 언급됩니다. 마이너 릴리스에 CVE 업데이트가 포함된 경우 즉각 대응이 필요합니다. CVE 세부 내용이 공개되기 전에 v1.14.0으로 업그레이드하고, 배포 환경의 노출 범위를 점검하세요.

  • enhancement고동시성 환경에서 ListObjects 데드락 수정이 핵심

    ListObjects 파이프라인의 데드락은 실제 프로덕션 부하에서만 나타나는 유형의 버그입니다. ListObjects를 대량으로, 특히 동시 호출 환경에서 사용하고 있다면 이 수정이 필수적입니다. 업그레이드 후 실제 동시성 패턴으로 ListObjects 스트레스 테스트를 실행해 안정성을 확인하세요.

  • enhancementBatchCheck 캐싱으로 대규모 권한 검사 레이턴시 절감

    튜플이나 조건이 겹치는 BatchCheck를 반복 호출하는 경우, 새 캐싱 레이어가 레이턴시와 백엔드 부하를 낮춰줄 겁니다. 별도 설정 변경 없이 자동 적용되는 것으로 보이지만, 새로 추가된 튜플 이터레이터 쿼리 통계를 활용해 실제 환경에서 개선 효과를 모니터링하세요.

주요 변경 (5)
  • ListObjects 파이프라인 알고리즘의 잠재적 데드락 수정으로 동시 부하 환경에서의 안정성 향상
  • 교집합(intersection) 알고리즘 개선으로 레이턴시 감소 및 메모리 사용량 절감
  • BatchCheck 결과 캐싱 추가로 중복 권한 검사 요청 감소
  • PostgreSQL 백엔드의 TupleOperation 직렬화 버그 및 pgx.ErrNoRows 오류 처리 수정
  • 튜플 이터레이터 쿼리 통계 추가로 DB 쿼리 동작 관찰 가능성 개선
원문

Lima

Kubernetes Core2026년 4월 3일

Lima v2.1.1은 Windows 바이너리 아티팩트 추가와 소수의 엣지 케이스 버그 수정에 집중한 패치 릴리스이며, nerdctl 보안 업데이트가 포함되어 있습니다.

  • securitynerdctl 배포판 업데이트로 BuildKit·CNI 보안 패치 적용

    번들된 nerdctl이 v2.2.1에서 v2.2.2로 올라가면서 BuildKit 0.28.1과 CNI plugins 1.9.1이 함께 업데이트됐습니다. 두 업스트림 모두 보안 수정이 포함되어 있습니다. Lima의 nerdctl 템플릿으로 컨테이너 워크로드를 운영 중이라면 v2.1.1로 빠르게 업그레이드하고, BuildKit 및 CNI plugins 릴리스 노트에서 본인 환경에 해당하는 CVE를 직접 확인하세요.

  • enhancementWindows 사용자는 공식 바이너리로 전환

    v2.1.1부터 Lima의 Windows 바이너리가 공식 릴리스에 포함됩니다. 팀 내 Windows 개발자(예: WSL2 기반 Lima 사용자)가 있다면 커스텀 빌드 대신 공식 릴리스 바이너리를 사용하도록 안내하세요. 온보딩이 간소화되고 검증된 빌드를 일관되게 유지할 수 있습니다.

  • enhancement기업 환경 Mac 사용자의 UID 범위 오류 해결

    macOS 게스트가 이제 관례적인 UID 범위 밖의 값도 수용합니다. LDAP이나 Active Directory로 관리되는 기업 Mac에서 Lima를 사용하다 원인 불명의 오류를 겪었던 경우라면 이번 수정으로 해결됩니다. 별도 설정 변경 없이 업그레이드만 하면 됩니다.

주요 변경 (5)
  • 공식 릴리스에 Windows 바이너리 아티팩트 추가 — Windows에서 소스 빌드 불필요
  • macOS 게스트: 비표준 UID 범위 허용 — 기업 디렉토리(LDAP 등) 환경에서 발생하던 오류 해결
  • Virtualization Framework(vz): `audio.device=none` 설정이 무시되던 버그 수정
  • nerdctl v2.2.2로 업그레이드 — BuildKit 0.28.1, CNI plugins 1.9.1 보안 패치 포함
  • AlmaLinux Kitten 10 템플릿에 riscv64 아키텍처 지원 추가
원문

Linkerd

Networking & Messaging2026년 4월 2일

프록시 두 차례 업데이트(v2.346.0, v2.347.0), 멀티클러스터 RBAC 누락 리소스 추가, Viz Prometheus 포트명 설정 수정이 핵심입니다. 나머지는 의존성 유지보수입니다.

  • security암호화 의존성 패치 업데이트 — 꾸준한 업그레이드 주기 유지

    openssl, rustls-webpki, aws-lc-rs, aws-lc-sys 모두 패치 버전 업데이트됐습니다. 공개된 CVE는 없지만 프록시 핵심 암호화 라이브러리인 만큼, 여러 릴리스를 건너뛰지 말고 정기적인 edge 업그레이드 주기를 유지하는 게 좋습니다.

  • breakingViz 사용 중이라면 업그레이드 후 Prometheus 메트릭 확인 필수

    admin 포트명 변경에 맞게 Prometheus 설정이 수정됐습니다. 이전 edge 빌드에서 업그레이드한 경우, 대시보드 메트릭이 정상적으로 표시되는지 바로 확인하세요. 수정 전에는 스크레이프가 조용히 실패하고 있었을 수 있으므로, Prometheus 타겟 상태를 직접 점검하는 게 좋습니다.

  • enhancement멀티클러스터 사용자: AuthorizationPolicy 커버리지 재검토

    멀티클러스터 익스텐션에 Server 및 AuthorizationPolicy 리소스가 누락되어 있었습니다. 업그레이드 후 크로스 클러스터 인가 정책이 의도대로 적용되는지 확인하세요. 기본 정책 설정에 따라 특정 트래픽 경로에서 예상치 못한 허용/차단이 발생했을 수 있습니다.

주요 변경 (5)
  • 프록시 v2.346.0 → v2.347.0 두 차례 업데이트 — 해당 프록시 릴리스의 버그 수정 포함
  • 멀티클러스터: Server/AuthorizationPolicy 리소스 누락 문제 수정으로 크로스 클러스터 RBAC 적용 범위 보완
  • Viz: Prometheus 스크레이프 설정이 변경된 admin 포트명과 불일치하던 문제 수정 — 메트릭 누락이 발생했을 수 있음
  • openssl, rustls-webpki, aws-lc-rs, zerocopy 등 암호화 관련 의존성 패치 업데이트
  • @olix0r(Oliver Gould) 명예 메인테이너(emeritus) 전환
원문

Keycloak

Security2026년 4월 2일

26.5.7은 권한 상승, 리다이렉트 URI 우회, 비인가 교차 사용자 권한 부여 등 7개 CVE를 수정한 긴급 보안 릴리스입니다. 즉시 업그레이드하십시오.

  • security즉시 패치 — 복수의 고위험 CVE 포함

    이번 릴리스에서 7개의 CVE가 수정됩니다. 권한 상승(CVE-2026-4282), 리다이렉트 URI 우회(CVE-2026-3872), 교차 사용자 권한 인젝션(CVE-2026-4636), 비인증 DoS(CVE-2026-4634)까지 공격 범위가 넓습니다. 특히 UMA 정책을 쓰거나 Admin REST API를 외부에 노출하는 환경이라면 긴급 패치로 취급해야 합니다. 변경 관리 프로세스를 최대한 단축해 26.5.7로 업그레이드하십시오.

  • security업그레이드 후 Admin API 접근 권한과 UMA 정책 구성 감사 필요

    CVE-2025-14083(Admin API 정보 노출)과 CVE-2026-4636(UMA 교차 사용자 권한 부여)은 엔드포인트 접근 제어가 제대로 적용되지 않았음을 보여줍니다. 업그레이드 후 Admin REST API에 접근 가능한 클라이언트와 서비스 계정을 점검하고, UMA 리소스 및 정책 정의에서 비정상적인 권한 부여 내역이 없는지 확인하십시오. 패치만으로는 이미 잘못 구성된 접근 경로를 닫을 수 없습니다.

  • enhancementQuarkus 3.27.3 업그레이드 — 런타임 동작 변경 여부 확인 권장

    Quarkus 런타임 업그레이드로 CVE-2026-1002(vertx-core 정적 파일 핸들러 캐시 조작 DoS)도 함께 수정됩니다. 커스텀 테마를 사용하거나 Keycloak을 통해 정적 콘텐츠를 제공한다면, 업그레이드 후 자산이 정상적으로 로드되는지 확인하십시오. Quarkus 마이너 버전 업그레이드는 기본 설정이 바뀌는 경우가 있으므로 로그인 플로우 스모크 테스트를 한 번 돌려보는 것이 좋습니다.

주요 변경 (5)
  • CVE-2025-14083: Admin REST API 접근 제어 미흡으로 비인가 사용자에게 정보 노출
  • CVE-2026-4282: SingleUseObjectProvider 격리 결함으로 위조된 인증 코드 생성 가능 — 권한 상승 위험
  • CVE-2026-3872: OIDC 인증 엔드포인트에서 ..;/ 경로 순회로 리다이렉트 URI 검증 우회
  • CVE-2026-4636: UMA 정책 리소스 인젝션으로 비인가 교차 사용자 권한 부여 가능
  • CVE-2026-4634: 스코프 처리 로직을 악용한 애플리케이션 수준 DoS — 인증 없이도 트리거 가능
원문

Prometheus

Observability2026년 4월 2일

v3.11.0은 새로운 서비스 디스커버리 기능과 TSDB 실험적 기능을 대거 추가했습니다. 특히 보존 기간이 설정값보다 100만 배 길어지는 심각한 버그가 수정되었으니 즉시 업그레이드해야 합니다.

  • breakingTSDB 보존 기간 버그 수정 — 디스크 폭증 전에 업그레이드

    config 파일에서 `storage.tsdb.retention.time`을 설정할 때 단위 파싱 오류로 인해 실제 보존 기간이 설정값의 100만 배로 동작했습니다. CLI 플래그 대신 config 파일로 retention을 지정하고 있다면 디스크가 예상보다 훨씬 많은 데이터를 보유하고 있을 수 있습니다. 3.11.0으로 업그레이드 후 디스크 사용량을 반드시 확인하세요. 아울러 config에서 retention 설정을 제거하면 CLI 플래그 값으로 폴백되도록 동작이 바뀌었으니 설정을 재검토하세요.

  • breakingHetzner hcloud SD 레이블 2026년 7월 전에 마이그레이션

    `__meta_hetzner_datacenter`, `__meta_hetzner_hcloud_datacenter_location*` 레이블은 hcloud 역할에서 2026년 7월 1일부터 동작하지 않습니다. relabeling 설정과 recording rule을 전수 점검해 `__meta_hetzner_hcloud_location`, `__meta_hetzner_hcloud_location_network_zone`으로 교체하세요. robot 역할의 기존 레이블은 하위 호환성을 위해 유지됩니다.

  • enhancementretention.percentage로 TSDB 디스크 사용량 상한 설정

    새로 추가된 `storage.tsdb.retention.percentage` 설정을 사용하면 TSDB가 사용할 수 있는 디스크 비율의 상한을 지정할 수 있습니다. 데이터 수집량이 가변적인 환경에서 바이트 기반 상한을 추정하는 것보다 훨씬 관리하기 쉽습니다. 기존 시간 기반 retention을 대체하기보다는 함께 설정해 두 조건 모두 적용되도록 운영하는 것을 권장합니다.

주요 변경 (6)
  • 긴급 버그: TSDB retention time 단위 오류로 보존 기간이 설정값의 1e6배로 동작 — 즉시 패치 필요
  • Hetzner hcloud SD 레이블 `__meta_hetzner_datacenter` 등 2026년 7월 1일부로 삭제 예정
  • AWS SD에 Elasticache·RDS 역할 추가, Azure Workload Identity 인증 지원
  • 새 `storage.tsdb.retention.percentage` 설정으로 디스크 사용량 비율 상한 지정 가능
  • 실험적 `fast-startup` 플래그: WAL 디렉토리에 시리즈 상태 저장해 재시작 시간 단축
  • OTLP ErrTooOldSample 응답 코드 500→400 수정으로 클라이언트 무한 재시도 루프 해소
원문

CRI-O

Kubernetes Core2026년 4월 2일

v1.33.11은 코드 변경이나 의존성 업데이트가 전혀 없는 유지보수 재빌드 릴리스입니다.

  • enhancementv1.33.10 운영 중이라면 이번 업그레이드는 건너뛰어도 됩니다

    기능 변경도, 보안 수정도 없습니다. v1.33.10을 안정적으로 운영 중이라면 굳이 유지보수 창을 잡을 이유가 없습니다. 실질적인 수정이 포함된 v1.33.12 이상을 기다렸다가 업그레이드하는 편이 낫습니다.

  • enhancementSBOM·cosign 검증 파이프라인 테스트 기회로 활용하세요

    모든 빌드에 SPDX SBOM과 cosign 번들 파일이 포함됩니다. 소프트웨어 공급망 보안 요건이 있다면, 영향도가 낮은 이번 릴리스를 활용해 cosign 검증 워크플로를 파이프라인에 통합하고 테스트해두는 게 좋습니다.

주요 변경 (4)
  • v1.33.10 대비 코드 변경 없음
  • 의존성 추가·변경·삭제 없음
  • amd64, arm64, ppc64le, s390x 아키텍처용 아티팩트 제공
  • 모든 아티팩트에 SPDX SBOM 및 cosign 서명 파일 포함
원문

CRI-O

Kubernetes Core2026년 4월 2일

CRI-O v1.35.2는 이미지 풀 자격증명 검증, 메트릭 누락, OCI 아티팩트 스토어 오염 문제를 수정한 버그픽스 패치입니다.

  • breaking업그레이드 후 자격증명 프로바이더 동작 검증 필요

    PullImage 수정으로 이미지 풀 시 반환값이 달라졌습니다. Kubernetes 자격증명 프로바이더 플러그인을 쓰거나 이미지 풀 동작을 검증하는 자동화가 있다면, 프로덕션 적용 전 반드시 테스트하세요. 기존 동작은 엣지 케이스에서 자격증명 검증을 조용히 건너뛸 수 있었습니다.

  • enhancement메트릭 파이프라인 점검 — 데이터가 누락됐을 수 있음

    이번 패치 이전 v1.35.x를 운영 중이었다면, 'all' 설정 시 메트릭이 불완전하게 수집됐을 겁니다. 업그레이드 후 메트릭 수가 늘어날 수 있는데, 이는 정상입니다. 대시보드와 알림 임계값을 미리 확인해두세요.

  • enhancement에어갭·미러 환경에서 additional_artifact_stores 활용

    에어갭 클러스터나 내부 아티팩트 미러를 운영한다면, 새로운 'additional_artifact_stores' 옵션으로 읽기 전용 소스를 여러 개 깔끔하게 설정할 수 있습니다. pinned_images 수정과 함께 쓰면 고정 이미지가 의도한 스토어에서 일관되게 풀리는지 보장할 수 있습니다.

주요 변경 (5)
  • PullImage가 이미지 ID를 직접 반환하도록 수정 — Kubernetes 자격증명 검증 호환성 문제 해결
  • 'all' 설정 시 메트릭이 누락되던 버그 수정
  • 일반 컨테이너 이미지가 OCI 아티팩트 스토어에 잘못 저장되던 문제 수정
  • pinned_images 설정이 아티팩트 스토어 이미지에도 일관되게 적용되도록 개선
  • 읽기 전용 아티팩트 스토어 추가 설정을 위한 'additional_artifact_stores' 옵션 신규 지원
원문

CRI-O

Kubernetes Core2026년 4월 2일

CRI-O v1.34.7은 v1.34.6 대비 코드 변경이나 의존성 업데이트가 전혀 없는 패치 릴리스입니다. 사실상 재빌드 수준의 릴리스입니다.

  • enhancementv1.34.6 사용 중이라면 업그레이드 급하지 않습니다

    기능 변경도, 보안 패치도 없습니다. v1.34.6을 운영 중이라면 당장 올릴 이유가 없습니다. 다만 컴플라이언스 정책상 최신 패치 태그가 필요하거나, 아티팩트 출처 추적이 요구되는 환경이라면 SPDX SBOM과 cosign 번들이 모두 갖춰져 있으므로 그 목적으로는 활용 가능합니다.

주요 변경 (4)
  • v1.34.6 대비 코드 변경 없음
  • 의존성 추가·변경·제거 없음
  • amd64, arm64, ppc64le, s390x 아키텍처 아티팩트 제공
  • 전 아키텍처에 SPDX 형식 SBOM 및 cosign 서명 번들 포함
원문

wasmCloud

Orchestration & Management2026년 4월 2일

v2.0.2는 wasmtime v43 업그레이드, Kubernetes Host 파드 리콘실러 추가, 설치 스크립트 개선을 담은 패치 릴리스입니다.

  • enhancementwasmtime 43 런타임 개선 적용을 위한 업그레이드 권장

    wasmtime 43은 업스트림 버그 수정과 성능 개선을 포함합니다. v2.0.1을 운영 중이라면 위험 부담이 낮은 업그레이드입니다. wasmCloud API 변경은 없으므로 호스트만 재배포하면 됩니다.

  • enhancementKubernetes 운영자: 새 Host 파드 리콘실러 검증 필요

    Host 파드 리콘실러는 Kubernetes에서 동작하는 wasmCloud 호스트 파드의 생명주기를 더 정교하게 처리합니다. wasmCloud 오퍼레이터를 사용 중이라면 프로덕션 적용 전에 스테이징 클러스터에서 파드 재시작과 스케줄링 동작을 먼저 검증하세요.

  • enhancementWindows 사용자: winget으로 wash 설치 가능

    wash가 winget 패키지 레지스트리에 등록됐습니다. Windows 환경의 팀은 바이너리를 수동으로 받는 대신 winget으로 표준화된 설치가 가능해졌으며, Windows 러너 기반 CI 파이프라인 구성에도 활용할 수 있습니다.

주요 변경 (5)
  • wasmtime v43으로 업그레이드 — 최신 런타임 버그 수정 및 성능 개선 반영
  • Kubernetes Host 파드 리콘실러 추가로 wasmCloud 호스트 파드 생명주기 관리 강화
  • 원스텝 설치 스크립트 개선으로 초기 설치 경험 향상
  • Windows에서 winget으로 wash CLI 설치 지원 추가
  • Helm values.local.yaml을 현재 기본값에 맞게 업데이트
원문

etcd

Kubernetes Core2026년 4월 1일

etcd v3.6.10은 3.6 시리즈의 패치 릴리스입니다. 릴리스 노트가 간략하므로, 업그레이드 전 전체 CHANGELOG를 반드시 확인하세요.

  • breaking업그레이드 전 공식 가이드 필독

    v3.6 릴리스는 브레이킹 체인지가 포함될 수 있다고 명시하고 있습니다. 클러스터 업그레이드 전에 v3.6 공식 업그레이드 가이드와 CHANGELOG-3.6.md 전문을 검토하세요. 일반 패치처럼 무심코 적용하면 운영 장애로 이어질 수 있습니다.

  • enhancement컨테이너 이미지 소스를 gcr.io로 전환

    etcd는 gcr.io/etcd-development/etcd를 기본 레지스트리로, quay.io/coreos/etcd를 보조로 지정했습니다. 이미지 풀 설정이나 에어갭 미러 구성이 여전히 quay.io를 우선하고 있다면 gcr.io 기준으로 업데이트하는 것이 좋습니다.

주요 변경 (4)
  • 3.6 시리즈 패치 릴리스 — 세부 변경사항은 전체 CHANGELOG 참조
  • 브레이킹 체인지 가능성이 있으므로 업그레이드 가이드 사전 검토 필수
  • 컨테이너 이미지는 gcr.io(기본)와 quay.io(보조)에서 제공
  • 지원 플랫폼 매트릭스 업데이트 — 사용 중인 아키텍처/OS 지원 여부 재확인 권장
원문

etcd

Kubernetes Core2026년 4월 1일

etcd v3.5.29는 3.5 브랜치의 유지보수 릴리스입니다. 릴리스 노트 자체에는 세부 변경 사항이 없어 CHANGELOG를 직접 확인해야 합니다.

  • security컨테이너 이미지 레지스트리 출처 검증

    CI/CD 파이프라인에서 etcd 이미지를 사용한다면, 기본 레지스트리인 gcr.io/etcd-development/etcd를 사용하는지 확인하세요. quay.io 미러는 보조 레지스트리라 최신 이미지 반영이 늦을 수 있습니다. 플로팅 태그 대신 이미지 다이제스트를 고정해 공급망 위험을 줄이세요.

  • breaking패치 릴리스라도 공식 업그레이드 가이드를 건너뛰지 마세요

    릴리스 노트가 명시적으로 3.5.x 패치 버전에도 브레이킹 체인지가 있을 수 있다고 경고합니다. 특히 Kubernetes 컨트롤 플레인 백엔드로 etcd를 운영 중이라면 스테이징 환경에서 먼저 검증하세요. etcd 업그레이드 실패는 클러스터 전체 장애로 이어질 수 있습니다.

  • enhancement업그레이드 전 CHANGELOG-3.5.md 확인

    이번 릴리스 노트에는 구체적인 변경 내용이 없습니다. etcd GitHub 저장소의 CHANGELOG-3.5.md에서 v3.5.29 항목을 직접 확인하세요. 3.5 브랜치 패치 릴리스에는 버그 픽스나 CVE 패치가 포함되는 경우가 많은데, 버전 번호만 보고 넘어가기 쉽습니다.

주요 변경 (4)
  • 3.5 안정 브랜치의 패치 릴리스
  • 구체적인 변경 내용은 CHANGELOG-3.5.md에서 직접 확인 필요
  • 컨테이너 이미지: 기본 레지스트리 gcr.io/etcd-development/etcd, 보조 레지스트리 quay.io/coreos/etcd
  • 패치 버전에도 브레이킹 체인지가 포함될 수 있으므로 업그레이드 가이드 사전 검토 필수
원문

etcd

Kubernetes Core2026년 4월 1일

etcd v3.4.43은 3.4 브랜치의 유지보수 릴리스입니다. 릴리스 노트에 변경 내역이 없으므로, 업그레이드 전 CHANGELOG를 직접 확인해야 합니다.

  • breaking패치 버전 업그레이드에도 업그레이드 가이드 확인 필요

    패치 릴리스라도 etcd 팀은 간헐적으로 동작 변경이나 기능 폐기를 포함시킵니다. etcd는 컨트롤 플레인의 데이터 저장소인 만큼, 패치 버전이라고 무조건 안전하다고 가정하지 말고 v3.4 공식 업그레이드 가이드를 반드시 점검하세요.

  • enhancement업그레이드 전 CHANGELOG 직접 확인

    릴리스 노트에 변경 내역이 기재되어 있지 않습니다. 업그레이드 전에 CHANGELOG-3.4.md를 열어 현재 버전과 차이를 직접 비교하세요. 3.4.x 패치는 버그 수정과 CVE 백포트를 포함하는 경우가 많아, 검토를 건너뛰면 중요한 수정 사항을 놓칠 수 있습니다.

주요 변경 (4)
  • 3.4.x 안정 브랜치의 유지보수 릴리스
  • 변경 세부 내역은 CHANGELOG-3.4.md에서만 확인 가능
  • 기본 컨테이너 이미지는 gcr.io/etcd-development/etcd, quay.io/coreos/etcd는 보조 레지스트리
  • 배포 전 공식 업그레이드 가이드 검토 필수
원문
← 최신
월별 보기