RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 4월해제 ×

OpenFeature

CI/CD & App Delivery2026년 4월 30일

flagd core v0.15.5는 fractional rollout과 JSONLogic and/or 연산자의 평가 버그를 수정한 릴리스입니다. 복잡한 플래그 타게팅 룰을 운영 중인 팀은 업그레이드를 권장합니다.

  • security의존성 보안 알림 해소

    Dependabot 보안 알림 항목들이 이번 릴리스에서 처리됐습니다. CVE 번호는 명시되지 않았지만 전이 의존성의 알려진 취약점이 대상입니다. 보안 민감 환경에서 flagd를 운영 중이라면 업그레이드하세요.

  • breakingFractional 평가기 버그 수정: targeting key 없는 사용자가 있다면 반드시 업그레이드

    targeting key가 없거나 null인 사용자(예: 비로그인 익명 사용자)가 fractional 평가를 거치면 이전 버전에서 잘못된 버킷에 배정될 수 있었습니다. percentage rollout을 사용 중이라면 업그레이드하세요.

  • breakingJSONLogic and/or 버그 수정으로 평가 결과 달라질 수 있음

    and/or 조건을 조합한 복합 플래그 룰이 v0.15.4에서 잘못 평가됐을 수 있습니다. 업그레이드 후 기존 룰의 평가 결과가 바뀔 수 있으므로, 복합 boolean 조건을 쓰는 룰은 배포 전에 검증하세요.

주요 변경 (5)
  • Fractional 평가기에서 targeting key가 누락되거나 null일 때 발생하던 오동작 수정
  • JSONLogic and/or 연산자 버그 수정 — 복합 boolean 룰 평가 결과 정상화
  • 커스텀 연산자 spec 준수 관련 여러 수정
  • OTel 서비스 이름 및 버전 오버라이드 정상화
  • Dependabot 보안 알림 의존성 업데이트
원문

Argo

CI/CD & App Delivery2026년 4월 30일

v3.3.9는 ApplicationSet DuckType Generator 패닉, 파드 로그 UI 크래시 등 버그 4건을 수정하고, CVE 대응을 위해 Go 버전을 올린 패치 릴리스입니다.

  • securityGo CVE 패치 포함 — 즉시 업그레이드 권장

    이번 릴리스는 Go 런타임 CVE 수정을 명시적 목적으로 버전을 올렸습니다. 구체적인 CVE ID는 릴리스 노트에 명시되어 있지 않지만, 3.3.x를 운영 중이라면 다음 정기 점검 때까지 기다리지 말고 바로 3.3.9로 올리세요. 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 증명이 적용되어 있으니, 파이프라인에서 서명 검증을 요구한다면 배포 전 확인하세요.

  • breakingDuckType Generator 패닉 수정 — 영향받은 ApplicationSet 동작 확인 필요

    클러스터 레이블에 비문자열 값이 있는 환경에서 DuckType Generator를 사용 중이었다면, 기존 버전에서는 조용히 패닉이 발생했습니다. 업그레이드 후 해당 ApplicationSet들이 정상 처리되면서 이전에 실패하던 동기화가 갑자기 활성화될 수 있습니다. 업그레이드 직후 ApplicationSet 리소스 상태를 점검해 예상치 못한 동작이 없는지 확인하세요.

  • enhancementOCI 메타데이터 캐싱 복구 — 레지스트리 부하 감소 기대

    Redis 캐시가 제대로 동작하지 않아 OCI 소스 조회가 매번 레지스트리에 직접 요청을 보내고 있었습니다. 수정 후 캐싱이 정상 작동하므로, OCI 기반 ApplicationSet이나 Helm 차트를 사용 중이라면 레지스트리 요청 수 감소와 응답 지연 개선을 기대할 수 있습니다. 별도 설정 변경은 필요하지 않습니다.

주요 변경 (5)
  • ApplicationSet DuckType Generator에서 클러스터 레이블 값이 문자열이 아닐 때 패닉이 발생하던 문제 수정
  • 오래된 컨테이너 인덱스 참조로 인한 파드 로그 뷰어 UI 크래시 수정
  • 서버 측 중복 삭제 요청 시 불필요한 오류가 발생하던 문제 수정
  • OCI 메타데이터를 Redis 캐시에 올바르게 저장·조회하지 못하던 문제 수정
  • Go 표준 라이브러리 CVE 패치를 위한 Go 버전 업그레이드
원문

Open Policy Agent (OPA)

Security2026년 4월 30일

v1.16.0은 URI 빌트인 함수 추가, Data API 메타데이터 지원, OTLP 메트릭 내보내기와 함께, v1.15.x에서 발생한 로그 유실 버그를 수정한 릴리스입니다.

  • securityunits.parse_bytes 지수 상한 적용 — 타임아웃 우회 차단

    units.parse_bytes에 비정상적으로 큰 지수 값을 넣으면 평가 타임아웃을 유발해 정책 집행을 우회할 수 있었습니다. v1.16.0에서 지수 크기에 상한을 두어 수정됐습니다. 사용자 입력이 units.parse_bytes로 전달되는 정책이 있다면 이번 수정이 직접 해당됩니다. 신뢰할 수 없는 소스에서 바이트 문자열을 파싱하는 정책을 우선 검토하세요.

  • breakingv1.15.x 사용 중이라면 즉시 업그레이드 — 로그가 소리 없이 사라집니다

    v1.15.x의 BufferedLogger 버그로 인해 첫 번째 flush 이후 번들 다운로드 로그, print() 출력, 플러그인 로그가 전부 유실됩니다. 옵저버빌리티 스택에서 조용히 데이터가 손실되는 상황입니다. v1.15.x를 프로덕션에서 운영 중이라면 즉시 v1.16.0으로 업그레이드하고, 그 기간 동안의 로그 파이프라인에 공백이 없는지 확인하세요.

  • enhancementuri.parse / uri.is_valid로 기존 정규식 기반 URL 검증 로직 교체하세요

    지금까지 많은 OPA 정책이 URL 파싱이나 검증에 정규식이나 문자열 조작을 써왔는데, 유지보수가 어렵고 엣지 케이스에 취약합니다. uri.parse는 RFC 3986 기반의 구조화된 컴포넌트(scheme, host, path, query 등)를 반환하고, uri.is_valid는 간결한 boolean 검사를 제공합니다. 리다이렉트 URI, 웹훅 URL, 혹은 URL을 포함하는 입력을 다루는 정책이 있다면 커스텀 파싱 로직을 이 빌트인으로 교체하는 게 낫습니다.

주요 변경 (5)
  • RFC 3986 기반 URI 처리를 위한 uri.parse, uri.is_valid 빌트인 함수 신규 추가
  • Data API에 요청/응답 메타데이터 지원 추가 — 커스텀 필드가 결정 로그의 Custom['request_metadata']에 기록됨
  • Prometheus 메트릭을 OTLP로 내보내기 가능 — 옵저버빌리티 파이프라인 통합에 활용 가능
  • v1.15.x에서 번들 다운로드, print() 호출, 플러그인 로그가 무음으로 유실되던 버그 수정
  • units.parse_bytes의 지수 크기 상한 적용으로 타임아웃 우회 가능성 차단
원문

Vitess

Storage & Data2026년 4월 30일

Vitess v24는 구조화 JSON 로깅을 기본 채택하고, 샤드 키스페이스에서 윈도우 함수 푸시다운을 지원하며, 백업 MANIFEST 명령 주입 취약점을 차단합니다. 총 460개 PR이 병합됐습니다.

  • security백업 MANIFEST 명령 주입 취약점 기본 차단

    v24 이전에는 백업 스토리지 쓰기 권한을 가진 공격자가 MANIFEST 파일을 수정해 VTTablet 복구 시 임의 셸 명령을 실행할 수 있었습니다. v24부터 --external-decompressor-use-manifest 플래그 없이는 MANIFEST의 압축 해제 명령이 무시됩니다. v23 이하를 운영 중이라면 백업 스토리지 접근 제어를 보안 경계로 간주하고 쓰기 권한 보유자를 즉시 감사하세요.

  • breaking백업 복구 설정에서 MANIFEST 압축 해제 동작 확인 필요

    --external-decompressor 플래그 없이 MANIFEST에 저장된 명령으로 압축 해제에 의존하던 환경이라면, v24에서 복구 시 압축 해제가 묵시적으로 건너뛰어져 복구 자체가 실패할 수 있습니다. 기존 동작을 유지하려면 VTTablet 설정에 --external-decompressor-use-manifest를 추가하세요. 다만 보안 고려가 필요합니다 — 백업 스토리지 쓰기 권한이 있는 공격자가 임의 명령을 실행할 수 있는 경로가 됩니다. --external-decompressor로 명시적으로 전달하는 방식으로 전환하는 것이 더 안전합니다.

  • breakingVTOrc API 엔드포인트와 메트릭 참조 즉시 교체

    /api/replication-analysis는 v24에서 404를 반환합니다. 해당 URL을 호출하는 모니터링 스크립트, Grafana 대시보드, 알림 규칙이 있다면 프로덕션 배포 전에 /api/detection-analysis로 전환하세요 (파라미터와 응답 형식 동일). DiscoverInstanceTimings를 사용하는 대시보드도 DiscoveryInstanceTimings로 교체해야 합니다.

  • enhancementOpenTelemetry 트레이싱 마이그레이션은 지금 하세요

    opentracing-jaeger와 opentracing-datadog는 v24에서 지원 중단 경고가 나오고 v25에서 완전히 제거됩니다. 마이그레이션 자체는 간단합니다. --tracer opentracing-jaeger를 --tracer opentelemetry로, --jaeger-agent-host host:port를 --otel-endpoint host:4317로 바꾸면 됩니다. Jaeger v1.35 이상은 기본적으로 4317 포트에서 OTLP를 수신하고, Datadog는 Agent의 OTLP 수집 엔드포인트를 사용하면 됩니다. 이번 업그레이드 주기에 처리하는 편이 낫습니다.

  • enhancementVTOrc에 --cell 플래그 지금 추가하세요

    v24에서는 선택 사항이지만 v25부터 필수가 됩니다. 멀티셀 환경이라면 지금 추가하는 것이 좋습니다. 기동 시 토폴로지 검증으로 설정 오류를 조기에 잡을 수 있고, 향후 VTOrc의 크로스셀 복구 로직도 이 플래그를 기반으로 동작할 예정입니다. 다운타임 없이 플래그 하나로 v25 강제 변경을 미리 피할 수 있습니다.

주요 변경 (6)
  • 구조화 JSON 로깅이 기본값으로 변경 (사람이 읽기 쉬운 형식은 --log-format=text; glog는 v25에서 제거)
  • PARTITION BY 절이 유니크 vindex와 일치할 때 윈도우 함수를 샤드별로 푸시다운 가능 — 단일 샤드 라우팅 강제 해제
  • 백업 MANIFEST의 외부 압축 해제 명령을 기본적으로 무시 (보안 수정); --external-decompressor-use-manifest 플래그로 명시적 opt-in 필요
  • OpenTracing 백엔드(jaeger, datadog) 지원 중단 예고 — v25 이전에 --tracer opentelemetry로 마이그레이션 필요
  • VTOrc /api/replication-analysis 엔드포인트와 DiscoverInstanceTimings 메트릭 제거 — 대시보드 및 스크립트 즉시 업데이트 필요
  • VTGate의 --grpc-send-session-in-streaming 플래그 제거 — 스트리밍 응답에서 세션이 항상 전송됨
원문

Karmada

Orchestration & Management2026년 4월 30일

v1.17.2는 스케줄러 큐 오라우팅 버그, 오퍼레이터 초기화 실패, Job 레플리카 할당 오류를 수정한 패치 릴리스입니다. Alpine 베이스 이미지도 보안 목적으로 업그레이드됐습니다.

  • security에어갭/미러 환경이라면 Alpine 3.23.4 기반 이미지를 새로 동기화해야 합니다

    베이스 이미지가 Alpine 3.23.3에서 3.23.4로 올라갔습니다. 미러링된 프라이빗 레지스트리를 쓰는 환경이라면 v1.17.2 이미지를 다시 풀하고 동기화하세요. 컴플라이언스 절차상 필요하다면 Alpine 변경 이력에서 수정된 CVE 목록을 확인하세요.

  • breaking스케줄러 backoffQ 오분류로 숨겨졌던 스케줄링 실패가 표면화될 수 있음

    레플리카 부족 상태의 바인딩이 unschedulableBindings가 아닌 backoffQ로 잘못 라우팅되고 있었습니다. 즉, 실제로는 스케줄 불가 상태인 워크로드가 지수 백오프로 재시도되며 조용히 지연되고 있었을 수 있습니다. 업그레이드 후에는 이런 워크로드들이 unschedulableBindings에서 보이기 시작할 수 있으니, 기존에 스케줄이 느리거나 멈춰 있던 워크로드를 점검하세요.

  • enhancementkarmada-operator로 tolerations/affinity를 쓰거나 멀티클러스터 Job을 운영 중이라면 즉시 패치 권장

    오퍼레이터 관리 디플로이먼트가 tolerations와 affinity 설정을 조용히 무시하고 있었는데, 의도치 않은 노드에 파드가 배치될 수 있는 문제입니다. Job completions 오할당도 분산 워크로드의 Job 완료 시맨틱을 망가뜨릴 수 있는 버그입니다. 두 기능 중 하나라도 쓰고 있다면 바로 업그레이드하세요.

주요 변경 (6)
  • karmada-operator가 tolerations/affinity 설정을 aggregated-apiserver와 search 디플로이먼트에 올바르게 적용
  • 시크릿 비멱등 생성 방식으로 인한 오퍼레이터 초기화 조정 실패 수정
  • 레플리카 부족 바인딩이 backoffQ 대신 unschedulableBindings로 올바르게 분류
  • ClusterAffinities 스케줄링 시 성공 이벤트에 클러스터 정보가 누락되던 문제 수정
  • Job completions가 잘못된 클러스터에 할당되던 문제 수정
  • Alpine 베이스 이미지 3.23.3 → 3.23.4 업그레이드
원문

Karmada

Orchestration & Management2026년 4월 30일

Karmada v1.16.5는 스케줄러 큐 오라우팅, Job 레플리카 할당 오류, 오퍼레이터 조정 실패를 수정하고 Alpine 베이스 이미지를 업데이트한 패치 릴리스입니다.

  • securityAlpine 3.23.4 베이스 이미지 — Karmada 컴포넌트 재빌드 및 재배포

    Alpine 3.23.3에서 3.23.4로의 업데이트는 업스트림 보안 이슈를 반영한 것입니다. 공식 이미지는 이미 반영되어 있으므로, 커스텀 빌드 이미지를 사용 중이라면 베이스 이미지를 동일하게 업데이트하고 이미지 스캔 파이프라인도 함께 점검하세요.

  • breaking스케줄러 큐 오라우팅으로 워크로드가 멈출 수 있음 — 즉시 패치 권장

    클러스터 레플리카가 부족한 바인딩이 unschedulableBindings 대신 backoffQ로 잘못 들어가던 버그입니다. 충분한 클러스터 자원이 생겼는데도 바인딩이 계속 Pending 상태로 남아 있었다면 이 버그의 영향을 받은 것입니다. v1.16.5로 업그레이드하면 영향받은 바인딩은 자동으로 재스케줄됩니다.

  • breakingJob completions 클러스터 배분 오류 — 기존 Job 결과 검토 필요

    v1.16.4에서 실행된 멀티클러스터 Job은 클러스터별 completion 수가 의도치 않게 치우쳐 있을 수 있습니다. 업그레이드 후, 해당 버전에서 실행된 Job의 완료 결과를 확인해 프로덕션 환경의 작업 분배에 이상이 없는지 점검하세요.

주요 변경 (5)
  • karmada-operator: Secret 생성 방식을 멱등적으로 변경해 초기화 재조정 실패 수정
  • karmada-scheduler: 클러스터 레플리카 부족 시 바인딩이 backoffQ 대신 unschedulableBindings 큐로 올바르게 이동
  • karmada-scheduler: ClusterAffinities 사용 시 스케줄 성공 이벤트에 클러스터 정보 누락 수정
  • Job completions가 잘못된 클러스터에 할당되던 버그 수정
  • 베이스 이미지 alpine:3.23.3 → alpine:3.23.4 보안 업데이트
원문

Karmada

Orchestration & Management2026년 4월 30일

v1.15.8은 스케줄러 큐 오분류, ClusterAffinities 이벤트 누락, 오퍼레이터 초기화 실패를 수정한 버그픽스 패치입니다. Alpine 기반 이미지도 보안 업데이트됐습니다.

  • securityalpine:3.23.4 반영을 위해 이미지 재빌드 또는 공식 이미지 교체

    alpine 3.23.4에는 보안 패치가 포함되어 있습니다. 업스트림 기반 이미지로 커스텀 빌드를 운영 중이라면 새 베이스 이미지로 재빌드가 필요하고, 공식 이미지를 사용 중이라면 v1.15.8 이미지로 교체하면 충분합니다.

  • breaking스케줄러 큐 오분류로 워크로드 지연 — 즉시 패치 필요

    레플리카 부족 상태의 바인딩이 unschedulableBindings가 아닌 backoffQ로 들어가면, 지수 백오프 방식으로 재시도가 반복되어 워크로드 재스케줄링이 예상보다 훨씬 오래 걸립니다. ClusterAffinities와 레플리카 제약을 함께 사용 중이라면 v1.15.8로 즉시 업그레이드해야 합니다.

  • enhancement오퍼레이터 초기화 멱등성 확보 — 재시작 시 실패 반복 해소

    기존에는 오퍼레이터가 초기화 도중 재시작되면 시크릿 중복 생성으로 재조정이 실패했습니다. 이제 멱등한 방식으로 수정되어, 파드 재시작이나 롤링 업데이트 중 발생하던 init 실패가 더 이상 재현되지 않습니다. 오퍼레이터 초기화 실패를 반복적으로 겪었다면 이번 패치로 해결됩니다.

주요 변경 (4)
  • karmada-operator: 비멱등 시크릿 생성 로직을 멱등 방식으로 교체해 초기화 재조정 실패 해결
  • karmada-scheduler: ClusterAffinities 스케줄링 시 성공 이벤트에 클러스터 정보가 누락되던 버그 수정
  • karmada-scheduler: 클러스터 레플리카 부족 시 backoffQ 대신 unschedulableBindings로 올바르게 라우팅
  • 기반 이미지 alpine:3.23.3 → alpine:3.23.4 보안 업데이트
원문

containerd

Kubernetes Core2026년 4월 30일

containerd API v1.11.0은 containerd 2.3 릴리스에 맞춰 새 shim 부트스트랩 프로토콜, 컨테이너 파일시스템 복사 전송 타입, 샌드박스 spec 필드를 도입했습니다.

  • securitygRPC v1.59.0 → v1.79.3 대폭 업그레이드 — 보안 패치 다수 포함

    마이너 버전이 20단계 올라간 만큼 그간 쌓인 보안·안정성 수정이 상당합니다. gRPC를 별도로 핀닝하거나 벤더링하는 환경이라면 v1.79.3 기준으로 의존성 트리를 재조정해야 합니다. golang.org/x/* 패키지들도 일괄 업그레이드됐으니, 이 API 버전을 프로덕션에 올리기 전에 전체 의존성 감사를 권장합니다.

  • breaking샌드박스 API 변경: Container 필드 제거됨 — 관련 코드 즉시 점검 필요

    샌드박스 메타데이터에서 Container 필드가 삭제되고 spec 필드로 대체됐습니다. 샌드박스 메타데이터를 직접 읽거나 쓰는 컨트롤러, 커스텀 런타임, 내부 툴링이 있다면 지금 바로 점검해야 합니다. 이전 proto 정의로 컴파일된 코드는 containerd 2.3 환경에서 런타임 오류가 발생합니다.

  • breakingshim 부트스트랩 프로토콜이 protobuf로 교체 — 커스텀 shim은 반드시 업데이트

    부트스트랩 프로토콜이 JSON에서 protobuf로 바뀌었고, 기능과 로그레벨도 문자열에서 enum으로 변경됐습니다. 커스텀 shim을 유지하거나 containerd API를 직접 벤더링하는 경우, containerd 2.3 배포 전에 부트스트랩 처리 로직을 반드시 수정해야 합니다. kata-containers, nydus 같은 서드파티 shim의 호환 릴리스도 함께 확인하세요.

주요 변경 (6)
  • 새 shim 부트스트랩 프로토콜 도입: JSON 대신 protobuf 사용, 기능·로그레벨을 enum으로 정의, shim 실행 시 containerd 버전 포함
  • shim 소켓 디렉터리가 하드코딩된 경로 대신 설정된 state 디렉터리를 사용하도록 변경
  • Transfer API에 컨테이너 파일시스템 복사용 새 타입 추가
  • 샌드박스 API 변경: Container 필드 제거, spec 필드 추가
  • EROFS 네이티브 컨테이너 이미지용 platform proto에 os.features 필드 추가
  • gRPC v1.59.0 → v1.79.3 대폭 업그레이드; 프로토 툴체인을 protobuild에서 buf로 이전
원문

KServe

AI & ML2026년 4월 29일

v0.18.0은 LLMInferenceService 성숙화, CVE 3건 패치, 멀티노드 추론 기반 작업이 중심인 대형 릴리스입니다. LLM 워크로드를 운영 중이라면 업그레이드 전 꼼꼼히 검토해야 합니다.

  • security즉시 적용 필요: 이번 릴리스에 CVE 3건 포함

    CVE-2026-32597(PyJWT 크리티컬 헤더 우회), CVE-2026-33186(gRPC 인증 우회), CVE-2026-30922(pyasn1 DoS)가 모두 패치됐습니다. gRPC 추론 엔드포인트나 Python 런타임을 외부에 노출 중이라면 선택 사항이 아닙니다. 특히 gRPC 인증 우회는 인증되지 않은 요청이 보호된 추론 엔드포인트에 도달할 수 있어 즉시 v0.18.0으로 업그레이드하거나 패치를 적용해야 합니다.

  • breakingPYTHONPATH 웹훅 차단—ServingRuntime 사전 점검 필수

    이제 InferenceService나 ServingRuntime 스펙에 PYTHONPATH를 설정하면 어드미션 웹훅에서 거부됩니다. 커스텀 Python 모듈 경로 설정을 위해 PYTHONPATH를 쓰던 ServingRuntime이 있다면 업그레이드 후 배포가 막힙니다. 업그레이드 전에 모든 ServingRuntime과 ISVC 매니페스트를 점검하고 PYTHONPATH 사용을 제거하거나 대체 방법으로 바꿔야 합니다.

  • breakingHelm 차트명 변경—기존 릴리스 마이그레이션 계획 필요

    KServe Helm 차트명이 'kserve'에서 'kserve-resources'로 바뀌었습니다. 기존 릴리스 이름으로 그냥 업그레이드하면 차트를 찾지 못합니다. 기존 Helm 릴리스 이름을 변경하거나 언인스톨 후 재설치하는 방식으로 마이그레이션을 계획해야 하며, 차트명을 참조하는 CI 파이프라인과 GitOps 설정도 함께 수정해야 합니다.

  • enhancementLLMInferenceService 오토스케일링 실운영 수준 도달—LLM 워크로드에 검토 권장

    KEDA/HPA·WVA 기반 오토스케일링과 멀티노드 워크로드를 위한 LWS 오토스케일링 타겟이 추가됐습니다. vLLM 기반 추론을 대규모로 운영하면서 수동 스케일링에 어려움을 겪고 있다면 스테이징에서 llmisvc 오토스케일링을 테스트해볼 시점입니다. WVA 의존성이 v0.6.0-rc3으로 올라간 만큼 GA는 아니지만 근접한 상태로 봐야 합니다.

주요 변경 (5)
  • CVE 3건 수정: PyJWT 크리티컬 헤더 검증(CVE-2026-32597), gRPC 인증 우회(CVE-2026-33186), pyasn1 DoS(CVE-2026-30922)
  • LLMInferenceService에 KEDA/HPA/WVA 오토스케일링, LWS 멀티노드 오토스케일링 타겟, TLS 지원, 스토리지 마이그레이션, InferencePool 준비 상태 평가 추가
  • ISVC 및 ServingRuntime 웹훅에서 PYTHONPATH 환경 변수 설정 차단—기존 ServingRuntime에서 사용 중이면 어드미션 거부 발생
  • 네임스페이스 범위 ModelCache 추가, 다운로드 잡이 지정된 잡 네임스페이스에서 실행
  • Helm 차트명이 'kserve'에서 'kserve-resources'로 변경, vLLM 0.19.0·MLServer 1.7.1로 업데이트
원문

Kyverno

Security2026년 4월 29일

Kyverno 1.18은 HTTP 컨텍스트 보안을 강화하고 이미지 검증 우회 버그를 수정했으며, CLI에서 더 많은 정책 유형을 테스트할 수 있게 됐습니다.

  • security업그레이드 전 HTTP 컨텍스트 정책 전수 검토 필수

    HTTP 컨텍스트를 사용하는 정책은 이제 블록리스트 강제 적용을 받습니다. 기존에 정상 동작하던 외부 HTTP 호출이 업그레이드 후 차단될 수 있습니다. 1.18로 전환하기 전에 HTTP 컨텍스트 항목이 있는 정책을 모두 파악하고, 대상 URL이 기본 블록리스트에 포함되지 않는지 확인하세요. 필요하다면 FLAG_HTTP_BLOCKLIST 오버라이드를 설정해야 합니다. 스코프 토큰 인증 방식도 바뀌었으므로 폭넓은 토큰 권한에 의존하는 정책이 있다면 비프로덕션 클러스터에서 먼저 검증하세요.

  • security이미지 검증 우회 버그 패치 — 실제 적용 여부 재확인 권장

    processResourceWithPatches가 패치 실패 시 nil을 반환해 이미지 검증을 조용히 건너뛰는 버그가 수정됐습니다. 이미지 검증 정책을 운영 중이었다면 그동안 실제로 적용되고 있었는지 확신하기 어렵습니다. 업그레이드 후 준수 여부 스캔을 다시 실행해 결과를 확인하세요. CVE-2026-32280(중간 인증서 제한)과 CVE-2026-32283(Go 툴체인 업그레이드)도 포함됐으니 보안 측면에서 빠른 업그레이드를 권장합니다.

  • enhancementsuccessEventActions로 이벤트 과부하 해소

    정책 범위가 넓은 대규모 클러스터에서는 성공 이벤트가 etcd를 압박하고 이벤트 스트림을 쓸모없게 만들기 쉽습니다. 새 successEventActions 파라미터를 Kyverno ConfigMap에 추가하면 어떤 성공 이벤트를 방출할지 직접 제어할 수 있습니다. 기존 omitEvents 설정과 충돌하면 경고가 발생하니 병행 설정 시 주의하세요.

주요 변경 (5)
  • HTTP 컨텍스트 호출에 블록리스트 강제 적용 및 스코프 토큰 인증 추가 — 외부 HTTP 호출을 사용하는 정책은 업그레이드 전 검토 필요
  • imageRegistryCredentials가 네임스페이스 시크릿과 파드 수준 imagePullSecrets를 참조할 수 있어 멀티테넌트 이미지 검증 구성이 훨씬 유연해짐
  • 패치 실패 시 nil을 반환해 이미지 검증을 조용히 우회하던 processResourceWithPatches 버그 수정
  • successEventActions 파라미터로 성공 이벤트 방출을 세밀하게 제어 가능 — 이벤트 폭증으로 고생하는 대규모 클러스터에 유용
  • kyverno apply·test CLI가 cleanup 정책, HTTP/Envoy authz 정책, mutateExisting을 지원해 CI 파이프라인에서 오프라인 테스트 가능
원문

Microcks

CI/CD & App Delivery2026년 4월 29일

Microcks 1.14.0은 Kafka request-reply 비동기 모킹을 추가하고, Callback/Sync-to-Async 지원을 REST·gRPC·UI 전반에 확장했습니다. HTTP 메서드 변경 버그도 함께 수정됐습니다.

  • security커스텀 이미지 UBI9 기반 재빌드

    베이스 이미지가 UBI9 9.7-1776833838로 올라갔습니다. 공식 Microcks 이미지를 기반으로 커스텀 이미지를 빌드하고 있다면 업그레이드 후 반드시 재빌드해서 OS 레벨 패치를 반영하세요.

  • breakingREST 목 라우팅 동작 변경 확인 필요

    #2028 픽스로 인해 operation의 HTTP 메서드가 더 이상 변경되지 않습니다. 메서드별 라우팅에 의존하는 REST 목이 있다면, 업그레이드 후 예상대로 동작하는지 확인하세요. 기존에 메서드가 의도치 않게 변경되어 오동작했던 케이스가 있었다면 이번 픽스로 동작이 달라질 수 있습니다.

  • enhancementKafka request-reply 비동기 테스트 도입 검토

    Kafka 비동기 목(mock)이 이제 request-reply 패턴을 지원합니다. Kafka 기반 이벤트 드리븐 서비스를 Microcks로 모킹하고 있다면, 외부 도구 없이 양방향 상호작용 테스트가 가능해졌습니다. 기존 Kafka 목 설정을 마이그레이션하기 전에 Callback·Sync-to-Async API 변경 사항과 새 트리거 UI를 먼저 검토하세요.

주요 변경 (5)
  • Kafka 비동기 목에 request-reply 패턴 지원 추가 (기존에는 fire-and-forget만 가능)
  • Callback·Sync-to-Async API 업데이트, 트리거 정보 UI 노출 및 두 번째 artifact로 사용 가능
  • gRPC 목에도 트리거 지원 추가
  • operation HTTP 메서드가 변경되지 않도록 버그 수정 (#2028)
  • UBI9 베이스 이미지 9.7-1776833838 업데이트, Angular 19.2.20 업그레이드, X-Trace-Id 헤더를 통한 컨텍스트 전파 지원
원문

SPIRE

Security2026년 4월 27일

SPIRE v1.14.6은 EC2 인스턴스 사칭을 허용하는 aws_iid 결함과 조인 토큰 경쟁 조건, 두 가지 심각한 보안 취약점을 수정합니다.

  • securityaws_iid 어테스테이션 사용 중이라면 즉시 업그레이드

    공격자가 EC2 인스턴스 하나만 제어해도 aws_iid 어테스테이션 과정에서 다른 모든 EC2 인스턴스의 신원을 위조할 수 있는 심각한 결함입니다. 위조된 신원은 SPIFFE ID 할당과 워크로드 인가 결정 전체에 영향을 줍니다. v1.14.6으로 즉시 업그레이드하고, 업그레이드 후 노드 어테스테이션 로그에서 실제 AWS 메타데이터와 불일치하는 비정상적인 등록 기록이 없는지 반드시 확인하세요.

  • security조인 토큰 이중 등록 가능 — 지금 패치하고 발급 정책 재검토

    TOCTOU 결함으로 동일한 조인 토큰으로 두 에이전트가 동시에 어테스테이션을 완료할 수 있었습니다. 자동화 파이프라인이나 임시 환경에서 조인 토큰을 배포한다면, 토큰을 탈취한 공격자가 정상 에이전트와의 경쟁으로 등록을 먼저 완료할 위험이 있습니다. v1.14.6으로 업그레이드한 뒤, 토큰 유효 기간을 단축하거나 민감한 워크로드에는 x509pop 같은 대안적 어테스테이션 방식으로 전환하는 것을 검토하세요.

주요 변경 (4)
  • aws_iid 어테스터 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서, 실제 신원은 공격자가 조작 가능한 별도 필드에서 파싱하는 결함 제거
  • 조인 토큰 TOCTOU 경쟁 조건 수정: tx.Delete()가 삭제된 행이 없어도 오류를 반환하지 않아 동일 토큰으로 동시 어테스테이션이 모두 성공하던 문제 해결
  • 행 잠금 기반 읽기-수정-쓰기 트랜잭션으로 교체하여 정확히 하나의 행만 삭제됨을 보장
  • 두 취약점 모두 Tianshuo Han이 제보
원문

SPIRE

Security2026년 4월 27일

v1.13.6은 AWS IID 어테스터의 EC2 인스턴스 사칭 취약점과 조인 토큰의 경쟁 조건 버그를 수정한 보안 패치입니다. 즉시 업그레이드하세요.

  • securityAWS IID 어테스테이션 사용 중이라면 즉시 업그레이드

    AWS IID 어테스터 취약점은 심각합니다. EC2 인스턴스 하나만 제어할 수 있으면 노드 어테스테이션 과정에서 환경 내 임의의 다른 EC2 인스턴스를 사칭할 수 있습니다. SVID 발급, RBAC, 워크로드 인증 등 모든 다운스트림 결정이 위조된 identity 기반으로 동작하게 됩니다. aws_iid 플러그인을 사용 중이라면 v1.13.6으로 즉시 패치하고, SPIRE 서버 로그에서 비정상적인 EC2 노드 어테스테이션 이벤트(특히 크로스 계정·크로스 리전 패턴)를 점검하세요.

  • security동시 에이전트 부트스트래핑 환경이라면 조인 토큰 즉시 교체

    TOCTOU 버그로 인해 같은 조인 토큰을 동시에 사용한 두 에이전트가 모두 어테스테이션에 성공할 수 있었습니다. 1회용 토큰의 보안 보장이 깨진 셈입니다. 업그레이드 후, 동시 에이전트 부트스트래핑이 발생했을 가능성이 있는 시점에 사용된 조인 토큰은 모두 교체하세요. init 컨테이너나 CI 파이프라인처럼 병렬 실행이 가능한 자동화 환경에서 조인 토큰을 사용하고 있다면, 해당 구간에서 경쟁 조건이 실제로 발생했는지 감사 로그를 확인하세요.

주요 변경 (3)
  • AWS IID 어테스터 취약점 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서 실제 identity document는 공격자가 제어 가능한 별도 필드에서 파싱 — EC2 인스턴스 사칭 가능
  • 조인 토큰 TOCTOU 경쟁 조건 수정: 동일 토큰으로 동시 어테스테이션 요청이 모두 성공하는 문제를 행 잠금 기반 read-modify-write 트랜잭션으로 해결
  • 두 취약점 모두 Tianshuo Han이 제보했으며, 이번 릴리스에는 기능 변경 없이 보안 수정만 포함
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.12.8은 JetStream 클러스터 안정성과 Raft 엣지 케이스, /connz 모니터링 API의 JWT 노출 보안 취약점을 집중적으로 수정한 버그픽스 릴리스입니다.

  • security즉시 패치 필요: /connz가 Bearer JWT를 노출하고 있었습니다

    JWT 기반 인증을 사용하는 환경에서 /connz 모니터링 엔드포인트가 내부망이라도 접근 가능했다면, Bearer 토큰이 응답에 그대로 포함되어 있었습니다. 지금 당장 v2.12.8로 업그레이드하고, 노출되었을 가능성이 있는 JWT를 모두 교체하세요. 즉시 업그레이드가 어렵다면 방화벽이나 NATS 모니터링 인증으로 /connz 접근을 제한해야 합니다.

  • securityCLI 인자 시크릿, 과거 로그도 점검하세요

    라우트·클러스터 URL에 포함된 자격증명이 CLI 인자로 전달될 경우 이전까지 모니터링 출력에 그대로 노출됐습니다. v2.12.8로 업그레이드한 뒤, 로그 수집 파이프라인이나 모니터링 대시보드에 기록된 과거 데이터도 점검하시기 바랍니다.

  • enhancementJetStream 클러스터 운영 중 간헐적 오류가 있었다면 이번 업그레이드가 답입니다

    스냅샷에서의 스트림 리더 복구, 텀 불일치 시 Raft 커밋 인덱스 리셋, 인-플라이트 상태의 스트림·컨슈머 정보 조회 실패, 프로포절 실패로 인한 'last sequence mismatch' 오류 등 다수의 엣지 케이스가 한꺼번에 수정됐습니다. 이런 증상을 경험한 적 있다면 우선순위를 높여 업그레이드하고, 이후 스케일링 작업 중 스트림·컨슈머 info 엔드포인트 오류율 변화를 모니터링하세요.

주요 변경 (5)
  • /connz 엔드포인트에서 Bearer JWT가 노출되던 보안 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL 시크릿을 모니터링 출력에서 마스킹 처리
  • 컨슈머 일시정지 엔드포인트, 스트림 업데이트 후 스케일링, 레거시 Raft 스냅샷 복구 시 발생하던 패닉 수정
  • 리프노드 재접속 및 프로포절 오류 상황에서 스트림 소싱 중복 메시지 발생 버그 해결
  • 컨슈머 시작 시퀀스 스캔이 비동기로 전환되어 메타레이어 일시 중단으로 인한 지연 제거
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.11.17은 /connz 모니터링 엔드포인트의 JWT 토큰 노출 등 보안 결함과 다수의 안정성 버그를 수정한 패치 릴리스입니다.

  • security즉시 패치: /connz에서 Bearer JWT가 노출됐습니다

    모니터링 포트(기본 8222)가 내부망이라도 접근 가능한 환경이라면 긴급 패치 대상입니다. 노출된 Bearer 토큰은 재사용 공격(replay attack)에 악용될 수 있습니다. 2.11.17로 즉시 업그레이드하고, 모니터링 엔드포인트에 접근 이력이 있는 경우 관련 JWT를 전부 교체하세요. 당장 업그레이드가 어렵다면 방화벽으로 모니터링 포트를 우선 차단하십시오.

  • securityCLI 인자의 시크릿이 모니터링 출력에 노출됐습니다

    라우트·클러스터 URL에 자격증명을 직접 포함해 CLI로 전달하는 구성이라면, 해당 시크릿이 모니터링 출력에 그대로 표시됐습니다. 과거 모니터링 로그를 점검하고 노출 가능성이 있는 자격증명을 교체하세요. 장기적으로는 CLI 인자 대신 설정 파일이나 환경 변수 기반 시크릿 주입 방식으로 전환하는 게 좋습니다.

  • breaking반복 CONNECT 처리 방식 변경 — 커스텀 클라이언트 동작 확인 필요

    동일 연결에서 CONNECT 메시지를 여러 번 보내면 이제 구독 목록이 초기화됩니다. 표준적이지 않은 연결 패턴을 사용하는 커스텀 클라이언트나 인하우스 구현체가 있다면, 프로덕션 업그레이드 전에 구독이 예기치 않게 사라지는 현상이 없는지 반드시 검증하세요.

주요 변경 (5)
  • /connz 모니터링 엔드포인트에서 Bearer JWT가 노출되던 자격증명 유출 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL의 시크릿이 모니터링 출력에서 가려지도록 수정
  • 동일 연결에서 CONNECT 메시지가 반복될 경우 구독 목록을 올바르게 초기화하도록 수정
  • 자정을 넘는 유효 기간을 가진 JWT claims의 검증 오류 수정
  • 리프노드 압축 협상 시 발생 가능한 패닉 및 메시지 헤더 설정 시 입력 버퍼가 변조되던 버그 수정
원문

Prometheus

Observability2026년 4월 27일

Prometheus v3.11.3은 자격증명 노출, snappy 페이로드를 통한 DoS, 구 UI의 저장형 XSS 등 세 가지 보안 취약점을 수정합니다.

  • security/-/config 엔드포인트에 접근 가능했다면 AzureAD client_secret 즉시 교체

    AzureAD remote write를 사용 중이고 /-/config 엔드포인트가 신뢰할 수 없는 사용자에게 노출된 적이 있다면 client_secret이 이미 유출됐다고 봐야 합니다. Azure AD에서 즉시 시크릿을 교체한 뒤 v3.11.3으로 업그레이드하세요. 이 엔드포인트가 외부에 공개되어 있지 않은지도 함께 점검하세요.

  • securityRemote-read를 외부에 노출 중이라면 즉시 업그레이드 필요

    snappy 디코드 취약점은 공격자가 디코딩 길이를 부풀린 요청을 전송해 메모리를 고갈시킬 수 있는 DoS 벡터입니다. remote-read 엔드포인트가 신뢰 경계 외부에서 접근 가능하다면 실제 위협입니다. 설정 레벨의 우회책은 없으므로 v3.11.3으로 빠르게 업그레이드하세요.

  • security구 UI를 아직 사용 중이라면 XSS 노출 여부 확인 후 업그레이드

    구 UI 히트맵의 저장형 XSS는 사용자가 레이블 값에 영향을 줄 수 있는 환경(계측 애플리케이션 등)에서 다른 사용자가 해당 차트를 열람할 때 동작합니다. 이미 새 UI로 전환했다면 영향 없습니다. 그렇지 않다면 지금 바로 업그레이드하거나, 업그레이드 전까지 UI 접근을 신뢰할 수 있는 사용자로 제한하세요.

주요 변경 (3)
  • CVE-2026-42151: AzureAD OAuth client_secret이 /-/config 엔드포인트에서 평문으로 노출되던 문제 수정
  • CVE-2026-42154: Remote-read에서 선언된 디코딩 길이가 제한을 초과하는 snappy 압축 요청을 거부하도록 변경 — DoS 벡터 차단
  • 구 UI 히트맵 차트의 le 레이블 값이 이스케이프 처리 없이 렌더링되어 발생하던 저장형 XSS 수정
원문

OpenFGA

Security2026년 4월 27일

v1.15.0은 복잡한 인가 모델의 지연 시간을 줄이는 엣지 프루닝, 실험적 가중 그래프 체커의 캐시 버그 수정, Go 1.26.2 업그레이드를 통한 표준 라이브러리 보안 패치를 담고 있습니다.

  • securityGo 표준 라이브러리 취약점 패치를 위해 즉시 업데이트

    이번 릴리스는 Go 1.26.2를 탑재했으며, Go 표준 라이브러리의 보안 취약점이 수정됐습니다. 컨테이너로 운영 중이라면 새 이미지를 즉시 교체하고, 소스 빌드 환경이라면 툴체인 버전을 맞추세요. 표준 라이브러리 취약점은 TLS, HTTP 파싱, 암호화 경로에 영향을 줄 수 있어 OpenFGA가 직접 의존하는 영역입니다.

  • enhancement복잡한 모델 환경에서 list objects 성능 재측정 권장

    엣지 프루닝은 불필요한 그래프 탐색을 제거합니다. 관계 그래프가 깊거나 넓은 인가 모델을 운영 중이라면 ListObjects 호출의 p99 지연 시간이 줄어들 겁니다. 설정 변경 없이 얻는 성능 개선이니 기존 부하 테스트를 v1.15.0 기준으로 다시 돌려보세요.

  • enhancementweighted_graph_check 사용 중이라면 캐시 동작 재검토 필요

    실험적 기능인 weighted_graph_check가 콜드 스타트나 캐시 컨트롤러 비활성 시 캐시를 조용히 건너뛰고 있었습니다. 파드 초기화 직후 지연 시간이 튀는 현상의 원인이었을 수 있습니다. 수정 후에는 문서 명세대로 제로 무효화 시간일 때 캐시를 사용하므로, 이 기능을 쓰고 있다면 이전에 측정한 동작과 달라질 수 있어 재테스트가 필요합니다.

주요 변경 (3)
  • list objects 파이프라인에 엣지 프루닝 도입 — 복잡한 인가 모델에서 측정 가능한 지연 시간 감소
  • 캐시 컨트롤러가 제로 무효화 시간을 반환할 때(콜드 스타트 또는 비활성 상태) weighted_graph_check 캐시가 잘못 우회되던 버그 수정
  • Go 표준 라이브러리 취약점 대응을 위해 Go 툴체인을 1.26.2로 업그레이드
원문

Prometheus

Observability2026년 4월 27일

Prometheus v3.5.3은 보안 전용 릴리스로, 자격증명 노출, 스내피 압축 폭탄 2건, 레거시 UI의 저장형 XSS 등 4개의 취약점을 패치합니다.

  • security/-/config 엔드포인트가 외부에 노출됐다면 즉시 AzureAD client_secret 교체

    AzureAD remote write를 사용하는 모든 Prometheus 인스턴스는 /-/config 엔드포인트에서 OAuth client_secret이 평문으로 드러났습니다. 해당 엔드포인트가 비인가 사용자나 모니터링 도구에 의해 접근 가능했다면 시크릿이 유출된 것으로 간주해야 합니다. Azure AD에서 시크릿을 교체하고 Prometheus 설정을 업데이트한 뒤 v3.5.3으로 업그레이드하세요. 업그레이드 후에는 리버스 프록시 또는 --web.enable-admin-api 설정으로 /-/config 접근을 제한하는 것이 좋습니다.

  • security외부 소스로부터 remote-read/write를 받는다면 즉시 업그레이드

    remote-read와 remote-write 엔드포인트 모두 압축 폭탄 공격에 취약했습니다. 선언된 디코딩 크기를 부풀린 스내피 요청으로 메모리를 고갈시킬 수 있었습니다. 인터넷에 노출된 Prometheus이거나 멀티 테넌트 환경에서 데이터를 수신한다면 서비스 거부 공격 위험이 있습니다. 설정으로 우회할 방법은 없으므로 v3.5.3으로 업그레이드하는 것이 유일한 해결책입니다.

  • security레거시 UI 사용 시 저장형 XSS 패치 적용 필요

    구형 UI 히트맵이 'le' 레이블 값을 이스케이프 없이 렌더링해 저장형 XSS가 가능했습니다. 외부나 사용자가 제어하는 시스템에서 'le' 레이블이 수집되고 있다면, 악성 자바스크립트가 브라우저에서 실행될 수 있습니다. v3.5.3으로 업그레이드하세요. 단기 조치로는 사용자를 신규 UI로 유도하는 방법도 있습니다.

주요 변경 (4)
  • CVE-2026-42151: AzureAD OAuth client_secret가 /-/config 엔드포인트에서 평문으로 노출
  • CVE-2026-42154: Remote-read 스내피 압축 폭탄 — 선언된 디코딩 길이가 제한을 초과하면 요청 거부
  • Remote-write도 동일한 디코딩 제한 적용으로 압축 폭탄 공격 차단 (별도 CVE 없음)
  • 레거시 UI 히트맵 틱 레이블에서 'le' 레이블 값이 이스케이프 처리되지 않아 저장형 XSS 발생 (GHSA-fw8g-cg8f-9j28)
원문

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

LTS 채널의 대규모 보안 유지보수 릴리스입니다. 커널이 6.6.107에서 6.6.127로 올라가며 지난 LTS 포인트 릴리스 이후 누적된 CVE 수백 건을 해소했고, ca-certificates 업데이트와 arm64 Mac용 로컬 개발 환경 수정도 포함되어 있습니다.

  • security커널 업데이트를 서둘러 적용하세요 — 대규모 CVE 백로그 해소

    커널이 6.6.107에서 6.6.127까지 약 20개 포인트 릴리스를 건너뛰며 누적된 수백 건의 CVE를 한 번에 해결했습니다. 4081.3.6 이하 버전을 운영 중이라면 그동안 패치되지 않은 커널 취약점을 안고 있었던 셈이고, 그중에는 네트워킹·파일시스템·메모리 관리 등 컨테이너 워크로드에서 자주 노출되는 서브시스템 관련 취약점도 포함되어 있습니다. 일반적인 마이너 업데이트가 아니라 우선순위 높은 패치로 취급하고 업데이트 링이 허용하는 대로 빠르게 배포하세요.

  • enhancementca-certificates 3.116→3.122 반영 후 TLS 신뢰 체인 점검 필요

    ca-certificates가 3.116에서 3.122로 여러 NSS 릴리스를 건너뛰며 올라갔습니다. OS 이미지와 별도로 CA 번들을 고정하거나 자체 관리하고 있다면 이 구간에서 제거되거나 신뢰 철회된 루트 인증서가 있는지 확인하세요. 내부 서비스나 오래된 엔드포인트의 TLS 검증이 깨질 수 있습니다.

  • enhancementApple Silicon 로컬 VM 테스트 속도 개선

    QEMU 런처 스크립트가 arm64 기반 Mac에서 HVF 가속을 사용하도록 수정되었습니다(Flatcar#1901). Apple Silicon에서 Flatcar 이미지를 로컬로 빌드하거나 테스트한다면 관련 스크립트나 툴링을 업데이트하세요. VM 부팅과 테스트 사이클이 눈에 띄게 빨라집니다.

주요 변경 (5)
  • 리눅스 커널이 6.6.107에서 6.6.127로 업데이트되었고 그 사이 약 20개의 안정화 릴리스가 포함됨
  • 이번 릴리스 한 번에 2023~2026년 사이 공개된 CVE 수백 건이 패치됨
  • ca-certificates가 3.116에서 3.122로 업데이트됨(다수의 NSS 릴리스 포함)
  • QEMU 런처 스크립트 수정으로 arm64 Mac에서 HVF 가속 지원, 로컬 VM 성능 개선
  • 신규 기능이나 호환성을 깨는 변경은 없고 유지보수·보안 위주 릴리스임
원문

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

Flatcar stable-4593.2.0은 대규모 보안 패치와 인프라 변경이 함께 포함된 릴리스입니다. 150개 이상의 커널 CVE 수정, openssh/openssl/curl/intel-microcode 업데이트, initrd 및 파티션 레이아웃 변경이 있어 업그레이드 전 검토가 필요합니다.

  • security커널 및 유저스페이스 전반에 걸친 대규모 CVE 수정 — 즉시 업데이트 필요

    Linux 커널에서만 150개 이상의 CVE가 패치됐고, openssh 10.2_p1, openssl 3.5.4, curl 8.16.0, intel-microcode, gnupg, pam 등 유저스페이스 컴포넌트들도 각각 CVE 수정을 포함합니다. Stable 4459.2.4 이후 누적된 보안 패치가 한꺼번에 들어온 릴리스입니다. 자동 업데이트를 일시 중지해둔 노드가 있다면 실제로 업데이트가 진행되고 있는지 확인하세요.

  • breakingsshd가 OpenSSH 업스트림 기본값으로 변경 — 포스트-퀀텀 키 교환 기본 활성화

    sshd_config에서 Ciphers, MACs, KexAlgorithms 고정값이 제거되고 OpenSSH 업스트림 기본값으로 바뀝니다. 포스트-퀀텀 키 교환 알고리즘이 기본 활성화됩니다. 레거시 알고리즘이 필요한 환경(컴플라이언스 도구, 구형 SSH 클라이언트 등)은 업그레이드 전에 /etc/ssh/sshd_config.d/ 아래에 drop-in 설정 파일을 배포하세요. 비프로덕션 노드에서 먼저 SSH 연결을 검증하는 것을 권장합니다.

  • breaking파티션 레이아웃 변경 및 1단계 initrd의 커널 모듈 축소

    파티션 크기가 커졌습니다: /boot 1GB, /usr 2GB, /oem 1GB. 기존 노드는 계속 업데이트 가능하지만, 새 디스크 이미지는 더 큰 레이아웃을 씁니다. 디스크 용량이 빠듯한 환경이라면 사전에 확인하세요. 또한 커널+initrd가 2단계로 나뉘면서 /boot 크기가 절반으로 줄었는데, 1단계 initrd에서 필요한 커널 모듈이 빠져 있으면 부팅 문제가 생길 수 있습니다. 문제 발생 시 Flatcar 팀에 즉시 보고하세요.

주요 변경 (6)
  • Linux 커널 6.12.81로 업데이트, 커널 자체에서만 150개 이상의 CVE 패치
  • openssh 10.2_p1 업데이트 — sshd가 업스트림 기본값 사용, 포스트-퀀텀 키 교환 기본 활성화, 레거시 cipher 설정 제거
  • intel-microcode 업데이트로 Intel 하드웨어의 사이드채널 및 정보 누출 관련 CVE 14건 수정
  • 2단계 initrd 도입: 1단계는 최소 구성(/boot 크기 절반 감소), 커스텀 커널 모듈 빌드 방식이 Ubuntu 방식에서 업스트림 표준 방식으로 변경
  • 파티션 크기(/boot, /usr, /oem) 증가; 이전 initrd 재작업으로 깨졌던 Ignition OEM 설정 로딩 및 PXE OEM 커스터마이징 수정
  • SSSD/LDAP 인증 복구 — 이전 Samba 업데이트 이후 누락됐던 PAM sssd 지원 및 LDB 모듈 복원
원문

wasmCloud

Orchestration & Management2026년 4월 24일

Wasmtime 44 업그레이드, 풀링 할당자 충돌 수정, Linux GPU 지원을 위한 glibc 빌드 추가가 포함된 패치 릴리스입니다.

  • security풀링 할당자 충돌이 있었다면 즉시 업그레이드하세요

    기존에는 호스트 하드웨어의 지원 여부 확인 없이 풀링 할당자가 활성화되었고, 이로 인해 런타임 충돌이나 예측 불가한 메모리 동작이 발생할 수 있었습니다. 특정 호스트 유형에서 wash-runtime 불안정 증상이 있었다면 이번 수정이 원인을 해결한 겁니다. 업그레이드 후 메모리 할당 동작을 모니터링하세요.

  • breakingWasmtime 44 업그레이드 전 스테이징 환경에서 반드시 검증하세요

    Wasmtime 44는 하위 런타임의 메이저 버전 변경입니다. wasmCloud가 감싸고 있긴 하지만, Wasmtime은 버전마다 메모리 처리, WASI 인터페이스, 컴포넌트 모델 동작에 변화가 생기는 경우가 있습니다. 프로덕션 클러스터 업그레이드 전에 반드시 비프로덕션 환경에서 컴포넌트 워크로드를 검증하세요.

  • enhancementLinux GPU 워크로드 운영 중이라면 glibc 빌드로 전환을 검토하세요

    Linux에서 GPU 기능을 사용하는 wasmCloud 워크로드를 운영 중이거나 계획하고 있다면, 새로운 glibc 빌드가 동적 링크 런타임을 기대하는 표준 Linux 배포판과의 호환성 문제를 해결합니다. 새 아티팩트를 받아 GPU 호스트 환경에서 검증해 보세요.

주요 변경 (4)
  • Wasmtime 런타임을 버전 44로 업그레이드
  • 풀링 할당자 활성화 전 하드웨어 지원 여부를 사전 점검하도록 수정 — 미지원 시스템에서의 충돌 방지
  • Linux에서 GPU 기능을 사용하는 워크로드를 위한 glibc 빌드 추가
  • API 및 설정 변경 없는 순수 패치 릴리스
원문

Linkerd

Networking & Messaging2026년 4월 24일

OpenSSL·rustls 보안 패치, Gateway 라우트 어드미션 웹훅 버그 수정, 인젝터의 어노테이션→메트릭 레이블 변환 개선이 포함된 유지보수 중심 엣지 릴리스입니다.

  • securityOpenSSL·rustls-webpki 패치 즉시 적용 권고

    이번 릴리스에 OpenSSL 크레이트가 두 번 업그레이드되고 rustls-webpki도 갱신됐습니다. 모두 프록시 TLS 스택에 위치한 의존성입니다. 보안 민감한 환경에서 Linkerd 엣지 빌드를 운영 중이라면, 다음 스테이블 릴리스를 기다리지 말고 edge-26.4.4로 업그레이드하는 것이 낫습니다.

  • breakingGateway 라우트 정책 우회 설정 검토 필요

    어드미션 웹훅이 Linkerd가 지원하지 않는 필드를 포함한 Gateway 라우트도 전체 검증하면서 정상 라우트가 거부되던 문제가 수정됐습니다. 이 버그를 피하기 위해 라우트 구성을 변경한 적 있다면, 해당 우회책이 여전히 필요한지, 혹은 실제 설정 오류를 가리고 있지는 않은지 지금 점검해야 합니다.

  • enhancement커스텀 Helm 오버라이드 사용 시 드라이런으로 확인하세요

    차트 설치 시 오버라이드 값이 적용되지 않던 버그가 수정됐습니다. 설치 자동화에서 특정 오버라이드 패턴을 사용하고 있다면, 프로덕션 배포 전에 이 버전으로 드라이런을 실행해 최종 values가 기대값과 일치하는지 반드시 검증하세요.

주요 변경 (5)
  • OpenSSL 크레이트 두 차례 업그레이드(0.10.76→0.10.78)와 rustls-webpki 패치 — 프록시 TLS 스택에 직접 영향
  • 지원되지 않는 필드가 포함된 Gateway 라우트에서 어드미션 웹훅이 불필요한 검증을 건너뛰도록 수정
  • 인젝터의 어노테이션→메트릭 레이블 변환 로직 강화로 엣지 케이스 레이블 오염 방지
  • Helm 차트 설치 시 오버라이드 값이 제대로 적용되도록 수정 — 오래된 설치 커스터마이징 버그 해소
  • proxy-init v2.4.8, cni-plugin v1.6.7, 프록시 v2.350.0으로 갱신
원문

Envoy

Networking & Messaging2026년 4월 23일

v1.38은 대형 릴리스로, RSA 키 사용 강제 적용, BoringSSL 빌드 플래그 변경, tcp_proxy 설정 검증 등 즉각 조치가 필요한 브레이킹 체인지가 여럿 포함됩니다.

  • securityCVE-2026-27135 패치 — HTTP/2 사용 시 v1.38로 업그레이드 우선 검토

    이번 릴리스에 nghttp2의 CVE-2026-27135 패치가 포함됩니다. Envoy를 HTTP/2 게이트웨이나 프록시로 운용 중이라면 직접적인 노출 가능성이 있습니다. HTTP/2 트래픽을 처리하는 클러스터부터 업그레이드를 우선 적용하세요. RBAC 헤더 매처의 연결 기반 우회 공격 수정도 함께 포함되어 있어 보안 측면에서 이번 업그레이드는 권장 수준을 넘어섭니다.

  • breaking업그레이드 전 TLS 설정 전수 점검 — RSA 키 사용 이제 강제 적용

    enforce_rsa_key_usage가 이번 릴리스부터 기본 true로 바뀌었고, 다음 릴리스에서는 옵션 자체가 삭제됩니다. 인증서의 키 사용(Key Usage) 확장이 협상된 암호와 맞지 않으면 업스트림 연결이 즉시 거부됩니다. 업그레이드 전에 업스트림 인증서 설정을 점검하고, 스테이징 환경에서 먼저 테스트하세요. 운영 환경에서 실패하면 연결 리셋으로만 나타나 원인 파악이 어렵습니다.

  • breakingBoringSSL FIPS 빌드 파이프라인 수정 필수

    --define=boringssl=fips Bazel 플래그가 완전히 제거됩니다. FIPS 모드로 Envoy를 빌드하는 CI/CD 파이프라인이나 Dockerfile은 오류가 발생합니다. --config=boringssl-fips로 교체하세요. 공식 바이너리를 사용한다면 직접 영향은 없지만, 커스텀 빌드를 유지 중이라면 파이프라인 수정을 v1.38 적용 전에 완료해야 합니다.

  • enhancementOTel 메트릭을 OTLP/HTTP로 직접 전송 — 콜렉터 사이드카 제거 가능

    OpenTelemetry 스탯 싱크가 이제 콜렉터 사이드카 없이 OTLP/HTTP로 직접 메트릭을 전송할 수 있습니다. Envoy 메트릭 수집만을 위해 otel-collector를 DaemonSet으로 운용 중이라면 아키텍처를 단순화할 기회입니다. Grafana Cloud나 Honeycomb 같은 백엔드로 직접 전송이 가능한지 검토해 운영 복잡도를 줄이세요.

주요 변경 (6)
  • enforce_rsa_key_usage가 업스트림 TLS 컨텍스트에서 기본값 true로 변경 — 인증서 키 사용이 맞지 않으면 연결 거부
  • BoringSSL FIPS 빌드 플래그가 --define=boringssl=fips에서 --config=boringssl-fips로 변경
  • tcp_proxy에서 IMMEDIATE 이외의 upstream_connect_mode 사용 시 max_early_data_bytes 명시 필수, 미설정 시 시작 시점에 검증 실패
  • nghttp2의 CVE-2026-27135 패치 적용
  • OAuth2 토큰 암호화가 기본 활성화로 전환, 비활성화하려면 disable_token_encryption 명시 필요
  • 동적 모듈에 트레이서, TLS 검증기, 커스텀 LB 정책 등 확장 포인트 대폭 추가, v1.39 바이너리와의 ABI 전방 호환 보장
원문

Kyverno

Security2026년 4월 23일

v1.16.4는 15개 이상의 CVE를 수정한 보안 집중 패치 릴리스로, 네임스페이스 정책에서 HTTP 기본 비활성화 등 동작 변경도 포함됩니다.

  • security즉시 업그레이드 — 공급망 구성 요소 포함 15개 이상 CVE 패치

    sigstore/rekor, go-tuf, docker/cli, Go 표준 라이브러리, Kyverno 자체 코드에 걸쳐 CVE가 수정됐습니다. 이미지 서명 워크플로를 운영 중이라면 rekor와 go-tuf 업데이트가 직접 영향을 줍니다. 다음 정기 유지보수 창에서 업그레이드를 진행하세요. 다음 메이저 사이클까지 미루지 마십시오.

  • breaking네임스페이스 정책에서 HTTP 기본 비활성화 (CVE-2026-4789) — 업그레이드 전 반드시 검증

    평문 HTTP로 외부 데이터를 가져오는 네임스페이스 정책은 이번 업그레이드 후 조용히 동작을 멈춥니다. URL 컨텍스트 소스나 외부 데이터 fetch를 사용하는 ClusterPolicy 또는 Policy 리소스가 있다면, 업그레이드 전에 HTTP(비HTTPS) 엔드포인트 사용 여부를 점검해야 합니다. 해당 엔드포인트를 HTTPS로 전환하거나 HTTPS를 지원하는 데이터 소스로 먼저 마이그레이션하세요.

  • breaking네임스페이스 정책의 ConfigMap 접근 제한 — RBAC 검토 필요

    네임스페이스 정책의 ConfigMap 접근 범위가 축소됐습니다. 정책이 컨텍스트나 설정을 위해 다른 네임스페이스의 ConfigMap을 읽고 있다면, 업그레이드 후 해당 읽기 작업이 실패합니다. 정책 정의에서 크로스 네임스페이스 ConfigMap 참조를 찾아 정책 로직을 수정하거나 접근 권한을 조정한 뒤 배포하세요.

주요 변경 (5)
  • CVE-2026-4789: 네임스페이스 정책에서 HTTP 기본 비활성화 — 단순 의존성 업데이트가 아닌 동작 변경
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한으로 정책 컨트롤러 침해 시 피해 범위 축소
  • 정책 평가 시 요청 인가에 스코프 토큰 사용으로 전환
  • forEach 뮤테이션 패닉 수정 — 특정 mutate 규칙 구성에서 엔진이 크래시되던 버그 해결
  • docker/cli, sigstore/rekor, go-tuf/v2, Go 표준 라이브러리 등 의존성 CVE 다수 해결
원문

Kyverno

Security2026년 4월 23일

v1.17.2는 다수의 CVE 패치와 함께 MutatingPolicy/ValidatingPolicy, 웹훅 재조정 루프, 네임스페이스 정책 처리 버그를 집중 수정한 보안 중심 패치 릴리스입니다.

  • security즉시 업그레이드 필요 — 6개 이상의 CVE 수정

    의존성 라이브러리, Go 표준 라이브러리, 그리고 CVE-2026-4789까지 최소 6개의 CVE가 패치되었습니다. 특히 CVE-2026-4789는 네임스페이스 정책에서 HTTP를 기본 비활성화하는 동작 변경을 수반합니다. HTTP 기반 외부 데이터 소스나 컨텍스트를 사용하는 네임스페이스 정책이 있다면, 업그레이드 전에 해당 설정을 점검하세요. 별도 오류 없이 동작이 중단될 수 있습니다. 스테이징 환경에서 정책 동작을 먼저 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

  • breaking네임스페이스 정책 동작 변경 — HTTP 비활성화 및 ConfigMap 접근 제한

    네임스페이스 정책에 두 가지 보안 강화가 적용됩니다. HTTP가 기본 비활성화되고, ConfigMap 접근 범위도 축소됩니다. HTTP 엔드포인트에서 컨텍스트를 가져오거나 타 네임스페이스의 ConfigMap을 읽는 정책은 업그레이드 후 오류가 발생하거나 조용히 실패할 수 있습니다. 프로덕션 배포 전에 반드시 네임스페이스 정책 전체를 대상으로 드라이런 또는 감사 스캔을 먼저 실행하세요.

  • enhancement웹훅 재조정 루프 수정 — 대규모 클러스터의 컨트롤러 부하 감소

    웹훅 규칙의 순서가 일관되지 않아 반복적인 재조정 루프가 발생하고, API 서버 부하 증가와 컨트롤러 로그 폭증으로 이어지는 문제가 수정됐습니다. 웹훅 오브젝트 변경이 감사 로그에 끊임없이 찍히거나 kyverno-controller CPU가 비정상적으로 높았다면, 이번 릴리스로 해소될 겁니다. 업그레이드 후 별도 조치는 필요 없지만, 배포 후 컨트롤러 메트릭을 모니터링해 안정화 여부를 확인하세요.

주요 변경 (5)
  • CVE-2026-24051, CVE-2026-15558, CVE-2026-1229, CVE-2026-33186, CVE-2026-34986, CVE-2026-4789 등 다수 CVE 패치 및 Go 표준 라이브러리 CVE 대응
  • CVE-2026-4789 대응으로 네임스페이스 정책에서 HTTP 기본 비활성화 — 기존 설정에 영향 가능
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한 — 보안 강화 목적의 권한 축소
  • 웹훅 및 웹훅 규칙의 순서 일관성 보장으로 무한 재조정 루프 버그 수정
  • forEach 뮤테이션 엔진 패닉 방지, NamespacedGeneratingPolicy UPDATE 시 잘못된 lister 사용 수정, MutatingPolicy/ValidatingPolicy에 사용자 정보 처리 추가
원문

CoreDNS

Kubernetes Core2026년 4월 22일

CoreDNS v1.14.3은 모든 전송 계층에 TSIG 완전 검증을 적용하고, Go 보안 CVE 13건을 패치하며, 캐시 프리페치 개선과 forward 플러그인의 max_age 옵션을 추가한 운영 보안 강화 릴리스입니다.

  • securityGo CVE 13건 및 TSIG 취약점 수정 — 즉시 업그레이드 필요

    Go 1.26.2가 런타임 CVE 13건을 해결합니다. 여기에 더해 DoH, DoH3, QUIC, gRPC 전송 계층의 TSIG 검증 누락도 함께 수정됐습니다. 해당 전송 방식과 TSIG를 같이 쓰고 있다면, 이전 버전에서는 인증되지 않은 요청이 통과될 수 있었습니다. v1.14.3으로 업그레이드한 뒤 강화된 검증 정책에 맞게 TSIG 설정을 재확인하세요.

  • breakingDoH GET 요청 크기 제한 적용 — 클라이언트 호환성 확인 필요

    CoreDNS가 DoH GET 요청의 dns 쿼리 파라미터 크기를 초과하면 이제 명시적으로 거부합니다. 비표준 구현이나 커스텀 DoH 클라이언트를 사용 중이라면 스테이징에서 먼저 테스트하세요. 표준을 따르는 클라이언트는 대부분 영향이 없지만, 자체 구현 클라이언트는 반드시 검증이 필요합니다.

  • enhancementforward 플러그인 max_age로 오래된 업스트림 연결 관리

    수명이 긴 업스트림 연결은 중간 네트워크 장비에 의해 조용히 끊기거나 성능이 저하될 수 있습니다. 새로운 max_age 옵션으로 연결 최대 수명을 강제 설정할 수 있습니다. 산발적인 업스트림 타임아웃이나 일시적 해석 실패를 경험했다면, 업스트림 안정성에 따라 30초~5분 범위에서 max_age를 설정해 주기적 재연결을 유도해 보세요.

주요 변경 (5)
  • DoH, DoH3, QUIC, gRPC 전송 계층 전체에 TSIG 완전 검증 적용 — 기존에는 검증이 불완전했음
  • Go 1.26.2 빌드로 CVE-2026-32282 등 13개 CVE 패치
  • 캐시 프리페치가 클라이언트 연결을 먼저 해제한 뒤 업스트림을 조회하도록 개선해 고부하 시 연결 고갈 방지
  • forward 플러그인에 max_age 옵션 추가 — 업스트림 연결의 절대 수명을 강제할 수 있음
  • 메트릭 엔드포인트에 TLS 옵션 추가, Go 런타임 메트릭 선택적 내보내기 지원
원문

cert-manager

Security2026년 4월 21일

순수 보안 패치 릴리스입니다. Go 런타임을 1.23.9로 올리고 취약한 의존성을 갱신했으며, 기능 변경은 없습니다.

  • security즉시 v1.19.5로 업그레이드 — CVE 수정 전용 패치

    cert-manager 팀은 모든 사용자에게 업그레이드를 권고하고 있습니다. 변경 내용이 Go 런타임 및 의존성 버전 업 에만 한정되어 있어 기능적 위험 없이 교체할 수 있습니다. v1.19.x를 운영 중이라면 별도 마이그레이션 절차 없이 바로 적용하면 됩니다. Helm, 정적 매니페스트, OperatorHub 등 배포 방식에 맞춰 전체 클러스터에 롤아웃하세요. 업그레이드를 미루면 알려진 취약점이 있는 Go 패키지를 계속 실행하는 셈입니다.

주요 변경 (3)
  • Go 런타임을 1.23.9로 업그레이드하여 Go 툴체인 내 복수의 CVE 대응
  • 취약점이 보고된 서드파티 Go 의존성 패키지를 패치된 버전으로 갱신
  • API, 동작 방식, 설정 변경 없음 — v1.19.x의 드롭인 대체 버전
원문

Contour

Networking & Messaging2026년 4월 20일

v1.33.4는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. Envoy 1.35.0 이상이 필수 요건이므로 즉시 업그레이드해야 합니다.

  • securityCVE-2026-41246 즉시 패치 — 공유 Envoy 환경에서 임의 코드 실행 위험

    HTTPProxy 리소스를 생성하거나 수정할 수 있는 RBAC 권한이 있다면, pathRewrite 값을 조작해 Envoy 안에서 임의 Lua 코드를 실행할 수 있습니다. Envoy가 여러 테넌트 사이에서 공유되는 환경에서는 xDS 클라이언트 인증 정보 탈취나 서비스 거부 공격으로 이어질 수 있어 파급 범위가 넓습니다. Contour를 v1.33.4로 업그레이드하고, 배포 전에 Envoy 버전이 1.35.0 이상인지 반드시 확인하세요. 심층 방어 차원에서 HTTPProxy 쓰기 권한도 신뢰할 수 있는 주체로만 제한하도록 RBAC 정책을 점검하는 게 좋습니다.

  • breakingEnvoy 1.35.0 필수 요건 — 업그레이드 전 버전 확인 필수

    새로운 filterContext 기반 Lua 방식 때문에 Envoy 1.35.0 미만 버전에서는 정상 동작하지 않습니다. Envoy 이미지를 직접 관리하거나 버전을 고정해 사용한다면 Contour 업그레이드 전에 Envoy를 먼저 올려야 합니다. 공식 매니페스트를 그대로 사용한다면 번들 Envoy가 이미 v1.35.10이라 별도 조치는 불필요하지만, 커스텀 환경이나 에어갭 환경은 별도로 확인해야 합니다.

  • enhancement업그레이드 여부와 관계없이 HTTPProxy RBAC 점검 권장

    취약점 패치 후에도 근본적인 공격 경로는 HTTPProxy 리소스에 대한 넓은 쓰기 권한입니다. HTTPProxy 생성/수정 권한은 애플리케이션 개발자가 아닌 플랫폼 운영자 수준으로 좁히는 방향이 바람직합니다. 멀티 테넌트 환경일수록 이런 권한 분리가 장기적으로 더 효과적인 통제 수단이 됩니다.

주요 변경 (4)
  • CVE-2026-41246 수정: cookieRewritePolicies pathRewrite 값을 통한 Lua 코드 인젝션으로 Envoy 내 임의 코드 실행 가능
  • Cookie Rewriting 구현 방식 변경: text/template 기반 Lua 코드 생성 방식 제거, 정적 Lua 스크립트 + filterContext 구조 데이터 방식으로 전환
  • Envoy 1.35.0 이상이 이번 릴리스의 하드 최소 요건으로 지정됨
  • 번들 Envoy 버전이 v1.35.10으로 업데이트됨
원문

Contour

Networking & Messaging2026년 4월 20일

v1.32.5는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. 멀티테넌트 환경이라면 즉시 업그레이드해야 합니다.

  • security멀티테넌트 클러스터라면 CVE-2026-41246 즉시 패치

    신뢰할 수 없는 사용자나 팀이 HTTPProxy 리소스를 생성·수정할 RBAC 권한을 갖고 있다면 직접적인 위협에 노출된 상태입니다. 공격자는 pathRewrite.value에 Lua 문자열 컨텍스트를 탈출하는 값을 심어 Envoy 내에서 코드를 실행할 수 있습니다. Envoy는 공유 인프라이므로 xDS 클라이언트 인증서 탈취나 동일 인스턴스를 사용하는 다른 테넌트 서비스 장애로 이어질 수 있습니다. 지금 바로 v1.32.5로 업그레이드하고, 업그레이드 전까지는 HTTPProxy의 create/update 권한을 최소한으로 줄이세요.

  • breaking업그레이드 후 기존 cookieRewritePolicies 동작 검증 필요

    이번 수정으로 pathRewrite.value 입력값에 이스케이프 처리가 추가됩니다. 백슬래시나 따옴표 같은 특수문자가 포함된 값은 Lua 삽입 전 이스케이프되어 런타임 동작이 달라질 수 있습니다. cookieRewritePolicies[].pathRewrite.value를 사용하는 HTTPProxy 리소스가 있다면 스테이징 환경에서 쿠키 재작성 동작을 반드시 확인하세요.

  • enhancementEnvoy v1.34.14 번들 포함 — 별도 조치 불필요

    Envoy 업데이트는 Contour 이미지에 이미 포함되어 있습니다. 단, Envoy를 Contour와 별도로 관리하는 구성이라면 해당 Envoy 이미지도 v1.34.14로 맞춰 Contour의 테스트 환경과 일치시키세요.

주요 변경 (5)
  • CVE-2026-41246 수정: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • HTTPProxy RBAC 쓰기 권한이 있는 공격자가 공유 Envoy 프록시 내에서 임의 코드 실행 가능
  • 인젝션된 코드로 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스의 다른 테넌트 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입하기 전 이스케이프 처리하는 방식으로 수정
  • Envoy v1.34.14로 업데이트
원문

Contour

Networking & Messaging2026년 4월 20일

Contour v1.31.6은 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 패치합니다. 공유 Envoy 인프라에서 임의 코드 실행으로 이어질 수 있는 심각한 결함입니다.

  • security비신뢰 사용자에게 HTTPProxy 쓰기 권한이 있다면 즉시 패치해야 합니다

    CVE-2026-41246은 멀티테넌트 클러스터에서 특히 위험합니다. HTTPProxy 리소스에 쓰기 권한을 가진 사용자라면 Envoy에 임의 Lua 코드를 주입할 수 있고, Envoy가 공유 인프라인 만큼 피해 범위가 다른 테넌트와 xDS 자격증명까지 미칩니다. v1.31.6으로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면, 기존 HTTPProxy 오브젝트의 pathRewrite 값을 점검하고 HTTPProxy 쓰기 권한을 신뢰할 수 있는 주체로만 제한하세요.

  • enhancementHTTPProxy 쓰기 RBAC 권한을 전면 재검토하세요

    이번 취약점 유형은 사용자 입력값이 코드에 직접 삽입되는 구조적 위험에서 비롯됩니다. 패치 적용과 별개로, HTTPProxy·HTTPRoute 등 프록시 설정을 제어하는 커스텀 리소스 전반에 최소 권한 RBAC을 적용할 타이밍입니다. 네임스페이스 범위 RBAC과 pathRewrite 값을 검증하는 어드미션 웹훅을 패치에 더해 함께 적용하면 방어 심도를 높일 수 있습니다.

주요 변경 (4)
  • CVE-2026-41246 보안 패치: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • 공격 성공 시 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스를 공유하는 테넌트에 대한 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입 전 이스케이프 처리하는 방식으로 수정 — API 변경 없음
  • Envoy v1.34.14로 업그레이드
원문

Crossplane

Orchestration & Management2026년 4월 20일

Crossplane v2.2.1은 ImageConfig 접두사 재작성 시 의존성 업그레이드 누락과 ResourceSelector 처리 버그를 수정하고, 보안 관련 의존성을 일괄 업데이트한 패치 릴리스입니다.

  • security보안 패치 적용을 위해 v2.2.1로 즉시 업그레이드

    이번 릴리스에는 cosign, go-git, go-jose, cloudflare/circl 등 8개 이상의 업스트림 라이브러리 보안 패치가 포함됩니다. go-git은 이번 릴리스에서만 v5.17.1과 v5.18.0으로 두 차례 보안 업데이트가 이뤄졌습니다. v2.2.0을 사용 중이라면 지금 바로 업그레이드 일정을 잡으세요. 호환성을 깨는 변경 사항은 없으므로 드롭인 교체가 가능합니다.

  • breaking업그레이드 후 ImageConfig 접두사 재작성 설정 검증 필요

    프라이빗 레지스트리 미러 등으로 패키지 풀을 우회하는 ImageConfig 접두사 재작성을 사용 중이었다면, 이전까지 의존성 패키지가 오래된 버전에 고정된 채로 방치됐을 수 있습니다. v2.2.1로 업그레이드하면 Crossplane이 그동안 멈춰 있던 의존성 패키지를 재조정하며 업그레이드할 수 있으니, 업그레이드 후 설치된 패키지 버전을 반드시 확인하세요.

  • enhancement컴포지션 함수에서 광범위한 ResourceSelector 안전하게 사용 가능

    특정 kind의 모든 리소스를 선택해야 하는 컴포지션 함수에서 더 이상 우회책이 필요하지 않습니다. apiVersion과 kind만 설정한 ResourceSelector가 유효하게 처리됩니다. matchLabels나 matchName 와일드카드로 이 문제를 우회했다면, 함수 로직에서 해당 셀렉터를 단순화할 수 있습니다.

주요 변경 (5)
  • ImageConfig 접두사 재작성으로 설치된 패키지가 의존성 업그레이드를 무시하던 버그 수정
  • apiVersion/kind만 지정한 ResourceSelector가 거부되던 문제 수정 — 이제 해당 종류의 모든 리소스를 선택하는 것으로 올바르게 처리됨
  • Go 런타임을 보안 태그와 함께 1.25.9로 업그레이드
  • cosign, go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTel OTLP HTTP 추적 익스포터 보안 패치 적용
  • CI 워크플로우 보강: promote 워크플로우의 스크립트 인젝션 위험 완화 및 작업 수준 권한 추가
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.1.5는 ImageConfig 업그레이드 누락, ResourceSelector 매칭 오류, XR 삭제 시 서킷 브레이커 초기화 실패 등 세 가지 동작 버그를 수정하고, Go 1.25.9를 포함한 광범위한 보안 의존성 업데이트를 반영한 패치 릴리스입니다.

  • security핵심 의존성 다수에 CVE 패치 포함 — 빠른 업그레이드 권장

    grpc, go-git(두 번 패치), go-jose, cloudflare/circl, moby/spdystream, docker/cli, OTel OTLP 트레이스 익스포터에 걸쳐 보안 업데이트가 포함됐고, Go 자체도 1.25.9로 올라갔습니다. 단순한 의존성 정리 수준이 아닙니다. v2.1.4에 머무를 이유가 없으니, 가능한 한 빨리 이 버전으로 전환하세요.

  • breakingImageConfig 프리픽스 재작성 사용 시 패키지 버전 누락 여부 확인 필수

    ImageConfig로 레지스트리 프리픽스를 재작성하는 환경이라면, 버그가 존재하던 기간 동안 의존 패키지가 조용히 구버전에 고정됐을 수 있습니다. v2.1.5로 업그레이드한 뒤 패키지 의존성 그래프를 직접 확인하세요. 오래된 패키지는 자동으로 재설치되지 않으므로, 버전 범프나 수동 재설치를 통해 명시적으로 갱신해야 합니다.

  • enhancementkind 전체 선택 ResourceSelector로 컴포지션 함수 로직 단순화 가능

    이전에 bare apiVersion/kind 셀렉터가 거부되어 dummy matchLabels를 추가하거나 로직을 우회하는 방식으로 작성한 컴포지션 함수가 있다면 정리할 때가 됐습니다. 매치 필드 없이 apiVersion과 kind만 지정하면 '해당 종류의 모든 리소스'로 올바르게 해석됩니다. 업그레이드 후 기존 워크어라운드를 검토하고 제거하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 재작성 환경에서 의존 패키지가 오래된 버전에 묶여 있던 문제 수정
  • 컴포지션 함수에서 matchName/matchLabels 없이 apiVersion과 kind만으로 특정 종류의 전체 리소스를 선택할 수 있게 됨
  • XR 삭제 후 재생성 시 이전 서킷 브레이커 상태가 남아 조정을 막던 버그 수정
  • grpc, go-git(두 차례), go-jose, cloudflare/circl, moby/spdystream, docker/cli, sigstore, OTel OTLP HTTP 익스포터 보안 패치
  • Go 런타임을 1.25.9로 업그레이드
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.0.8은 ImageConfig 프리픽스 리라이트 의존성 업그레이드 오류와 ResourceSelector 처리 버그를 수정하고, 다수의 업스트림 보안 취약점을 패치한 릴리스입니다.

  • security보안 패치를 위해 즉시 v2.0.8로 업그레이드

    이번 릴리스에서 보안 태그가 붙은 의존성 업데이트가 다수 포함됐습니다. go-git은 v5.17.1에 이어 v5.18.0까지 두 차례 올라갔고, go-jose, cloudflare/circl 등도 CVE 관련 수정입니다. v2.0.x를 사용 중이라면 지금 바로 업그레이드하세요. API 변경이 없어 업그레이드 경로는 단순합니다.

  • breakingImageConfig 프리픽스 리라이트 환경에서 패키지 의존성 버전 점검 필수

    사설 레지스트리 리다이렉션 등을 위해 ImageConfig 프리픽스 리라이트를 사용해왔다면, 의존 패키지들이 오래된 버전에 조용히 고착됐을 수 있습니다. v2.0.8 업그레이드 후 강제 reconciliation을 실행하고, 모든 패키지 의존성이 기대 버전인지 확인하세요. 업그레이드만으로 이미 고착된 상태가 자동 해소된다고 가정하지 마세요.

  • enhancement컴포지션 함수에서 'kind 전체 선택' 시 빈 ResourceSelector 활용 가능

    기존에는 ResourceSelector에 matchName과 matchLabels를 생략하면 요청 자체가 거부됐습니다. 이제는 빈 셀렉터가 '해당 kind의 모든 리소스'를 의미하도록 올바르게 처리됩니다. 이 제한을 피하려고 리소스를 일일이 열거하거나 더미 조건을 추가했다면, 업그레이드 후 해당 워크어라운드를 정리하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 리라이트 환경에서 의존 패키지가 구버전에 고착되던 버그 수정
  • apiVersion과 kind만 설정된 ResourceSelector(matchName/matchLabels 없음)가 올바르게 '해당 kind의 모든 리소스'로 해석되도록 수정
  • Go 런타임을 1.25.9로 업그레이드(보안 패치 포함)
  • go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTLP HTTP trace exporter 보안 패치
  • promote 워크플로우의 스크립트 인젝션 취약점 완화
원문

Crossplane

Orchestration & Management2026년 4월 20일

v1.20.6은 여러 의존성 CVE를 수정하고 CI 워크플로우의 스크립트 인젝션 취약점을 보강한 보안 중심 패치 릴리스입니다.

  • security의존성 CVE 다수 패치 — 즉시 v1.20.6으로 업그레이드

    이번 릴리스에서 암호화(circl), git 처리(go-git), HTTP/2 스트리밍(spdystream), 텔레메트리(otelhttp) 등 다섯 개 보안 의존성이 한꺼번에 업데이트됐습니다. go-git은 단 하나의 패치 릴리스 안에서 두 번 연속 보안 수정이 들어갔는데, 이는 실제 악용 가능성이 높다는 신호로 읽어야 합니다. v1.20.x를 운영 중이라면 지금 바로 업그레이드하세요.

  • securityCI/CD 공급망 보안 강화 — 자체 파이프라인도 점검 필요

    Crossplane 팀은 릴리스 프로모션 워크플로우의 스크립트 인젝션을 차단하고 GitHub Actions 잡 권한을 최소화했습니다. Crossplane 포크나 커스텀 자동화를 운영 중이라면 자체 워크플로우도 같은 패턴으로 점검해야 합니다. 확인 포인트는 두 가지입니다: run 스텝에 신뢰할 수 없는 입력값이 들어가는 곳, 그리고 GITHUB_TOKEN 권한이 과도하게 넓은 잡.

  • enhancementTrivy 스캔 CI에서 제거 — 자체 스캔 체계 확인 필요

    이번 릴리스에서 Crossplane은 자체 CI 파이프라인에서 Trivy 스캔을 제거했습니다. Crossplane 업스트림의 스캔 결과를 보안 신호로 참고하고 있었다면, 그 정보는 더 이상 제공되지 않습니다. Crossplane 이미지와 프로바이더 이미지에 대한 취약점 스캔을 자체 파이프라인에서 독립적으로 운영하고 있는지 지금 확인하세요.

주요 변경 (5)
  • go-git/go-git 두 차례 업데이트(v5.17.1 → v5.18.0)로 git 관련 보안 취약점 수정
  • cloudflare/circl v1.6.3으로 업그레이드하여 암호화 라이브러리 보안 결함 해소
  • moby/spdystream v0.5.1 업데이트로 HTTP/2 스트림 처리 보안 이슈 패치
  • OpenTelemetry OTLP 트레이스 익스포터 v1.43.0으로 보안 수정 반영
  • CI 워크플로우 스크립트 인젝션 및 권한 상승 취약점 보강
원문

Kubescape

Security2026년 4월 17일

Kubescape v4.0.5는 Go 버전 업그레이드와 의존성 범프만 포함한 순수 유지보수 릴리스입니다. 신규 기능이나 버그 수정은 없습니다.

  • securityGo 런타임 및 의존성 CVE 패치를 위해 업그레이드 권장

    Go 버전 업그레이드는 net/http, crypto 등 표준 라이브러리의 취약점을 함께 수정하는 경우가 많습니다. Kubescape를 클러스터 내 컴포넌트로 운영하거나 CI 파이프라인에서 사용 중이라면 이번 버전으로 교체하세요. 'kubescape version'으로 현재 버전을 확인한 후 바이너리 또는 컨테이너 이미지 태그를 갱신하면 됩니다. 변경 범위가 작아 업그레이드 리스크는 낮습니다.

  • enhancement자동화 파이프라인의 핀 버전을 v4.0.5로 갱신

    CI/CD 보안 스캔 파이프라인에서 Kubescape 버전을 고정해 사용 중이라면 v4.0.5로 업데이트하세요. SCA 도구가 스캔 툴 자체의 의존성 최신화 여부를 감사 항목으로 체크하는 조직이라면 특히 해당됩니다.

주요 변경 (3)
  • Go 툴체인 버전 업그레이드 — 런타임 및 표준 라이브러리 수준 보안 패치 포함 가능성
  • go.mod/go.sum 전반의 의존성 버전 갱신
  • 기능 변경, API 변경, 신규 기능 없음
원문

Kubescape

Security2026년 4월 17일

v4.0.4는 gRPC, go-git, cloudflare/circl, go-jose, hashicorp/go-getter 등 보안 관련 라이브러리 업데이트와 CLI 버그 수정 위주의 의존성 관리 릴리스입니다.

  • security보안 관련 의존성 업데이트로 즉시 업그레이드 권장

    hashicorp/go-getter, cloudflare/circl, go-jose, go-git는 경로 순회, 암호화 취약점, JWT 공격 등의 CVE 이력이 있는 라이브러리입니다. 릴리스 노트에 특정 CVE가 명시되지는 않았지만, go-getter의 1.7.9 → 1.8.6, go-git의 5.16.5 → 5.17.1처럼 버전 차이가 큰 업데이트가 포함돼 있습니다. CI 파이프라인이나 자동화 스캔 환경에서 Kubescape를 운영 중이라면 정기 유지보수 주기를 기다리지 말고 지금 바로 v4.0.4로 업데이트하세요.

  • enhancementHelm 3.20.2 및 gRPC 1.79.3 업데이트로 호환성 개선

    Helm SDK가 3.20.2로 올라가면서 최신 Helm 차트 스캔 결과의 정확도가 높아집니다. 최신 Helm 기능을 쓰는 클러스터를 운영 중이라면, 이전 Kubescape 버전에서 스캔 결과가 불완전했을 수 있습니다. 업그레이드 후 차트 레벨 스캔을 다시 실행해 커버리지를 확인하세요.

  • enhancementscan image 중복 플래그 수정 — 래퍼 스크립트 점검 필요

    kubescape scan image에 플래그를 명시적으로 전달하는 셸 스크립트나 CI 설정이 있다면, 기존의 중복 플래그 버그로 인해 플래그가 무시되거나 예상치 못한 동작이 발생했을 수 있습니다. 업그레이드 후 파이프라인 호출 결과가 기대값과 일치하는지 검증하세요.

주요 변경 (5)
  • hashicorp/go-getter 1.7.9 → 1.8.6 업그레이드 (경로 순회·SSRF 취약점 이력 있는 라이브러리)
  • cloudflare/circl 1.6.1 → 1.6.3 업데이트 (암호화 라이브러리 수정 포함)
  • go-jose/go-jose 4.1.4로 업데이트 (JWT/JWE 처리 취약점 패치)
  • go-git 5.17.1로 업그레이드 (이전 버전에 알려진 git 프로토콜 취약점 존재)
  • scan image 서브커맨드의 중복 CLI 플래그 제거 및 에러 처리 개선
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 ACL을 완전히 우회할 수 있는 경로 순회 취약점 패치. 액세스 제어 정책을 사용하는 모든 Dapr 배포는 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    이론상의 취약점이 아닙니다. 서비스 호출에 액세스 제어 정책을 적용 중이고 Dapr API에 신뢰할 수 없는 호출자가 접근 가능한 환경이라면, 현재 취약한 상태입니다. 특히 gRPC 경로는 메서드 문자열을 raw로 그대로 전달하기 때문에 위험도가 더 높습니다. 지금 바로 v1.15.14로 업그레이드하세요. 서비스 호출 비활성화나 API 완전 격리 외에는 별도의 임시 대응책이 없습니다.

  • securityDapr API 엔드포인트 접근 경로 전면 감사

    이 취약점은 API 접근을 전제로 하므로, 실제 피해 범위는 네트워크 구성에 달려 있습니다. 업그레이드 후 어떤 워크로드와 네트워크 경로가 Dapr HTTP/gRPC API에 접근 가능한지 점검하세요. 사이드카 localhost 접근만 허용하는 구성이 가장 안전합니다. API를 더 넓은 범위에 노출하고 있다면, 이번 패치와 무관하게 접근 범위를 좁혀두는 것이 바람직합니다.

  • breaking업그레이드 후 서비스 호출 메서드 경로 라우팅 검증 필요

    이번 수정으로 모든 메서드 경로에 path.Clean 정규화가 적용되고, #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부됩니다. 특히 gRPC에서 %2F를 경로 구분자로 사용하던 서비스가 있다면 동작이 달라질 수 있습니다. 프로덕션 배포 전에 서비스 간 호출 패턴을 반드시 테스트하세요.

주요 변경 (5)
  • admin%2F..%2Fpublic 같은 경로 순회 시퀀스로 서비스 호출 ACL 완전 우회 가능
  • %23(#), %3F(?) 인코딩 문자로 ACL이 평가하는 경로와 실제 앱이 받는 경로가 달라지는 불일치 발생
  • 단독 % 문자로 ACL 정규화 로직을 크래시시켜 정책 자체를 건너뛸 수 있었던 문제 수정
  • path.Clean을 호출 진입점에서 적용하고 #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부하도록 변경
  • Go v1.25.9로 업데이트(1.24 라인 CVE 대응), ACL 경로에서 purell 의존성 제거
원문

Argo

CI/CD & App Delivery2026년 4월 16일

Argo CD v3.3.7은 컨트롤러 성능 저하, OIDC 설정 갱신, UI 버그, 보안 헤더 누락 등을 수정한 패치 릴리스입니다.

  • securitySwagger UI 클릭재킹 취약점 — 브라우저 접근 환경이라면 즉시 업그레이드

    Swagger UI 엔드포인트에 X-Frame-Options와 CSP 헤더가 누락되어 있었습니다. Argo CD API 서버가 브라우저에서 접근 가능한 환경이라면(내부망 포함) 해당 페이지가 iframe에 삽입될 수 있었습니다. 3.3.7로 업그레이드하면 자동 해결되며, 별도 설정 변경은 불필요합니다.

  • breaking업그레이드 후 SSO 흐름 재검증 권장

    OIDC 설정이 서버 재시작 후에도 캐시된 값을 그대로 쓰던 버그가 수정됐습니다. 정확성 수정이지만, 기존에 stale OIDC 동작을 우회하기 위해 수동으로 파드를 재시작하는 방식을 쓰고 있었다면 업그레이드 후 SSO 인증 흐름이 예상대로 동작하는지 꼭 확인하세요.

  • enhancement컨트롤러 CPU 급등이나 지속적인 재조정 루프가 있다면 우선 적용

    두 가지 수정이 컨트롤러 부하를 낮춥니다. parentUIDToChildren 자료구조 교체는 대규모 클러스터에서 메모리 압박을 줄이고, 인포머 리싱크 수정은 불필요한 앱 새로고침을 차단해 API 서버 부하도 함께 낮춥니다. 재조정 루프가 잦거나 컨트롤러 CPU 사용량이 높은 환경이라면 이번 패치를 우선순위에 두세요.

주요 변경 (5)
  • parentUIDToChildren를 map-of-sets로 교체하고 시크릿 deepcopy/역직렬화 횟수를 줄여 컨트롤러 성능 개선
  • 서버 재시작 시 OIDC 설정이 갱신되지 않던 버그 수정 — 인증 실패 원인 중 하나였음
  • Swagger UI 엔드포인트에 X-Frame-Options 및 CSP 헤더 추가로 클릭재킹 취약점 차단
  • 인포머 리싱크·상태 업데이트로 인한 불필요한 자동 새로고침 방지로 불필요한 재조정 감소
  • copyutil 심링크 처리 오류로 인한 repo-server 크래시 및 helm dependency build에 repo.insecure 플래그 미전달 문제 수정
원문

Dapr

Orchestration & Management2026년 4월 16일

v1.17.5는 인코딩된 URL 문자를 이용한 경로 순회 공격으로 서비스 호출 ACL 정책을 우회할 수 있던 보안 취약점을 수정한 패치입니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출에 접근 제어 정책을 쓰는 모든 배포 환경이 영향을 받습니다. Dapr API(HTTP·gRPC)에 접근할 수 있는 공격자가 경로를 인코딩하는 것만으로 차단된 엔드포인트에 도달할 수 있었습니다. gRPC는 메서드 문자열을 raw로 전달하기 때문에 특히 위험했습니다. 별도의 완화 방법은 없으며, v1.17.5로 즉시 업그레이드하세요. 업그레이드 후에는 ACL 정책을 검토해 의도한 경로가 실제로 적용되는지 확인하세요.

  • breaking#, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    이번 수정으로 #, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 호출 진입점에서 즉시 거부됩니다. gRPC에서 이런 문자를 메서드 경로에 사용하는 서비스가 있다면(드물지만 가능) 업그레이드 후 해당 호출이 실패합니다. 운영 환경 적용 전에 스테이징에서 서비스 호출 경로를 반드시 테스트하세요.

주요 변경 (5)
  • 서비스 호출 메서드 경로의 경로 순회 시퀀스(%2F, ../ 등)로 ACL 우회 가능 — 수정됨
  • 인코딩된 프래그먼트(%23)·쿼리(%3F) 문자로 ACL이 실제 앱에 전달된 경로와 다른 경로를 평가하는 문제 수정
  • 단독 % 문자로 ACL 정규화 크래시 유발 → 정책 전체 우회 가능성 존재했음
  • gRPC는 메서드 문자열을 클라이언트 측 정제 없이 raw로 전달해 더 위험한 공격 경로였음
  • 수정: path.Clean을 호출 진입점에서 적용, purell 의존성 ACL 경로에서 제거
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 메서드 경로의 경로 순회 및 인코딩 문자가 ACL 정책을 우회할 수 있는 치명적 보안 취약점 수정. 접근 제어 정책을 사용 중이라면 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출 접근 제어 정책을 사용하는 모든 배포 환경이 취약합니다. Dapr HTTP 또는 gRPC API에 접근할 수 있는 공격자가 ACL이 허용하는 것처럼 보이지만 실제로는 차단된 엔드포인트로 라우팅되는 메서드 경로를 만들어낼 수 있습니다. gRPC 경로가 특히 위험합니다. 별도의 현실적인 완화 방법이 없으므로 v1.16.14로 즉시 업그레이드하세요. 업그레이드 후에는 기존 ACL 정책 규칙이 정규화된 경로 형식(../ 해소, 인코딩된 구분자 없음)과 일치하는지 검토하십시오.

  • breaking#, ?, 널 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    수정 후에는 프래그먼트(#), 쿼리(?), 널 바이트, 제어 문자가 포함된 메서드 경로를 자동으로 거부합니다. 가능성은 낮지만, 프로그래밍 방식으로 gRPC 메서드 경로를 동적으로 구성하는 코드가 있다면 업그레이드 후 해당 호출이 실패할 수 있습니다. 프로덕션 적용 전에 메서드 경로를 동적으로 생성하는 서비스 호출 코드를 미리 점검하십시오.

주요 변경 (5)
  • 경로 순회 시퀀스(../), 인코딩된 슬래시(%2F), 프래그먼트(%23), 쿼리(%3F), 불완전한 % 문자로 ACL 우회 가능
  • gRPC가 더 위험한 공격 경로 — 메서드 문자열이 클라이언트 측 정규화 없이 그대로 전달됨
  • 근본 원인: ACL은 디코딩·정리된 경로를 평가하고, 대상 앱은 원본 문자열을 그대로 수신하는 불일치
  • 호출 진입점에서 path.Clean 적용 후 ACL 검사와 디스패치 모두 동일한 경로 사용하도록 수정
  • ACL 경로에서 purell 라이브러리 제거, gRPC는 퍼센트 인코딩을 경로 구분자가 아닌 리터럴 문자로 처리
원문
이전 →
월별 보기