RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 5월해제 ×

Karmada

Orchestration & Management2026년 5월 30일

v1.18.0은 하이브리드 클라우드 버스트 스케줄링을 위한 overflow cluster affinities와 리소스 이중 할당 방지 메커니즘을 추가합니다. v1.18.x로 올리기 전에 반드시 v1.17.3+를 먼저 적용해야 합니다.

  • securityAlpine 베이스 이미지 3.23.4로 업데이트

    기본 Alpine 이미지가 3.23.3에서 3.23.4로 올라갔습니다. 일반 업그레이드 외에 별도 조치는 없지만, 이미지 digest를 고정해 쓰는 환경이라면 digest 값을 업데이트하세요.

  • breakingv1.18.x 업그레이드 전 v1.17.3+ 필수 적용

    v1.18.x로 올리기 전에 반드시 v1.17.3+ 상태여야 합니다. 이 순서를 건너뛰면 operator 업그레이드가 실패합니다. `karmadactl version`으로 현재 버전을 확인하고, v1.17.3+가 아니라면 먼저 해당 버전으로 올리세요.

  • breakingDeprecated gRPC 필드 교체 — 커스텀 플러그인 수정 필요

    karmada-scheduler-estimator의 gRPC 필드 여러 개가 deprecated 처리됐습니다. `resourceRequest` → `resourceRequestBytes`, `nodeAffinity` → `nodeAffinityBytes`, `tolerations` → `tolerationsBytes`로 교체됩니다. 커스텀 estimator 플러그인이나 이 필드를 직접 읽는 툴링이 있다면 업그레이드 전에 수정하세요. 기존 필드는 v1.18에서는 아직 남아 있지만 이후 릴리스에서 제거됩니다.

  • breaking삭제된 플래그 및 메트릭 레이블 — 기존 설정 충돌 주의

    karmada-controller-manager에서 `--cluster-lease-duration`, `--cluster-lease-renew-interval-fraction` 플래그가 삭제됐습니다. Karmada Init Configuration의 `Etcd.Local.InitImage`도 제거됐습니다. 배포 스크립트나 Helm values에 이 항목들이 있으면 업그레이드 전에 제거하세요. 그렇지 않으면 컴포넌트 기동에 실패합니다. Prometheus 대시보드도 확인하세요 — `cluster`, `cluster_name` 레이블이 사라지고 `member_cluster`로 바뀌었습니다.

  • enhancement스케줄러 오라우팅 및 eviction 누락 버그 수정

    스케줄러 버그 두 건이 이번 릴리스에서 수정됐습니다. 첫째, 클러스터 레플리카가 부족한 binding이 5분 타이머 큐 대신 exponential backoff(1~10초) 큐로 잘못 라우팅되어 워크로드가 멈춘 것처럼 보이는 문제입니다. 둘째, 여러 컨트롤러가 동일한 ResourceBinding을 동시에 수정할 때 graceful eviction 태스크가 조용히 누락되어 실패 클러스터에서 워크로드가 대피되지 않는 race condition입니다. 이런 증상을 겪었다면 v1.18.0으로 업그레이드 후 해당 워크로드 상태를 재확인하세요.

  • enhancement고부하 환경에서 SchedulingOvercommitProtection 활성화 검토

    SchedulingOvercommitProtection feature gate(기본값: 비활성)는 연속 스케줄링 요청 사이에 클러스터 리소스를 과잉 할당하는 문제를 방지합니다. Pod가 노드에 바인딩되기 전에 동일 클러스터에 중복 스케줄링이 발생하는 환경에서 효과적입니다. staging에서 검증 후 karmada-scheduler와 karmada-scheduler-estimator 양쪽에 `--feature-gates=SchedulingOvercommitProtection=true`를 설정하세요.

  • enhancement하이브리드 클라우드 버스트 스케줄링용 Overflow Cluster Affinities

    PropagationPolicy/ClusterPropagationPolicy에 `overflowAffinities` 필드가 추가됐습니다. 1순위 클러스터 그룹이 소진되면 선언 순서대로 보조 그룹으로 레플리카를 넘기고, 스케일다운 시에는 보조 그룹부터 먼저 회수합니다. IDC 우선 + 퍼블릭 클라우드 버스트 패턴에 적합합니다. 기존 정책에는 영향 없고, 이 필드를 추가한 경우에만 동작이 바뀝니다.

주요 변경 (6)
  • 필수 업그레이드 경로: v1.18.x 적용 전 v1.17.3+ 먼저 적용 (karmada-operator-chart 요건)
  • PropagationPolicy에 OverflowClusterAffinities API 추가 — 1순위 클러스터 그룹 소진 시 보조 그룹으로 자동 확장, 스케일다운 시 역순 회수
  • SchedulingOvercommitProtection feature gate (기본값: off) — 연속 스케줄링 시 assumed workload를 캐싱해 리소스 이중 할당 방지
  • karmada-scheduler-estimator gRPC 필드 deprecated: resourceRequest/nodeAffinity/tolerations → *Bytes 필드로 교체 (Kubernetes 1.35+ 대응)
  • 제거된 항목: --cluster-lease-duration/--cluster-lease-renew-interval-fraction 플래그, cluster/cluster_name Prometheus 레이블(→ member_cluster), Etcd.Local.InitImage 설정
  • 주요 버그 수정: binding backoffQ 오라우팅, 동시 컨트롤러 수정 시 eviction 태스크 누락, ClusterTaintPolicy 동시 health taint 누락
원문

OpenCost

Observability2026년 5월 29일

v1.120.3은 Go 의존성 CVE 2건을 패치하고 AWS·Azure·Oracle·DigitalOcean 프로바이더 전반의 버그를 수정합니다. OVH 프로바이더 추가와 cosign 이미지 서명도 포함됐습니다.

  • security취약한 Go 의존성 패치 — 즉시 업그레이드 필요

    이번 릴리스에서 Go 의존성 취약점 GHSA-xmrv-pmrh-hhx2CVE-2026-34986를 패치했습니다. v1.120.3 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 코드 변경이 아닌 의존성 수준의 취약점입니다.

  • breakingMCP 서버가 기본 비활성화로 변경 — 배포 설정 확인 필요

    MCP 서버의 기본값이 활성화에서 비활성화(MCP_SERVER_ENABLED=false)로 바뀌었습니다. 기본 활성화 상태를 전제로 운영 중이었다면 업그레이드 전에 배포 매니페스트에서 해당 환경 변수를 명시적으로 설정해야 합니다.

  • enhancementcosign 이미지 서명 검증을 어드미션 파이프라인에 추가

    컨테이너 이미지에 cosign keyless 서명과 SLSA provenance 어테스테이션이 추가됐습니다. Kyverno나 cosign verify 같은 정책 도구를 사용 중이라면 OpenCost 이미지에 대한 서명 검증 정책을 CI 또는 배포 시점에 적용할 수 있습니다.

주요 변경 (7)
  • Go 의존성 취약점 패치 (GHSA-xmrv-pmrh-hhx2, CVE-2026-34986)
  • MCP 서버 기본값이 비활성화(MCP_SERVER_ENABLED=false)로 변경
  • OVH 클라우드 프로바이더 추가, DigitalOcean 및 Oracle/Karpenter 가격 산정 버그 수정
  • AWS Spot Price History API 캐싱 추가 및 spot data feed 비활성화 토글 신설
  • 스크레이프 타깃 파싱 메모리 누수 수정, CPU 사용량 카운터 오버플로 보호 추가
  • 컨테이너 이미지 cosign 서명 및 SLSA provenance 어테스테이션 지원
  • AWS CUR 2.0 비용 데이터 수집 지원 추가
원문

Confidential Containers

Security2026년 5월 29일

Confidential Containers v0.21.0은 guest-components 보안 권고 GHSA-84rc-2q4r-45pc를 패치하고, 0.20부터 예고된 네 가지 기능을 0.22에서 제거하기 위해 공식화합니다. Kata 3.31.0과 Trustee 0.20.0을 포함하며, Trustee의 KBS 리소스 관리와 증명 기능을 여러 기능으로 강화했습니다.

  • securityguest-components 보안 패치(GHSA-84rc-2q4r-45pc)

    guest-components 0.20.0은 GHSA-84rc-2q4r-45pc를 패치합니다. 영향받는 배포판이 있으면 업그레이드하세요.

  • breakingCAA docker provider 제거 예정(0.22)

    CAA docker provider는 0.20부터 지원 중단 예정이었으며, 0.22에서 제거됩니다. 0.22 업그레이드 전에 다른 CAA 설정으로 마이그레이션하세요.

  • breakingFedora 기반 mkosi CAA podvm 이미지 제거 예정(0.22)

    Fedora 기반 mkosi 빌드 CAA podvm 이미지는 0.20부터 지원 중단 예정이었으며, 0.22에서 제거됩니다. 다른 podvm 이미지로 전환하세요.

  • breakingpacker CAA podvm 이미지 제거 예정(0.22)

    packer 빌드 CAA podvm 이미지는 0.17부터 지원 중단 예정이었으며, 0.22에서 제거됩니다. 다른 podvm 이미지로 전환하세요.

  • breakingCAA csi-wrapper 제거 예정(0.22)

    CAA csi-wrapper 컴포넌트는 지원 중단되었으며, 0.22에서 제거될 예정입니다. 대체 솔루션으로 마이그레이션하세요.

주요 변경 (5)
  • 보안: GHSA-84rc-2q4r-45pc 패치(guest-components 0.20.0)
  • 네 가지 지원 중단 기능 0.22 제거 예정: CAA docker provider, Fedora mkosi CAA podvm, packer CAA podvm, CAA csi-wrapper
  • Kata Containers 3.31.0, Trustee 0.20.0(KBS v0.4.0), Rust 1.90.0으로 업데이트
  • Trustee 기능 강화: KBS 리소스 삭제 지원, TLS/TDX/SE 개선, 외부 gRPC 플러그인, 중앙화 스토리지, 다중 디바이스 증명 지원
  • RVPS CoRIM 기초 지원 추가, Attestation Agent TEE 감지 정확성 개선, Azure 정책 수정, TPM 검증자 AK TCB 클레임 보고
원문

Kubescape

Security2026년 5월 29일

Kubescape v4.0.9는 스캔 정확도 버그(부분 리소스 수집, 커버리지 리포팅, Prometheus 출력)를 고치고 스캔 리포트의 정보 노출을 보강하며, patch 명령의 기본 푸시 동작을 변경한 대규모 유지보수 릴리스입니다.

  • security시크릿 노출 관련 수정과 신규 익명화 플래그 점검

    스캔 결과의 정보 노출을 막는 수정이 여러 건 포함됐습니다. removeContainersData에서 EnvFrom과 Env[].ValueFrom을 제거하고(커밋 acc3280, 0c68cca), /v1/results의 IDOR 취약점을 보강했으며(커밋 0fe6a0f), 리소스 이름·네임스페이스·라벨·어노테이션·컨테이너 메타데이터를 가리는 --hide 익명화 파이프라인이 새로 추가됐습니다. 스캔 리포트를 팀 밖으로 공유하거나 CI 아티팩트로 내보낸다면 --hide 플래그를 검토하고 컨테이너 환경변수 참조가 노출되지 않는지 확인하세요.

  • breakingpatch 명령의 기본 푸시 동작 제거

    Kubescape의 fix 명령이 이제 기본적으로 패치된 이미지를 푸시하지 않습니다(커밋 b10cbb1). CI 파이프라인이 기존의 기본 푸시 동작에 의존하고 있었다면 --push 플래그를 명시적으로 추가해야 합니다. 그렇지 않으면 업그레이드 후 패치 파이프라인이 아무 경고 없이 이미지 푸시를 멈춥니다.

  • enhancement신규 커버리지 게이트와 diff 명령을 CI에 도입

    CI 파이프라인에서 스캔 커버리지와 컨트롤 결과를 게이트할 수 있는 플래그가 추가됐습니다. --fail-coverage-below로 최소 커버리지 임계값을 지정할 수 있고(커밋 4ae7b87), 커버리지 누락 및 미평가 컨트롤도 명시적으로 리포트됩니다(커밋 5876d2b). 두 스캔 리포트를 비교하는 kubescape diff 명령도 새로 생겼습니다(커밋 00682ee). 이전에는 리소스 수집이 일부 실패해도 조용히 통과했던 CI 게이트에 --fail-coverage-below를 추가하고, kubescape diff로 스캔 간 보안 상태 변화를 추적하세요.

주요 변경 (6)
  • GVR(리소스 타입) 일부 수집 실패를 조용히 무시하지 않고 표면화하며, ScanCoverage가 실패·미평가 컨트롤을 반영합니다
  • CI 커버리지 게이트용 --fail-coverage-below 플래그와 리포트 비교용 kubescape diff 명령이 새로 추가됐습니다
  • 리소스 이름, 네임스페이스, 라벨, 어노테이션, 컨테이너 메타데이터를 가리는 --hide 플래그와 익명화 파이프라인이 새로 생겼습니다
  • fix 명령이 이제 이미지 푸시에 명시적 opt-in을 요구합니다 (이전에는 기본으로 푸시했습니다)
  • Prometheus 출력 관련 수정 다수: 누락된 HELP/TYPE 헤더 추가, score/metrics 출력 writer 경로 수정, 중복 헤더 제거
  • K8s 리소스 수집을 병렬화해 성능을 개선했고 TimedCache의 TOCTOU 레이스 컨디션을 고쳤습니다
원문

Dapr

Orchestration & Management2026년 5월 28일

v1.17.8은 완료된 인스턴스 ID 재사용 시 워크플로우가 영구 stuck되는 버그와, Sentry OIDC discovery document가 X-Forwarded-Host로 오염될 수 있는 보안 취약점(CWE-346)을 수정합니다.

  • securityX-Forwarded-Host를 통한 OIDC discovery document 오염 취약점 조치

    Sentry OIDC 서버를 `--jwt-issuer`나 `--oidc-allowed-hosts` 없이 켜둔 배포는 CWE-346에 노출됩니다. 공격자가 `X-Forwarded-Host` 헤더를 조작한 요청 한 건만으로 discovery document를 오염시킬 수 있고, HTTP 캐시가 최대 1시간 동안 오염된 응답을 서빙할 수 있습니다. 즉시 업그레이드가 어렵다면 `--jwt-issuer`로 issuer를 고정하는 것이 가장 빠른 완화책입니다. 리버스 프록시의 공개 hostname을 `X-Forwarded-Host`로 전달하는 구성이라면 `--oidc-allowed-hosts`를 설정해야 해당 헤더가 계속 동작합니다.

  • breaking인스턴스 ID 재사용으로 stuck된 워크플로우 수정 — 업그레이드 필요

    결정적(deterministic) 인스턴스 ID를 재사용하는 워크플로우를 운영 중이라면 이 버그에 해당할 수 있습니다. 사이드카를 1.17.8로 올리면, 다음 retention reminder가 실행될 때 자동으로 복구되며 스케줄러에서 수동으로 job을 지울 필요가 없습니다. `dapr_runtime_workflow_operation_count{operation=purge_workflow,status=failed}` 메트릭이 워크플로우당 초당 1씩 올라가고 있다면 이 버그를 겪고 있는 겁니다.

주요 변경 (4)
  • 완료된 워크플로우의 retention reminder가 이제 무한 재시도 대신 조용히 드레인됨
  • 기존 1.17 배포에서 stuck된 워크플로우는 사이드카를 1.17.8로 올리면 자동 복구 — 수동 개입 불필요
  • `--oidc-allowed-hosts` 미설정 시 Sentry OIDC가 `X-Forwarded-Host` 헤더를 무시하도록 변경
  • allowlist 미설정 상태에서는 issuer와 jwks_uri를 `r.Host`에서만 도출
원문

SPIRE

Security2026년 5월 28일

v1.14.7은 azure_imds 노드 어테스터의 인증서 검증 결함을 수정합니다. 공격자가 임의 Azure VM으로 위장해 노드 어테스테이션을 통과할 수 있었던 취약점으로, Azure IMDS를 사용 중이면 즉시 업그레이드해야 합니다.

  • securityazure_imds 노드 어테스터 사용 중이면 즉시 업그레이드

    azure_imds 노드 어테스터에서 PKCS7 인증서 검증 로직에 결함이 있었습니다. 인증서 백의 첫 번째 인증서를 Azure 루트에 anchoring하면서도, 실제 서명 검증은 SignerInfo에서 별도로 가져온 서명자 인증서로 수행했습니다. 공격자가 정상적인 Azure 인증서를 인증서 백에 넣고 별개의 인증서로 서명된 문서를 함께 제출하면, 임의 VM으로 위장한 노드 어테스테이션이 통과될 수 있었습니다. Azure IMDS 노드 어테스터를 쓰고 있다면 즉시 업그레이드해야 합니다.

  • enhancement의존성 패키지 일괄 업데이트 포함

    golang.org/x/net, golang.org/x/crypto, go-jose/v4, Go 툴체인(1.26.3)이 모두 업데이트됩니다. SPIRE 자체를 업그레이드하면 함께 적용되므로 별도 조치는 필요 없습니다.

주요 변경 (4)
  • azure_imds 서버 노드 어테스터의 PKCS7 인증서 검증 결함 수정 — 서명 검증과 체인 검증이 분리되어 노드 위장 가능했던 문제
  • Go 툴체인 1.26.3으로 업데이트
  • golang.org/x/net v0.55.0, golang.org/x/crypto v0.52.0으로 업그레이드
  • go-jose/v4 v4.1.4로 업데이트
원문

Prometheus

Observability2026년 5월 28일

Prometheus 3.12.0은 Remote Write DoS와 STACKIT SD 시크릿 노출 두 가지 보안 패치를 포함하며, Agent 모드 WAL 레이스 버그를 수정하고 TSDB 범위 쿼리의 헤드 청크 조회를 O(1)로 개선합니다.

  • securitySTACKIT SD 사용 환경은 자격증명 교체 후 즉시 업그레이드

    이번 릴리스에서 두 가지 보안 취약점이 패치되었습니다. 첫째, Remote Write 수신 시 snappy 압축 페이로드의 선언된 압축 해제 크기가 32 MB를 초과하면 요청을 거부하도록 변경되었습니다 — DoS 공격 벡터를 막는 조치입니다. 둘째, STACKIT SD가 `/-/config` 엔드포인트를 통해 시크릿을 평문으로 노출하는 버그(GHSA-39j6-789q-qxvh)가 수정되었습니다. STACKIT SD를 사용 중이라면 업그레이드 전에 노출됐을 수 있는 자격증명을 즉시 교체하세요.

  • breakingAgent 모드 WAL 레이스 패치 — Agent 배포 환경은 업그레이드 필수

    Agent 모드에서 동일한 레이블 셋을 대상으로 동시에 Append가 발생할 때 인메모리 시리즈와 WAL 레코드가 중복 생성되는 레이스 컨디션이 수정되었습니다. 쓰기 부하가 높은 Agent 배포 환경에서는 WAL이 조용히 손상될 수 있었던 버그입니다. 또한 `remote_write` queue_config 필드 유효성 검사가 이제 시작 시점에 수행됩니다 — 기존에는 런타임 패닉으로 이어지던 잘못된 설정이 이제 startup 실패로 나타납니다. 배포 전 반드시 설정 파일을 검증하세요.

  • enhancementTSDB 범위 쿼리 CPU 개선 및 auto-reload-config 안정화

    TSDB 헤드 청크의 범위 쿼리 조회가 O(n²)에서 O(1)로 개선되었고, mmap 처리 시 불필요한 시리즈를 건너뛰도록 최적화되었습니다. 헤드 청크가 많은 운영 환경에서 CPU 사용량이 눈에 띄게 줄어들 수 있습니다. 설정 변경 없이 업그레이드만으로 적용됩니다. 아울러 `auto-reload-config`가 stable로 승격되었으므로, 런북에서 해당 기능에 붙어 있던 '실험적' 주석을 제거해도 됩니다.

주요 변경 (7)
  • 보안: Remote Write에서 32 MB 초과 snappy 페이로드 거부(DoS 방어); STACKIT SD 시크릿 평문 노출 패치(GHSA-39j6-789q-qxvh)
  • TSDB 성능: 헤드 청크 범위 쿼리 조회 O(n²) → O(1); mmap 시 불필요한 시리즈 건너뜀으로 CPU 절감
  • PromQL: 실험적 함수 start(), end(), range(), step() 추가; use-start-timestamps 플래그 뒤에 rate()/irate()/increase()/resets()가 start timestamp 반영
  • Service Discovery: DigitalOcean Managed Databases, Outscale VM 추가; AWS EC2 SD IPv6 지원; AWS SD에 external_id 옵션 추가(ECS/MSK/RDS/ElastiCache)
  • 버그 수정: Agent WAL 레이스 컨디션, 잘못된 네이티브 히스토그램 스크레이프 패닉, TSDB 네이티브 히스토그램 쿼리 패닉, remote_write 설정 startup 시 유효성 검사 적용
  • UI: Status 메뉴에서 시계열 삭제 및 tombstone 정리 기능 추가
  • auto-reload-config stable 승격
원문

Argo

CI/CD & App Delivery2026년 5월 28일

Argo CD v3.3.11은 3.3 브랜치의 정기 패치 릴리스로, 버그 수정 6건과 의존성 보안 패치 1건(CVE-2026-41240)을 포함합니다.

  • securityArgo CD UI dompurify CVE 패치

    UI의 redoc/dompurify를 v3.4.0으로 올려 CVE-2026-41240을 패치했습니다. Argo CD UI를 운영 중이면 v3.3.11로 업그레이드해서 이 XSS 관련 취약점을 제거하세요.

  • enhancement컨트롤러 시작 레이스 컨디션 및 nil 포인터 크래시 수정

    애플리케이션 컨트롤러 시작 시 레이스 컨디션으로 InvalidSpecError가 발생하던 문제와, gitops-engine의 removeWebookMutation()에서 nil 포인터 역참조가 발생하던 문제를 고쳤습니다. 컨트롤러 시작 시 스펙 오류나 크래시를 겪었다면 업그레이드하세요.

주요 변경 (5)
  • 애플리케이션 컨트롤러 시작 시 InvalidSpecError를 일으키던 레이스 컨디션 수정
  • gitops-engine의 removeWebookMutation()에서 nil 포인터 역참조 수정
  • 삭제 훅 리소스의 라벨 truncate 처리 수정
  • UI의 redoc/dompurify를 v3.4.0으로 올려 CVE-2026-41240 패치
  • 서버사이드 diff(ssd)에서 resourceVersion 제거
원문

Argo

CI/CD & App Delivery2026년 5월 28일

Argo CD 3.4.3은 UI XSS CVE(CVE-2026-41240, dompurify), 컨트롤러 기동 race condition, 웹훅 nil pointer 크래시, CLI/UI 버그 등을 수정한 패치 릴리스입니다.

  • securityUI XSS 취약점 CVE-2026-41240 패치 적용 필요

    UI에서 사용하는 dompurify를 v3.4.0으로 올려 CVE-2026-41240을 수정했습니다. 웹 UI를 외부에 노출하거나 불특정 사용자가 접근하는 환경이라면 3.4.3으로 빠르게 업그레이드하세요. 인터넷에 직접 노출된 경우 다음 정기 배포를 기다리지 말고 즉시 적용하는 편이 좋습니다.

  • enhancement컨트롤러 기동 race condition 및 웹훅 nil pointer 크래시 수정

    애플리케이션 컨트롤러 기동 시 InvalidSpecError가 잘못 발생하는 race condition과, removeWebhookMutation()에서 nil pointer dereference로 인한 크래시가 모두 수정됐습니다. 컨트롤러 재시작 후 근거 없는 스펙 오류나 웹훅 관련 패닉이 간헐적으로 발생했다면 이번 패치가 원인일 가능성이 높습니다.

  • enhancement'app wait', 이미 동기화된 앱에 대해 즉시 반환

    'app wait' 명령이 앱이 이미 원하는 상태일 때 즉시 종료하도록 바뀌었습니다. CI/CD 파이프라인에서 sync 완료 대기 용도로 'app wait'를 쓴다면, 이미 정상 상태인 경우 불필요하게 대기하던 문제가 사라집니다. 코드 변경 없이 업그레이드만으로 파이프라인 속도가 빨라집니다.

주요 변경 (6)
  • CVE-2026-41240 수정: UI의 dompurify를 v3.4.0으로 업그레이드
  • 애플리케이션 컨트롤러 기동 시 InvalidSpecError를 유발하는 race condition 수정
  • gitops-engine의 removeWebhookMutation()에서 nil pointer dereference 수정
  • CLI: 앱이 이미 desired state이면 'app wait'가 즉시 종료
  • UI: non-hydrator 앱의 Parameters 탭에서 전체 소스를 반환하도록 수정
  • gitSourceHasChanges 및 fetch 함수에서 repo depth 설정이 제대로 반영됨
원문

Rook

Storage & Data2026년 5월 27일

Rook v1.19.6은 OSD 디바이스 클래스 처리, Prometheus 메트릭 라벨링, 네트워크 계층 의존성 취약점을 다루는 제한된 범위의 패치 릴리스입니다. 이미 운영 중인 Ceph 클러스터의 운영 안정성 개선에 중점을 두었습니다.

  • securitygolang.org/x/net 취약점 패치

    Rook v1.19.6은 golang.org/x/net을 두 번 업데이트합니다(govulncheck CI 실패 및 GO-2026-5026 해결). 높은 트래픽 환경이나 신뢰할 수 없는 네트워크 입력을 처리하는 Rook을 운영 중이라면, golang.org/x/net 권고사항에서 구체적 취약점을 확인하세요. 1.19.6으로 업그레이드하면 패치된 의존성을 상속받습니다. Rook 인스턴스가 신뢰할 수 없는 소스에 네트워킹 로직을 노출한다면 지연하지 말고 업그레이드하세요.

  • enhancementraw-mode에서 OSD 디바이스 클래스 감지 수정

    OSD 디바이스 클래스 처리가 raw-mode prepare 및 reconcile 작업에서 올바르게 작동합니다(#17407). 빠른 스토리지(NVMe)와 느린 스토리지(HDD)를 분리하기 위해 디바이스 클래스를 사용 중이라면, 업그레이드 후 OSD 토폴로지가 올바른 디바이스 클래스를 반영하는지 확인하세요. `ceph osd crush tree`를 확인하고 OSD 가중치 분배를 검토하여 배치 규칙이 의도대로 작동하는지 확인하세요.

  • enhancementPrometheus 메트릭에 cluster 라벨 추가

    Prometheus 스크레이프 메트릭에 upstream Ceph 규칙의 `cluster` 라벨이 포함됩니다(#17544). 여러 Ceph 클러스터에서 Rook 메트릭을 수집한다면, 이 라벨 추가로 메트릭 카디널리티가 개선되고 충돌이 방지됩니다. 기존 라벨 세트에 의존하는 Prometheus 규칙, 대시보드, 알림을 업데이트하세요. 프로덕션 외 환경에서 먼저 테스트하여 PromQL 쿼리 오류를 잡으세요.

주요 변경 (8)
  • upstream Ceph 변경사항에 맞춰 Prometheus 규칙 업데이트; 모든 스크레이프 메트릭에 cluster 라벨 추가
  • OSD 디바이스 클래스가 raw-mode prepare 및 reconcile에서 인식됨
  • golang.org/x/net 패치로 네트워크 계층 취약점 해결(GO-2026-5026)
  • 래핑된 컨텍스트 deadline 오류 발생 시 자체 서명 인증서 생성 재시도 로직 추가
  • 모니터 상태 확인 반복마다 노드 존재 여부 확인
  • cmd-reporter 파드에 기본 ResourceRequirements 추가
  • dmcrypt 경로에 대한 암호화 라벨 감지 개선
  • rook-ceph-exporter의 DNS 정책 수정
원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 27일

Linux 커널 CVE 50개 이상 패치 및 CA 인증서 업데이트만 포함된 순수 보안 패치 릴리스입니다. 기능 변경은 없습니다.

  • security50개 이상의 커널 CVE 패치 — 노드 재부팅을 빠르게 예약하세요

    이번 릴리스는 2025년 및 일부 2026년 사전 공개 CVE를 포함해 대량의 커널 취약점을 수정했습니다. 네트워킹과 드라이버 서브시스템 전반에 걸친 광범위한 공격 표면이 다뤄졌습니다. Flatcar는 기본적으로 자동 업데이트를 사용하지만, FLUO나 Kured로 자동 재부팅을 제어하거나 비활성화한 경우 노드가 실제로 업데이트를 적용했는지 확인하세요. 최근 재부팅이 없는 노드는 이 취약점들에 그대로 노출된 상태입니다.

  • securityCA 인증서 번들 NSS 3.124 업데이트 — 커스텀 PKI 설정을 검토하세요

    NSS 3.124 업데이트로 특정 루트 CA가 추가되거나 신뢰 목록에서 제거될 수 있습니다. 시스템 트러스트 스토어에 의존하거나 커스텀 CA 번들을 시스템 번들 위에 덧붙인 경우, 노드 업데이트 후 TLS 핸드셰이크가 정상 동작하는지 반드시 검증하세요. 일반 설정에서는 위험도가 낮지만, 내부 서비스에서 특정 중간 CA에 의존하는 경우 조용히 장애가 발생할 수 있습니다.

  • enhancement업데이트 그룹이 stable 채널을 추적 중인지 확인하세요

    이런 보안 패치 전용 릴리스에서 가장 빠른 대응 방법은 노드가 stable 채널에 등록되어 자동 업데이트가 활성화된 상태를 유지하는 겁니다. 일관성을 위해 특정 이미지 버전을 고정해 뒀다면, 지금이 재검토할 좋은 시점입니다. Container Linux Config 또는 Butane 스펙에서 업데이트 전략이 'off'로 설정되어 있지 않은지 확인하세요.

주요 변경 (4)
  • Linux 커널을 6.12.88~6.12.91 변경 사항을 통합한 6.12.91로 업데이트
  • 네트워킹, 드라이버, 서브시스템에 걸쳐 50개 이상의 커널 CVE 수정
  • ca-certificates를 NSS 3.124로 업데이트하여 루트 CA 번들 갱신
  • 유저스페이스 또는 설정 변경 없음 — 커널과 인증서 업데이트만 포함
원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 27일

Flatcar LTS 4081.3.8은 보안 중심 업데이트입니다. 커널 12개 패치 버전(6.6.128~6.6.141) 분량의 CVE 수정과 ca-certificates 갱신만 포함하며, 기능이나 설정 변경은 없으니 패치만 적용하면 됩니다.

  • security4081.3.7 이하 버전은 즉시 업그레이드 필요

    이번 릴리스는 6.6.128부터 6.6.141까지 12개 커널 패치 버전을 한 번에 포함하며, 드라이버·파일시스템·네트워킹 서브시스템 전반의 메모리 안전성 및 use-after-free 취약점 수백 건을 수정합니다. 4081.3.7 이하 버전을 운영 중이라면 일반 유지보수가 아니라 필수 업그레이드로 취급하고 우선순위를 높이세요.

  • enhancementca-certificates 갱신 후 TLS 신뢰 저장소 확인

    ca-certificates가 NSS 3.124(3.123.1 포함)로 갱신되었습니다. 인증서 번들 버전을 고정하거나 자체 신뢰 저장소를 Flatcar 위에 얹어 쓰고 있다면, 업데이트 후 TLS 검증이 정상 동작하는지 확인하세요. NSS 릴리스마다 특정 루트 CA를 제외하거나 신뢰 목록에서 빼는 경우가 있습니다.

주요 변경 (4)
  • Linux 커널이 6.6.141로 갱신되었고 6.6.128부터 6.6.140까지 수정 사항을 모두 포함합니다
  • 커널에서 수백 건의 CVE가 패치되었으며 메모리 손상, use-after-free, 범위 초과 접근 등 여러 서브시스템에 걸쳐 있습니다
  • ca-certificates가 NSS 3.124 및 3.123.1을 포함하도록 갱신되었습니다
  • 커널과 인증서 저장소 갱신 외에 애플리케이션 수준이나 Flatcar 고유 동작 변경 사항은 없습니다
원문

Falco

Security2026년 5월 26일

Falco 0.44.0은 오래 전부터 deprecated된 gRPC 출력, gVisor 엔진, 레거시 BPF 프로브를 최종 제거합니다. 이 중 하나라도 사용 중인 배포 환경은 업그레이드 전 마이그레이션이 필수입니다.

  • securityfalco-webui 로컬 전용으로 제한 — 외부 접근 도구 확인 필요

    falco-webui Docker 서비스가 이제 로컬호스트 접근만 허용하도록 변경됩니다. 네트워크를 통해 webui에 접근하는 대시보드나 도구가 있다면 업그레이드 후 동작이 달라집니다. 보안 측면에서는 바람직한 변경이지만, 외부에서 webui를 호출하는 자동화 스크립트나 모니터링 도구가 있는지 미리 확인하세요.

  • breaking세 가지 기능 제거 — 업그레이드 전 설정 점검 필수

    이번 릴리스에서 gRPC 출력/서버, gVisor 엔진, 레거시 BPF 프로브가 한꺼번에 제거됩니다. gRPC 기반 출력을 쓰고 있다면 HTTP JSON 출력이나 사이드카 방식으로 전환한 뒤 업그레이드해야 합니다. gVisor를 쓰는 팀은 지원되는 엔진으로 바꿔야 하고, 레거시 BPF를 쓰는 팀은 modern eBPF 프로브로 이동해야 합니다. 0.44.0을 프로덕션에 적용하기 전에 현재 falco.yaml과 배포 구성을 반드시 점검하세요.

  • enhancement룰 문법 확장 — 커스텀 룰 파일 유효성 사전 확인 권장

    룰 엔진에 oneof/allof/anyof 문자열 비교 수식자가 추가됐고, 리스트 트랜스포머 예외도 지원됩니다. 커스텀 룰을 관리하는 팀이라면 기존에 중복 조건으로 우회했던 부분을 이 기능으로 간소화할 수 있습니다. 또한 이번 버전부터 룰 파일에 알 수 없는 키가 있으면 오류가 발생합니다. 기존 룰 파일에 오타나 비표준 필드가 있다면 업그레이드 전에 미리 검증해두세요.

주요 변경 (7)
  • gRPC 출력/서버 제거 — 업그레이드 전 출력 방식 마이그레이션 필요
  • gVisor 엔진 제거 — 해당 엔진 사용 중이면 지원 엔진으로 전환 필요
  • 레거시 BPF 프로브 제거 — modern eBPF 프로브로 전환 필요
  • 룰 엔진에 oneof/allof/anyof 문자열 비교 수식자 추가
  • 룰 파일 내 unknown key 검증 — 비표준 필드가 있으면 오류 발생
  • falco-webui Docker 서비스가 로컬호스트 전용으로 제한
  • 캡처 파일에 capture_events, capture_filesize 종료 조건 추가
원문

OpenTelemetry

Observability2026년 5월 25일

v0.153.0은 피처 게이트 7개를 안정화(브레이킹)하고, gRPC Snappy 압축의 심각한 메모리 손상 버그를 수정하며, mdatagen에 여러 개선 사항을 추가했습니다.

  • securitygRPC + Snappy 사용 중이라면 즉시 업그레이드

    configgrpc의 Snappy 버그는 단순 성능 문제가 아니라 프로세스를 강제 종료시키는 메모리 손상 수준의 결함입니다. exporter나 receiver 설정에 compression: snappy가 있다면 이번 릴리스를 최우선으로 적용하세요.

  • breaking업그레이드 전 피처 게이트 오버라이드 설정 전수 점검 필요

    안정화된 7개 게이트는 이제 영구 동작으로 고정되어 토글이 불가합니다. collector 설정이나 시작 플래그에 configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, pdata.useCustomProtoEncoding, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 남아 있으면 collector 기동에 실패합니다. 특히 UseLocalHostAsDefaultMetricsAddress 변경이 팀에 가장 많은 영향을 줄 수 있는데, 메트릭 엔드포인트가 기본적으로 localhost에만 바인딩되므로 외부에서 스크래핑하는 구성을 재검토해야 합니다.

  • breakingmdatagen 리어그리게이션 설정 생성이 기본 활성화로 변경

    커스텀 collector 컴포넌트를 mdatagen으로 관리 중이라면 리어그리게이션 설정 필드가 이제 기본으로 생성됩니다. 기존 동작(enabled 필드만 포함)을 유지하려면 metadata.yaml에 reaggregation_enabled: false를 명시해야 합니다. 업그레이드 후 mdatagen을 실행하고 생성된 결과물을 커밋 전에 반드시 검토하세요.

주요 변경 (5)
  • telemetry.UseLocalHostAsDefaultMetricsAddress, otelcol.printInitialConfig, pdata.enableRefCounting 등 피처 게이트 7개 안정화 및 제거 — 해당 게이트를 참조하는 설정은 즉시 오류 발생
  • configgrpc Snappy 압축의 메모리 손상 및 치명적 오류 수정 — gRPC + Snappy 조합 사용 시 즉시 업그레이드 필요
  • pdata.useCustomProtoEncoding 피처 게이트 완전 제거 — 더 이상 비활성화 경로 없음, 커스텀 프로토 인코딩이 항상 적용됨
  • mdatagen이 README.md에 설정 문서 테이블을 자동 생성하며, 리어그리게이션 설정 생성이 기본값으로 변경
  • xextension/storage에 Walker 인터페이스 추가 — 스토리지 마이그레이션 및 TTL 기반 가비지 컬렉션 패턴 구현 가능
원문

Crossplane

Orchestration & Management2026년 5월 22일

v1.20.8은 보안 전용 패치 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, golang.org/x/net, x/crypto, docker/cli 등 여러 의존성 CVE를 수정했습니다.

  • securityv1.20 운영 클러스터는 즉시 v1.20.8로 업그레이드 필요

    이번 패치는 go-git(두 건), golang.org/x/net, golang.org/x/crypto, docker/cli, in-toto-golang CVE와 Go 런타임 stdlib CVE까지 한꺼번에 잡았습니다. v1.20.8 미만 버전을 운영 중이라면 현재 취약한 상태입니다. 특히 Crossplane이 Git 저장소에서 패키지를 가져오는 환경이라면 go-git과 x/crypto 취약점이 직접 영향을 줄 수 있습니다. '다음 스프린트에 처리'할 수준이 아니니 빠르게 업그레이드 일정을 잡으세요.

  • enhancement아직 v1.20을 쓰고 있다면 v1.21+ 전환 검토 시점

    v1.20 라인은 보안 백포트만 받고 있어 기능 개선은 없습니다. 이번 패치를 계기로 업그레이드 블로커를 점검해 보세요. v1.21은 충분히 안정화되었고, 구버전 마이너에 머무르면 이런 보안 패치를 계속 쫓아다녀야 하는 상황이 반복됩니다.

주요 변경 (5)
  • Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 수정
  • go-git/go-git v5.19.1로 업데이트 (이번 릴리스에서 두 차례 보안 수정)
  • golang.org/x/net v0.53.0 보안 패치 적용
  • golang.org/x/crypto v0.52.0 보안 패치 적용
  • docker/cli 및 in-toto-golang 보안 이슈 수정
원문

Crossplane

Orchestration & Management2026년 5월 22일

v2.1.6은 보안 패치 중심의 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, x/crypto, OpenTelemetry 등 여러 취약 의존성을 수정했습니다.

  • securityv2.1.x 사용 중이라면 즉시 v2.1.6으로 업그레이드

    Go stdlib, go-git, x/crypto, x/net에 걸친 복수의 CVE가 패치됐습니다. go-git 취약점은 패키지 페치 동작에 영향을 줄 수 있고, x/crypto·x/net 문제는 TLS 및 HTTP 처리에 노출될 수 있습니다. API나 동작 변경은 없어 업그레이드 위험이 낮으므로, 빠르게 적용하는 것이 좋습니다.

  • security설치된 프로바이더 이미지도 별도로 취약점 스캔 필요

    Crossplane 코어는 패치됐지만, AWS·GCP·Azure 등 프로바이더는 각자의 의존성 트리를 가진 별도 이미지입니다. Trivy나 Grype로 현재 실행 중인 프로바이더 파드를 스캔해 동일한 취약 버전이 포함돼 있는지 확인하세요. 각 프로바이더 유지관리팀의 별도 패치 릴리스를 기다려야 합니다.

주요 변경 (5)
  • Go 1.25.10으로 업그레이드하여 stdlib CVE 대응
  • go-git을 v5.19.0 → v5.19.1로 두 차례 보안 패치
  • golang.org/x/crypto 및 x/net 보안 업데이트
  • OpenTelemetry otel v1.41.0으로 업그레이드
  • in-toto-golang v0.11.0으로 공급망 보안 강화
원문

Crossplane

Orchestration & Management2026년 5월 22일

Go 런타임을 1.25.10으로 올리고 go-git, x/crypto 등 의존성 보안 패치를 적용한 순수 보안 패치 릴리스입니다.

  • securityv2.2.x 사용 중이라면 즉시 v2.2.2로 업그레이드하세요

    이번 릴리스는 기능 변경 없이 보안 패치만 포함합니다. Go 1.25.10의 stdlib CVE 수정, go-git v5.19.1의 git 취약점 패치, x/crypto의 암호화 취약점 수정이 모두 반영됐습니다. 동작 변경이 없어 업그레이드 위험은 최소화 수준입니다. 이미지 스캔이나 컴플라이언스 요건이 있는 팀은 v2.2.1 이하 버전을 유지할 경우 취약점 탐지 결과가 계속 뜰 겁니다.

  • security업그레이드 후 새 이미지 다이제스트로 스캐너 재실행 필요

    go-git가 이번 릴리스에서 두 번 연속 패치된 점은 해당 공격 표면에 대한 실질적인 익스플로잇 압박이 있었음을 시사합니다. 업그레이드 후 새 Crossplane 이미지 다이제스트로 취약점 스캐너를 다시 돌려 모든 탐지 결과가 해소됐는지 확인하세요. in-toto-golang도 함께 패치됐으므로 공급망 관련 CVE 항목도 함께 점검하길 권장합니다.

주요 변경 (5)
  • Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 다수 수정
  • go-git/go-git를 v5.19.0 → v5.19.1로 두 차례 연속 보안 업데이트
  • golang.org/x/crypto v0.52.0으로 업데이트하여 암호화 관련 취약점 해소
  • in-toto-golang v0.11.0으로 업데이트하여 공급망 검증 도구 보안 패치
  • crossplane-runtime도 v2.2.2로 동반 업데이트
원문

Crossplane

Orchestration & Management2026년 5월 21일

Crossplane v2.3.0은 고충실도 로컬 렌더 엔진, 리소스별 재조정 제어, 알파 단계의 Provider 삭제 보호 기능을 제공하며, Go stdlib CVE 수정을 포함한 다수의 보안 의존성 업데이트를 반영했습니다.

  • securityGo stdlib CVE 수정 — 이미지 업데이트 권장

    stdlib CVE 패치를 위해 Go가 1.25.10으로 올라갔으며, grpc, go-git, go-jose, cloudflare/circl, golang.org/x/net 등 여러 의존성도 보안 패치가 적용됐습니다. 가능한 빨리 Crossplane 배포를 v2.3.0으로 업데이트하세요. 내부 이미지 미러를 운영 중이라면 롤아웃 전에 새 다이제스트가 반영됐는지 확인하세요.

  • breakingAPI 임포트 경로 변경 및 신규 CLI 저장소 북마크 필수

    Go 코드에서 Crossplane API를 임포트하고 있다면 `github.com/crossplane/crossplane/v2/apis`를 `github.com/crossplane/crossplane/apis/v2`로 수정해야 합니다. `v1.Resource*` 타입은 `v2.ClusterManagedResource*`로 이름이 바뀌었습니다. CLI 버전 관리도 `github.com/crossplane/cli` 저장소 기준으로 전환해야 하며, 코어와 버전이 달라지므로 CI 파이프라인의 버전 핀을 점검하세요.

  • breakingv2.2에서 순차 업그레이드 필수 — 마이너 버전 건너뛰기 금지

    Crossplane은 업그레이드 시 CRD 마이그레이션을 수행하는데, 마이너 버전을 건너뛰면 API 서버 상태가 불일치할 수 있습니다. v1.20 브랜치는 연장 지원을 받지만 v2.x 마이그레이션 계획을 세워야 하며, 공식 업그레이드 가이드의 순차 업그레이드 절차를 반드시 따르세요.

  • enhancement리소스별 폴링 어노테이션으로 API 서버 부하 절감

    변경이 드문 안정적인 XR에 `crossplane.io/poll-interval: 24h`를 설정하면 재조정 빈도를 크게 낮출 수 있습니다. `crossplane.io/reconcile-requested-at` 어노테이션과 함께 쓰면 필요할 때만 온디맨드 재조정을 트리거할 수 있습니다. XR에는 즉시 적용되지만, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 릴리스된 후 사용 가능합니다.

  • enhancementProvider 삭제 보호는 비프로덕션 환경에서 먼저 검증

    신규 `--enable-provider-deletion-protection` 알파 플래그는 관리 리소스가 존재하는 동안 Provider 삭제를 막는 `ClusterUsage` 리소스를 자동으로 생성합니다. 공유 클러스터에서 유용한 안전장치인 만큼, 기존 `ClusterUsage` 웹훅이 자동 생성된 리소스를 올바르게 처리하는지 스테이징에서 먼저 확인한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • API 모듈 분리: `github.com/crossplane/crossplane/apis/v2`가 별도 Go 모듈로 분리됨. 외부 소비자는 임포트 경로 변경 필요
  • Crossplane CLI(`crank`)가 별도 저장소(`github.com/crossplane/cli`)로 이전되어 v2.3.0 이후 독립적인 릴리스 일정으로 운영됨
  • `crossplane render`가 병렬 재구현 대신 실제 컴포짓 재조정기를 구동하여 로컬 렌더 결과와 실제 클러스터 동작이 일치하게 됨
  • 신규 어노테이션 `crossplane.io/poll-interval`, `crossplane.io/reconcile-requested-at`으로 리소스별 재조정 제어 가능 (XR은 즉시 적용, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 업데이트된 후 적용)
  • `--enable-provider-deletion-protection` 플래그(알파)로 관리 리소스가 존재하는 동안 Provider 실수 삭제 방지 가능
  • Go 1.25.10으로 업그레이드(stdlib CVE 수정) 및 grpc, go-git, go-jose, cloudflare/circl 등 보안 의존성 다수 업데이트
원문

containerd

Kubernetes Core2026년 5월 20일

containerd v2.2.4는 두 건의 CVE 패치와 함께 overlay, sandbox, AppArmor, seccomp 관련 버그를 수정한 보안 중심 패치 릴리스입니다.

  • securityCVE 두 건 포함 — 즉시 v2.2.4로 업데이트

    containerd 코어(CVE-2026-46680)와 go-jose 의존성(CVE-2026-34986) 각각 하나씩, 총 두 건의 CVE가 수정됐습니다. 프로덕션 배포 모두에 해당하는 내용이므로 정기 점검 일정을 기다릴 이유가 없습니다. 긴급 패치 프로세스로 처리하세요. Kubernetes 노드에서 containerd를 런타임으로 사용 중이라면 오케스트레이터 종류와 무관하게 모두 영향을 받습니다.

  • securityAF_ALG 기본 차단 추가 — 커스텀 워크로드 사전 검토 필요

    기본 seccomp 프로파일이 AF_ALG(소켓 기반 커널 암호화 API)를 차단하도록 강화됐습니다. 일반적인 워크로드에는 영향이 없지만, 암호화 처리나 하드웨어 오프로드 목적으로 AF_ALG 소켓을 직접 사용하는 컨테이너는 시스템 콜 거부가 발생할 수 있습니다. 업그레이드 전에 커스텀 또는 관대한 seccomp 프로파일을 사용하는 워크로드를 점검해두세요.

  • enhancementUserNS + overlay 환경의 레이어 추출 오류 수정

    사용자 네임스페이스(rootless 컨테이너 포함)에서 overlay 스냅샷터를 쓸 때 'rebase' 기능이 레이어 추출 실패를 일으키던 문제가 해결됐습니다. UserNS 컨텍스트에서 자동으로 비활성화되므로 별도 설정 변경 없이 업그레이드만 하면 됩니다. 업데이트 후 rootless 워크로드의 마운트 정상 동작 여부를 확인하는 정도면 충분합니다.

주요 변경 (5)
  • containerd 코어의 CVE-2026-46680 패치 (GHSA-fqw6-gf59-qr4w)
  • go-jose v4.1.4 업그레이드로 CVE-2026-34986 수정 — JWT/JWK 처리 영역 취약점
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 — 커널 암호화 API 공격 면적 축소
  • 사용자 네임스페이스에서 overlay의 'rebase' 기능 비활성화 — 레이어 추출 실패 문제 해결
  • OCI 스펙의 USER 값이 범위를 벗어날 경우 묵시적 오류 대신 명시적 에러 반환
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 2.0.9는 CVE-2026-46680 보안 취약점 패치와 tar 추출 시 TOCTOU 경쟁 조건 수정, containerd 재시작 시 컨테이너 종료 이벤트 유실 문제 등 여러 버그를 수정했습니다.

  • securityCVE-2026-46680 즉시 패치

    CVE-2026-46680 보안 취약점이 이번 릴리스에서 수정됐습니다. containerd 2.0.x를 사용 중이라면 즉시 2.0.9로 업그레이드하세요. GHSA 보안 권고문에서 영향받는 구성과 심각도를 확인한 뒤 유지보수 일정을 잡되, 가능한 한 빨리 적용하는 것을 권장합니다.

  • securitytar 추출 TOCTOU 수정 — 외부 이미지 사용 환경은 특히 주목

    tar 추출 중 발생하는 TOCTOU 경쟁 조건은 악의적으로 조작된 이미지 레이어로 경로 탈출을 시도하는 데 악용될 수 있습니다. 신뢰할 수 없는 서드파티 이미지를 pull하는 환경이라면 업그레이드와 함께 이미지 소스 제한 정책도 함께 점검하세요.

  • breakingAppArmor 3.0 미만 환경은 업그레이드 후 프로파일 동작 확인 필요

    AppArmor ABI 필드가 이제 조건부로 설정됩니다. AppArmor 3.0 미만 시스템에서는 기존에 호환되지 않는 ABI가 프로파일에 삽입되던 문제가 해결되는 것이지만, 커스텀 프로파일로 이 문제를 우회해왔다면 업그레이드 후 AppArmor 동작을 반드시 검증하세요.

  • enhancement컨테이너 종료 이벤트 유실 수정 — 파드 교체가 잦은 환경에서 효과적

    containerd 재시작 후 컨테이너가 예상치 못한 상태로 멈추는 현상, 특히 파드가 빠르게 순환되는 Kubernetes 환경에서 자주 발생했다면 이 수정이 근본 원인을 해결합니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.

주요 변경 (5)
  • CVE-2026-46680 보안 취약점 패치 — 즉시 업그레이드 필요
  • tar 추출 과정의 TOCTOU 경쟁 조건 수정으로 이미지 언팩 시 경로 탈출 위험 감소
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 — 커널 공격 표면 축소
  • CRI 정보 캐시 전에 도착하는 컨테이너 종료 이벤트가 유실되던 버그 수정
  • 샌드박스 서비스의 Create 필드 전달 오류 및 이벤트 토픽 설정 버그 수정
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 1.7.32는 CVE-2026-46680 보안 패치를 포함하며, 기본 seccomp 프로파일에서 AF_ALG 소켓을 차단하고 OCI spec USER 처리 버그도 수정했습니다.

  • securityCVE-2026-46680 즉시 패치 — 1.7.32로 업그레이드

    이번 릴리스의 핵심은 CVE-2026-46680입니다. containerd 보안 어드바이저리(GHSA-fqw6-gf59-qr4w)에서 심각도와 공격 범위를 먼저 확인하되, 1.7.x를 운영 중이라면 패치를 미루지 마세요. 유지보수 창을 조정하더라도 업그레이드 자체는 최우선으로 계획해야 합니다.

  • security기본 seccomp에서 AF_ALG 차단 — 커스텀 워크로드 사전 점검 필요

    기본 seccomp 정책이 이제 AF_ALG(커널 암호화) 소켓 패밀리를 차단합니다. 하드웨어 암호화 오프로딩이나 HSM 연동 워크로드는 업그레이드 후 시작에 실패할 수 있습니다. 일반 컨테이너에는 영향이 없지만, 특수한 암호화 기능을 쓰는 컨테이너라면 기본값을 완화하는 대신 커스텀 seccomp 프로파일로 명시적으로 허용하는 방식으로 대응하세요.

  • breaking범위 초과 USER 값은 이제 명시적 오류로 처리

    기존에는 OCI spec에 유효 범위를 벗어난 UID/GID가 있으면 예측 불가한 사용자 이름 조회가 조용히 실행됐습니다. 이제는 컨테이너 시작 자체가 실패합니다. 고 숫자 UID를 사용하는 이미지가 있다면 업그레이드 전에 미리 점검하세요. 특히 레거시 이미지나 직접 빌드한 OCI spec을 쓰는 경우 주의가 필요합니다.

  • enhancementAppArmor 2.x 호환성 복구 — 구형 배포판 운영자 확인

    Ubuntu 20.04, Debian Bullseye 등 AppArmor 2.x를 탑재한 배포판에서 1.7.x 일부 버전이 AppArmor 프로파일 로드 오류를 일으켰습니다. abi 지시어를 조건부로 설정하도록 수정되었으니, 관련 오류를 겪었던 환경이라면 업그레이드 후 프로파일 로딩 상태를 확인하세요.

주요 변경 (5)
  • CVE-2026-46680 패치 — 1.7.x 사용자는 즉시 업그레이드 필요
  • 기본 seccomp 소켓 정책에서 AF_ALG 소켓 패밀리 차단으로 컨테이너 샌드박스 강화
  • OCI spec의 범위 초과 USER 값에 대해 이제 명시적 오류 반환 (기존에는 예측 불가한 사용자 조회 발생)
  • hosts.toml에서 [host] 섹션 없이 루트 레벨 필드만 있어도 파싱 가능하도록 수정
  • AppArmor abi 지시어를 조건부로 설정해 AppArmor 3.0 미만 버전과의 호환성 복구
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 2.3.1은 CVE-2026-46680을 패치하고, 기본 seccomp 정책 강화 및 런타임/스냅샷터 버그를 수정한 패치 릴리스입니다.

  • securityCVE-2026-46680 즉시 패치 — 2.3.0에서 업그레이드 필수

    이번 릴리스에서 CVE-2026-46680이 수정됐습니다. 2.3.0을 운영 중이라면 취약점 세부 정보가 공개되기 전에 모든 노드에 2.3.1을 배포하세요. 패키지 매니저나 배포 파이프라인을 통해 빠르게 적용하는 것이 좋습니다.

  • security기본 seccomp 정책에서 AF_ALG 차단 — 커널 암호화 API 사용 워크로드 사전 검증 필요

    기본 seccomp 프로파일이 AF_ALG(커널 소켓 기반 암호화 API)를 차단하도록 강화됐습니다. 대부분의 컨테이너 워크로드에는 영향이 없지만, AF_ALG를 직접 사용하는 애플리케이션은 업그레이드 후 동작이 중단될 수 있습니다. 프로덕션 적용 전에 strace 또는 소켓 호출 감사를 통해 영향 여부를 확인하세요. 커스텀 seccomp 프로파일을 직접 지정한 경우엔 영향받지 않습니다.

  • breaking비-runc 런타임 사용자: 업그레이드 후 샌드박스 태스크 API 동작 검증 필요

    Kata Containers, gVisor 등 대체 런타임을 쓰는 환경이라면 샌드박스 태스크 API 수정 사항이 실제 컨테이너 생성 및 태스크 관리에 미치는 영향을 반드시 확인하세요. Runc 옵션의 태스크 필드가 deprecated 처리됐으니, 커스텀 Runc 옵션 설정에서 해당 필드를 제거하는 작업도 미리 진행해두는 것이 좋습니다.

주요 변경 (5)
  • CVE-2026-46680 보안 취약점 패치 — 2.3.0 사용 중이라면 즉시 업그레이드 필요
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 추가
  • OCI 스펙의 범위 초과 USER 값 처리 시 예상치 못한 username/group 조회 대신 명시적 오류 반환
  • 비-runc 런타임의 샌드박스 태스크 API 엔드포인트 수정 및 Runc 옵션 태스크 필드 지원 중단(deprecated) 처리
  • 서버 종료 시 메타데이터·마운트 플러그인 BoltDB 파일이 정상적으로 닫히도록 수정
원문

OpenFGA

Security2026년 5월 20일

v1.16.0은 키 로테이션 후 OIDC 토큰 거부 버그를 수정하고, 실험적 weighted_graph_check의 두 가지 정합성 버그를 패치하며, Go 표준 라이브러리 취약점 대응을 위해 툴체인을 업데이트했습니다.

  • securityOIDC 인증 사용 중이거나 Go stdlib CVE 영향권이라면 즉시 업그레이드

    두 가지 보안 사항이 있습니다. 첫째, 발급자 키를 로테이션한 후 유효한 토큰이 401로 거부되는 현상이 있었다면 JWKS 갱신 버그가 원인입니다. 이번 패치로 미등록 kid 수신 시 JWKS를 즉시 갱신합니다. 둘째, Go 1.24.3이 패치하는 표준 라이브러리 취약점의 영향을 Go 릴리스 노트에서 직접 확인하고, v1.16.0으로 빠르게 업그레이드하세요.

  • breakingweighted_graph_check 사용 중이라면 업그레이드 후 결과 검증 필수

    이전 버전의 weighted_graph_check는 캐시 키 충돌과 고루틴 취소 시 false 결과 캐싱으로 인해 실제로는 허용되어야 할 요청을 거부할 수 있었습니다. 실험적 기능이지만 실제 트래픽에 적용 중이라면, 업그레이드 후 알려진 권한 시나리오로 결과를 검증해 이전 오동작의 영향을 확인하세요.

  • enhancementPingTimeout 설정으로 데이터스토어 연결 문제를 빠르게 감지

    새로 추가된 PingTimeout과 PingRetryMaxElapsedTime으로 시작 시 및 헬스체크 중 데이터스토어 연결 대기 시간을 명시적으로 제어할 수 있습니다. SLO에 맞게 타이트하게 설정해두면, 데이터스토어가 저하된 상태에서 서버가 그냥 올라오는 상황을 예방할 수 있습니다.

주요 변경 (5)
  • OIDC 인증: 미등록 kid 감지 시 JWKS 자동 갱신(분당 1회 제한)으로 키 로테이션 후 토큰 거부 문제 해결
  • Go 툴체인을 1.24.3으로 업데이트하여 표준 라이브러리 보안 취약점 대응
  • 실험적 weighted_graph_check의 union 해석 시 캐시 키 충돌 버그 수정
  • union 단락(short-circuit) 또는 재귀 해석으로 취소된 고루틴이 false 결과를 캐싱하던 버그 수정
  • 데이터스토어 ping 타임아웃 설정 추가: PingTimeout, PingRetryMaxElapsedTime
원문

NATS

Networking & Messaging2026년 5월 20일

NATS v2.14.1은 JetStream, 클러스터링, 핵심 메시징 전반에서 30여 개 버그를 수정한 대규모 패치 릴리스로, 데이터 무결성과 패닉 수준의 문제가 포함되어 있어 빠른 배포가 권장됩니다.

  • securitygolang.org/x/crypto v0.51.0으로 업데이트 — nats-server를 임베드한 경우 즉시 재빌드

    x/crypto와 x/sys 의존성 업데이트에는 CVE 수정이 포함되는 경우가 많습니다. nats-server를 Go 라이브러리로 임베드해 사용하는 엣지/IoT 환경이라면 재빌드 후 재배포가 필요합니다. 일반 배포 환경은 바이너리 업그레이드만으로 충분합니다. 메시징 서버의 암호화 라이브러리 업데이트는 선택이 아닙니다.

  • breaking배포 전 2.14 업그레이드 가이드 필수 확인 — 2.13.x 버전은 건너뜀

    릴리스 노트는 2.13.x가 아닌 2.12.x 대비 하위 호환성 주의사항을 안내합니다. 2.13.x 마이너 버전은 출시된 적이 없기 때문입니다. 2.12.x에서 올라오는 경우라면 2.14 업그레이드 가이드를 반드시 먼저 읽고, JetStream 컨슈머 및 스트림 API 변경이 클라이언트에 미치는 영향을 점검하세요.

  • enhancement새 클라이언트 트래픽 /varz 지표를 모니터링 대시보드에 즉시 추가

    신규 지표 4종(in/out client msgs/bytes)을 활용하면 클라이언트 트래픽과 클러스터·리프노드 내부 트래픽을 명확히 구분할 수 있습니다. Prometheus 스크레이프나 대시보드에 바로 연결해 기준값을 쌓아두세요. 혼합 트래픽을 처리하는 서버의 용량 계획에 특히 유용합니다. 기존에는 전체 지표에서 클라이언트 부하를 추정해야 했지만, 이제 직접 측정이 됩니다.

주요 변경 (5)
  • JetStream Raft, 컨슈머 상태, 파일스토어 암호화, 클러스터 라우팅 전반에 걸쳐 30개 이상 버그 수정
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가 (in_client_msgs, in_client_bytes, out_client_msgs, out_client_bytes)
  • 워크큐 스트림, max_deliver, purge/compaction 상황에서 컨슈머 재전달 드리프트 문제 수정
  • 암호화 모드 전환 시 파일스토어 블록 캐시 손상 패치 (데이터 무결성 관련 핵심 수정)
  • TLS 핸드셰이크 타임아웃 로그를 debug 레벨로 강등해 클러스터 운영 중 로그 노이즈 감소
원문

NATS

Networking & Messaging2026년 5월 20일

v2.12.9는 JetStream 안정성에 집중한 버그 수정 릴리스로, Raft 정합성 결함, 컨슈머 상태 손상, 파일스토어 암호화 버그 등 데이터 무결성에 직결된 문제들을 수정했습니다.

  • securitygolang.org/x/crypto v0.51.0 업데이트 확인 필요

    Go 1.25.10과 함께 x/crypto 의존성이 업데이트됐습니다. 조직에서 SBOM이나 CVE 추적 도구를 운영 중이라면 v2.12.9 업그레이드 후 갱신된 패키지가 제대로 반영됐는지 확인하세요. 애플리케이션 레벨에서 별도 회피 방법은 없으므로 서버 업그레이드가 유일한 조치입니다.

  • breaking암호화된 JetStream 운영 시 즉시 업그레이드 — 파일스토어 손상 위험

    암호화 모드를 전환할 때 블록 단위 데이터 손상이 발생할 수 있는 버그가 수정됐습니다(#8105, #8166). 기존 스트림에서 암호화 설정을 변경한 적이 있다면, 업그레이드 후 해당 스트림 상태를 점검하세요. 이미 손상이 발생했다면 암호화 전환 이전 스냅샷에서 복구해야 합니다.

  • enhancement신규 /varz 클라이언트 트래픽 지표를 용량 계획에 활용하세요

    새로 추가된 4개 지표를 활용하면 클러스터 내부 트래픽과 실제 클라이언트 부하를 분리해서 볼 수 있습니다. 지금 바로 Prometheus 스크레이프 설정에 추가하면 클러스터 적정 규모 산정과 트래픽 과다 클라이언트 탐지에 바로 쓸 수 있고, 커넥션별 데이터를 파싱할 필요도 없습니다.

주요 변경 (5)
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가(in/out_client_msgs, in/out_client_bytes)
  • 파일스토어 암호화 모드 전환 시 블록 단위 손상 유발 버그 수정 — 암호화된 JetStream 운영 환경에 중요
  • workqueue/interest 스트림에서 max_deliver, 퍼지, 컴팩션 이후 컨슈머 재전달 상태 오류 다수 수정
  • Raft 락 경합 시 클러스터 정보 처리 중 발생하던 데드락 수정
  • WAL 잘라내기 캐시 무효화, 체크포인트 취소, 잘린 엔트리 패닉 등 Raft 정합성 개선
원문

Flux

CI/CD & App Delivery2026년 5월 20일

Flux v2.8.8은 go-git CVE 2건을 패치하고, helm-controller 메모리 누수를 수정하며, GCP 소버린 클라우드 레지스트리 지원을 추가한 패치 릴리스입니다.

  • securitygo-git CVE 2건 패치를 위해 즉시 업그레이드

    CVE-2026-45571CVE-2026-45570은 source-controller와 image-automation-controller에 영향을 줍니다. 대부분의 Flux 설치 환경에서 이 두 컨트롤러를 사용하므로, 별도 우회 방법 없이 v2.8.8로 즉시 업그레이드하는 것이 유일한 조치입니다.

  • breakingcrds/ 디렉터리에 비-CRD 리소스를 두는 차트 점검 필요

    기존 helm-controller는 차트의 crds/ 디렉터리 안의 모든 오브젝트를 강제 적용했는데, 이번에 CRD만 대상으로 동작이 교정됐습니다. 설치 순서 우회 목적으로 crds/ 아래에 비-CRD 매니페스트를 둔 차트(특히 서드파티 차트)가 있다면 영향을 받습니다. HelmRelease 목록을 검토하고, 프로덕션 배포 전 반드시 비운영 환경에서 테스트하세요.

  • enhancementreconciliation 정체 이력이 있다면 아티팩트 페치 타임아웃 설정 확인

    이번에 추가된 HTTP 타임아웃 설정은 페치 중 무기한 블로킹을 직접 해결합니다. helm-controller나 source-controller의 reconciliation이 명확한 오류 없이 멈추는 현상을 경험했다면, 이 수정이 원인이었을 가능성이 높습니다. 업그레이드 후 기본값에 의존하지 말고 타임아웃을 명시적으로 설정하세요. helm-controller v1.5.5 CHANGELOG에서 정확한 필드명을 확인하고, 메모리가 지속적으로 증가했던 환경이라면 업그레이드 전후 메모리 사용량도 비교해보세요.

주요 변경 (5)
  • go-git v5.19.1 업데이트로 source-controller·image-automation-controller의 CVE-2026-45571, CVE-2026-45570 취약점 패치
  • helm-controller: reconcile 루프마다 Kubernetes 클라이언트 전송 재시도 래퍼가 누적되던 메모리 증가 문제 수정
  • 아티팩트 페치 HTTP 타임아웃 설정 옵션 추가 — 무기한 블로킹으로 인한 reconciliation 정체 방지
  • helm-controller가 차트 crds/ 디렉터리의 비-CRD 오브젝트를 강제 적용하던 동작 수정 (운영 영향 가능성 있음)
  • source-controller·image-reflector-controller에 GCP 소버린 클라우드 아티팩트 레지스트리 지원 추가
원문

Emissary-Ingress

Networking & Messaging2026년 5월 19일

Emissary-Ingress v4.1.0은 Envoy를 1.37.2로 올리고, Istio mTLS 인증서 교체 실패를 유발하던 캐시 스테일 버그를 수정했습니다.

  • security업그레이드 전 Envoy 1.37.x 릴리스 노트 검토 필수

    이번 업그레이드는 Envoy 1.37.0~1.37.2 세 버전을 한 번에 포함합니다. 보안 패치뿐 아니라 xDS 필드 변경이나 동작 변경이 포함될 수 있으므로, 현재 Mapping/Ambassador 설정과 충돌하는 deprecated API가 있는지 Envoy 1.37.x 체인지로그를 사전에 확인하고 배포하세요.

  • breaking캐시 수정으로 인한 시작 시 동작 변화 검증 필요

    IR.check_deltas 수정으로 인해, 캐시가 있는 상태에서 빈 델타 스냅샷이 오면 이제는 전체 재구성이 실행됩니다. 기존의 '조용한' 동작에 의존하는 자동화 스크립트나 헬스체크가 있다면, 프로덕션 배포 전 스테이징 환경에서 먼저 검증하세요.

  • enhancementIstio와 함께 쓰는 환경이라면 즉시 업그레이드 권장

    Emissary와 Istio를 함께 운영 중이라면 이 릴리스가 직접적인 해결책입니다. 인증서 교체 시 캐시에 오래된 인증서가 남아 간헐적인 mTLS 연결 장애가 발생하던 문제(이슈 #4744)가 수정됐으며, 별도 설정 변경 없이 업그레이드만으로 해결됩니다.

주요 변경 (3)
  • Envoy 프록시 1.36.2 → 1.37.2 업그레이드 (마이너 릴리스 3개 포함)
  • IR.check_deltas 버그 수정: 빈 델타 스냅샷 수신 시 캐시된 항목을 그대로 두는 대신 전체 재구성을 강제 실행
  • 스테일 캐시로 인해 Istio mTLS 인증서 교체가 조용히 실패하던 문제 해결
원문

OpenTelemetry

Observability2026년 5월 19일

v0.152.1은 버그 수정이 중심인 릴리스로, snappy 압축 해제 보안 수정과 Prometheus 메트릭 이름 회귀 버그 수정이 실무적으로 가장 중요합니다.

  • securityconfighttp snappy 수정으로 압축 페이로드 메모리 노출 위험 해소

    `pkg/confighttp`에서 snappy 압축 해제 관련 버그 세 건이 수정됐습니다. 압축 해제 라이브러리의 패닉을 잡아 HTTP 400을 반환하고, `max_request_body_size`를 버퍼 할당 전에 체크하도록 바뀌었습니다. 특히 크기 제한을 버퍼 할당 전에 적용하는 변경은, 악의적으로 조작된 압축 페이로드로 메모리를 급격히 소비시키는 공격을 막습니다. 신뢰할 수 없는 출처에서 OTLP HTTP 압축 요청을 받는다면 즉시 업그레이드하세요.

  • breaking텔레메트리 host를 명시 설정했다면 Prometheus 메트릭 이름 변경 확인 필요

    텔레메트리 설정의 `host` 필드를 명시적으로 지정했던 경우, Prometheus 메트릭 이름이 이 릴리스 전후로 달라질 수 있습니다. 버그로 인해 `WithoutScopeInfo`, `WithoutUnits`, `WithoutTypeSuffix`가 기본값 `true` 대신 `false`로 동작했기 때문에, scope 레이블이나 suffix가 붙은 이름으로 메트릭이 노출됐을 가능성이 있습니다. 업그레이드 후 메트릭 이름이 다시 바뀔 수 있으니, 관련 대시보드와 알람 쿼리를 확인하세요.

  • enhancementexporter in-flight 메트릭을 대시보드에 추가하세요

    `pkg/exporterhelper`에 `otelcol_exporter_in_flight_requests` UpDownCounter 메트릭이 추가됐습니다. exporter별 동시 요청 수를 직접 볼 수 있어서, 워커 풀 포화 여부를 기존보다 훨씬 쉽게 파악할 수 있습니다. 업그레이드 후 대시보드에 추가해 두세요.

주요 변경 (7)
  • exporter당 동시 export 요청 수를 추적하는 `otelcol_exporter_in_flight_requests` 메트릭 신규 추가
  • `pkg/confighttp` snappy 압축 해제 버그 3건 수정: 패닉 복구(400 반환), body 정리, 할당 전 크기 제한 적용
  • `pcommon.Value.AsString`이 map·slice 값에서 `<`, `>`, `&`를 HTML 이스케이프하지 않도록 변경 — 이스케이프된 출력에 의존하는 코드가 있다면 확인 필요
  • 정상적인 클라이언트 연결 해제 시 발생하던 gRPC `connection reset by peer` 메시지가 더 이상 WARN 레벨로 출력되지 않음
  • 텔레메트리 host 명시 설정 시 Prometheus 기본값이 잘못 적용되던 버그 수정
  • 트레이스 프로세서가 없을 때 noop tracer provider 반환으로 불필요한 오버헤드 제거
  • API: `xconfmap.Validator` deprecated — `confmap.Validator`와 `confmap.Validate`로 마이그레이션 필요
원문

Keycloak

Security2026년 5월 19일

Keycloak 26.6.2는 세션 고정 공격, XSS, 접근 제어 우회, 리다이렉트 URI 검증 우회, 암호화 취약점 등 16개 CVE를 수정한 보안 집중 패치입니다. 즉시 업그레이드해야 합니다.

  • security즉시 업그레이드 — 계정 탈취 및 개인정보 노출 CVE 다수 포함

    이번 릴리스는 표준 OIDC 플로우와 관리 API에 직접 영향을 주는 취약점들을 수정합니다. 세션 고정으로 인한 계정 탈취(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 위조된 클라이언트 데이터를 통한 토큰 노출(CVE-2026-7571), 계정 리소스 조회를 통한 개인정보 열거(CVE-2026-37981) 등이 포함됩니다. 이론적 위협이 아니라 실제 운영 환경에서 악용 가능한 수준입니다. 변경 관리 프로세스가 있더라도 긴급 패치로 처리해야 합니다.

  • securityFreeMarker RCE 취약점 — 업그레이드 전 커스텀 로그인 테마 점검 필수

    #47915 이슈로 추적된 취약점은 FreeMarker 템플릿에서 임의의 Java 객체를 인스턴스화하고 OS 명령을 실행할 수 있는 문제였습니다. 사용자 입력이 FTL 파일에 반영되는 커스텀 로그인 테마를 운영 중이라면 지금 바로 감사하세요. 수정 후에는 FTL 내 JS 블록에 새로운 이스케이프 처리가 적용되므로, 특히 frontchannel-logout.ftl을 포함한 커스텀 테마가 업그레이드 후에도 정상 동작하는지 반드시 테스트해야 합니다.

  • securityWebAuthn AAGUID 정책 우회 — 기존 등록 자격증명 재검토 필요

    CVE-2026-6856으로 인해 WebAuthn 등록 시 Packed Self-Attestation을 통해 AAGUID 허용 목록 정책을 우회할 수 있었습니다. 규제 환경에서 특정 FIDO2 보안 키만 허용하도록 AAGUID 제한을 설정한 경우, 정책에 위반되는 자격증명이 이미 등록되어 있을 가능성이 있습니다. 업그레이드 후 최근 등록된 WebAuthn 자격증명을 검토하고, 하드웨어 증명이 컴플라이언스 요구사항이라면 재등록을 요구하는 방안을 검토하세요.

주요 변경 (5)
  • 계정 탈취로 이어지는 OIDC 세션 고정(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 액세스 토큰 노출(CVE-2026-7571), 조직 템플릿 Stored XSS(CVE-2026-37980) 등 16개 CVE 패치
  • Packed Self-Attestation을 통한 WebAuthn AAGUID 정책 우회 수정 — 이전까지는 하드웨어 인증기 정책 집행이 불완전했음
  • OIDC 인트로스펙션 엔드포인트에 audience 제한 적용 — 경량 액세스 토큰의 클레임 누출 차단
  • FreeMarker 템플릿에서 Java 객체 인스턴스화 및 OS 명령 실행 가능했던 RCE급 취약점 수정
  • 26.7 스키마 변경 시에도 JDBC_PING이 깨지지 않도록 개선하여 롤링 업그레이드 안정성 향상
원문

hami

AI & ML2026년 5월 19일

v2.9.0은 HAMi-DRA(NVIDIA) 프로덕션 전환, Ascend HAMi-core 모드, VastAI 디바이스 지원을 추가하고 스케줄러 DoS 취약점을 패치합니다. Prometheus 메트릭 이름이 변경되어 업그레이드 전 대시보드 점검이 필요합니다.

  • security스케줄러 DoS 취약점 및 Go 보안 업그레이드 적용 필요

    이번 릴리즈에서 스케줄러 HTTP 라우트에 io.LimitReader를 추가해 DoS 공격 경로를 차단했고(이슈 #554), Go를 1.26.2로 업그레이드해 upstream 보안 패치도 반영했습니다. HAMi 스케줄러가 신뢰할 수 없는 네트워크에 노출된 환경이라면 빠르게 업그레이드하세요.

  • breakingPrometheus 메트릭 이름 변경 — 업그레이드 전 대시보드 점검 필수

    Prometheus 메트릭·레이블 이름이 best practices 기준으로 변경됐습니다. HAMi vGPU 메트릭 기반의 대시보드나 알림 규칙을 운영 중이라면, 업그레이드 전에 변경된 메트릭 이름을 반드시 확인하고 수정하세요. 업데이트된 dashboard.md를 참고하면 됩니다. Prometheus Operator를 쓴다면 새로 추가된 ServiceMonitor Helm 옵션도 함께 검토할 만합니다.

  • enhancementHAMi-DRA(NVIDIA) 프로덕션 준비 완료 — 도입 검토 시작

    HAMi-DRA(NVIDIA)가 이번 버전부터 프로덕션 사용 가능 상태로 전환됐습니다. Kubernetes 1.26 이상을 쓰면서 기존 device plugin 방식 외에 세밀한 GPU 리소스 관리가 필요하다면 지금이 DRA를 검토할 시점입니다. DRA는 스케줄러가 GPU 리소스를 인식하는 방식 자체를 바꾸므로, 프로덕션 적용 전에 별도 클러스터에서 먼저 검증하세요.

주요 변경 (6)
  • Ascend 디바이스용 HAMi-core 모드 추가 및 성능 최적화, 최신 벤치마크 공개
  • HAMi-DRA(NVIDIA) 프로덕션 사용 가능 전환; Volcano-vgpu-device-plugin v0.19 동기화로 CDI 지원 추가
  • 스케줄러 HTTP 라우트에 io.LimitReader 적용으로 DoS 방어; Go 1.26.2로 업그레이드
  • Prometheus 메트릭·레이블 이름 best practices 기준으로 변경 — 기존 대시보드 수정 필요
  • VastAI 디바이스 지원 추가; Ascend 910C SuperPod 모듈 페어 할당 지원; CDI 모드 MIG 버그 수정
  • 스케줄러 calcScore, leaderelection, ondelpod 등 여러 nil 포인터/패닉 버그 수정으로 안정성 개선
원문

OpenCost

Observability2026년 5월 18일

v1.120.2는 보안 취약점 패치, 메모리 누수 수정, AWS CUR 2.0 지원, OVH 클라우드 프로바이더 추가, cosign 이미지 서명 등 실무적으로 중요한 변경이 많은 릴리즈입니다.

  • securityCVE-2026-34986 패치 — 즉시 업그레이드

    GHSA-xmrv-pmrh-hhx2와 CVE-2026-34986에 해당하는 Go 의존성 취약점이 수정됐습니다. v1.119.x 또는 이전 v1.120.x를 운영 중이라면 지금 바로 v1.120.2로 올리세요. 업그레이드 후 취약점 스캐너로 해당 패키지가 실제로 해소됐는지 확인하는 것을 잊지 마세요.

  • enhancementAdmission 파이프라인에 cosign 서명 검증 정책 추가

    OpenCost 이미지가 이제 cosign 키리스 서명과 SLSA 프로버넌스 증명을 포함합니다. Kyverno나 Connaisseur 같은 Admission Controller를 쓰고 있다면, opencost 이미지에 서명 검증 정책을 추가하세요. 규제 환경에서 OpenCost를 운영하는 팀이라면 공급망 보안 관점에서 놓치면 안 되는 변경입니다.

  • enhancementAWS CUR 2.0 전환 및 스팟 데이터 피드 설정 정리

    AWS 빌링을 이미 CUR 2.0으로 전환한 경우 OpenCost에서 직접 연동 가능합니다. 스팟 데이터 피드를 사용하지 않는다면 새로 추가된 비활성화 토글을 켜세요 — 불필요한 경고 로그와 설정 폴링을 없앨 수 있습니다. 스팟 워크로드가 많은 팀은 스팟 가격 API 캐싱 덕분에 AWS API 호출량도 줄어듭니다.

주요 변경 (5)
  • 취약한 Go 의존성 패치 (GHSA-xmrv-pmrh-hhx2, CVE-2026-34986) — 즉시 업그레이드 필요
  • AWS CUR 2.0 지원 추가, 스팟 데이터 피드 비활성화 토글 및 스팟 가격 API 캐싱 레이어 도입
  • 스크레이프 타겟 파싱의 메모리 누수 수정 및 CPU 카운터 오버플로우/리셋 보호 추가
  • cosign 키리스 서명과 SLSA 프로버넌스 증명으로 컨테이너 이미지 공급망 보안 강화
  • OVH 클라우드 프로바이더 추가, 어노테이션 기반 PV 가격 설정, Ki/Mi/Gi/Ti 단위 PV 용량 파싱 수정
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.29.3은 AuthorizationPolicy 우회 취약점과 XDS 네임스페이스 간 설정 노출 문제 등 두 건의 보안 패치를 포함하며, 멀티클러스터 데드락과 AWS EKS 환경 문제도 수정했습니다.

  • security접미사 매칭 사용 중인 AuthorizationPolicy 즉시 점검 및 업그레이드 필요

    source.principals와 source.namespaces 필드에 포함된 점(.), 대괄호([) 등 정규식 메타문자가 Envoy SafeRegex에 이스케이핑 없이 삽입됐습니다. 예를 들어 'spiffe://cluster.local/ns/foo/sa/bar.admin'을 허용하는 정책이 'spiffe://cluster.local/ns/foo/sa/barXadmin' 같은 의도치 않은 identity까지 허용할 수 있었습니다. 와일드카드(*) 접두사를 사용하는 principals 규칙을 모두 점검하고, 1.29.3으로 즉시 업그레이드하세요.

  • securityXDS 디버그 엔드포인트 접근 이력 감사 필요

    StatusGen이 서빙하는 /debug/syncz와 /debug/config_dump 엔드포인트에 네임스페이스 경계 검증이 없었습니다. 네임스페이스 A의 워크로드가 네임스페이스 B의 Envoy 설정 전체를 열람할 수 있었던 셈입니다. 멀티테넌트 클러스터를 운영 중이라면 API 서버 감사 로그에서 해당 엔드포인트 접근 이력을 확인하고, 1.29.3으로 즉시 업그레이드하세요.

  • breaking멀티클러스터 운영 시 업그레이드 후 클러스터 연결/해제 동작 검증 필요

    멀티클러스터 시크릿 컨트롤러에서 원격 클러스터 업데이트 중 발생하던 데드락이 수정됐습니다. 기존에 컨트롤 플레인이 멀티클러스터 환경에서 간헐적으로 멈추는 증상을 겪었다면 이 수정으로 해결됩니다. 업그레이드 후 클러스터 조인/이탈 워크플로우를 스테이징 환경에서 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

주요 변경 (5)
  • 보안 수정: source.principals(접미사 매칭) 및 source.namespaces의 정규식 메타문자 미이스케이핑으로 인한 AuthorizationPolicy 우회 취약점 패치
  • 보안 수정: XDS 디버그 엔드포인트(/debug/syncz, /debug/config_dump)에 동일 네임스페이스 권한 검증 추가 — 기존에는 모든 인증된 워크로드가 타 네임스페이스 설정 덤프를 조회 가능했음
  • 멀티클러스터 시크릿 컨트롤러의 원격 클러스터 업데이트 중 데드락 수정
  • 리프 인증서의 NotAfter 시간이 서명 CA 만료 시간을 초과할 수 있던 문제 수정
  • AWS EKS 환경에서 Security Groups for Pods(branch ENI) 사용 시 kubelet 헬스 프로브 실패 문제 수정
원문

Litmus

Observability2026년 5월 18일

Litmus 3.29.0은 gRPC CVE 패치, 동시 조정(concurrent reconcile) 환경에서의 중복 실험 트리거 버그 수정, Prometheus 메트릭 지원 추가를 담고 있습니다.

  • securityCVE-2026-33186 패치 — 즉시 3.29.0으로 업그레이드

    gRPC 라이브러리가 CVE-2026-33186 취약점 수정을 위해 v1.79.3으로 올라갔습니다. 3.29.0 미만 버전을 운영 중이라면 컨트롤 플레인이 취약한 상태입니다. 다음 스프린트로 미룰 문제가 아니니 즉시 업그레이드하세요.

  • breaking업그레이드 후 event-tracker 트리거 동작 검증 필요

    동시 reconcile 환경에서의 중복 실험 트리거 수정은 event-tracker의 레이스 컨디션 처리 방식을 바꿉니다. 자동화 카오스 주입에 event-tracker를 사용 중이라면, 업그레이드 후 파이프라인을 테스트해 트리거 횟수가 의도한 대로인지 확인하세요. 기존에 중복 실행이 실험 커버리지 공백을 가리고 있었을 수도 있습니다.

  • enhancementPrometheus 메트릭을 기존 대시보드에 연동하세요

    ChaosCenter가 이제 Prometheus 메트릭을 네이티브로 노출합니다. 시작 가이드와 유닛 테스트가 함께 제공되어 연동이 어렵지 않습니다. Litmus를 스크랩 타겟으로 추가하고, 실험 성공/실패율, 실행 시간, 인프라 연결 상태 등을 추적하면 카오스 워크플로우의 오랜 관측 가능성 공백을 메울 수 있습니다.

주요 변경 (5)
  • 보안: CVE-2026-33186 대응을 위해 gRPC v1.79.3으로 업그레이드
  • 버그 수정: event-tracker의 동시 reconcile 환경에서 카오스 실험이 중복 실행되던 문제 해결
  • 신규 기능: ChaosCenter에 Prometheus 메트릭 추가(유닛 테스트 및 시작 가이드 포함)
  • 버그 수정: 인프라 연결이 끊긴 상태에서도 실험 중지 가능
  • 버그 수정: CronWorkflow 실행 이력 페이지가 공백으로 표시되던 UI 문제 해결
원문

The Update Framework (TUF)

Security2026년 5월 18일

v7.0.0은 Windows 위임 경로 매칭 보안 취약점(GHSA-qp9x-wp8f-qgjj)을 수정하고, ngclient의 Updater() 생성자 시그니처를 변경한 메이저 릴리스입니다.

  • securityWindows 환경이라면 즉시 v7.0.0으로 업그레이드하세요

    GHSA-qp9x-wp8f-qgjj는 Windows에서 위임 경로 매칭이 의도와 다르게 동작해, 신뢰해서는 안 될 타겟이 검증을 통과할 수 있는 취약점입니다. Windows 클라이언트가 하나라도 있다면 즉시 패치해야 합니다. Linux/macOS는 직접적인 영향은 없지만, 어차피 업그레이드 필요성은 동일합니다.

  • breakingUpdater() 호출 코드 전수 점검 필요

    'bootstrap'이 선택적 인자에서 명시적 키워드 인자로 바뀌었습니다. 기존에 bootstrap을 생략하고 Updater()를 호출하던 코드는 즉시 TypeError가 발생합니다. 코드베이스 전체에서 Updater() 호출 부분을 찾아 bootstrap=None을 추가하는 것으로 간단히 해결됩니다. 호출 지점마다 한 줄 수정이지만, 빠뜨리면 런타임 오류로 직결됩니다.

  • enhancementsecuresystemslib.hash 의존성 제거 예고에 미리 대비하세요

    이번 릴리스는 securesystemslib.hash 제거의 시작점입니다. 커스텀 TUF 확장이나 내부 코드에서 securesystemslib.hash를 직접 import하거나 사용하고 있다면, 차기 릴리스에서 완전히 제거되기 전에 마이그레이션 계획을 세워두는 것이 좋습니다.

주요 변경 (5)
  • Windows에서 위임 경로 매칭이 잘못 동작하던 보안 취약점(GHSA-qp9x-wp8f-qgjj) 수정
  • Updater() 생성자에서 'bootstrap'이 이제 명시적 키워드 인자로 필수화됨
  • 기존 동작을 유지하려면 bootstrap=None을 명시적으로 전달해야 함
  • 향후 securesystemslib.hash 의존성 제거를 위한 사전 준비 작업 포함
  • 문서 오류 다수 수정
원문

Dapr

Orchestration & Management2026년 5월 15일

Dapr v1.17.7은 워크플로우 안정성, 메시징 정확성, 컨트롤 플레인 복원력을 겨냥한 집중적인 버그 수정 릴리스입니다. 워크플로우, Kafka, RabbitMQ를 운영 중이라면 즉시 업그레이드를 권장합니다.

  • security1.18에서 다운그레이드했거나 Ed25519/RSA 키를 사용 중이라면 Sentry를 즉시 업그레이드하세요

    dapr/kit의 타입 스위치 버그로 인해 Ed25519 및 RSA 발급자 키가 있을 때 Sentry가 'unsupported key type'으로 시작에 실패하고 크래시 루프에 빠집니다. Sentry가 크래시 루프 상태이면 mTLS 인증서 발급과 갱신이 모두 중단됩니다. 만료되지 않은 인증서를 가진 사이드카는 계속 동작하지만, 파드 재시작이나 인증서 만료 시 조용히 인증이 실패합니다. 트러스트 번들을 마이그레이션할 필요 없이 1.17.7로 업그레이드하는 것만으로 해결됩니다.

  • breaking스케줄러 etcd 컴팩션 모드 변경 — PVC 용량 점검 필수

    내장 etcd의 컴팩션 방식이 주기(10분) 기반에서 리비전(100만) 기반으로 바뀌고, 기본 스토리지 크기가 1Gi에서 16Gi로 늘어납니다. Kubernetes StatefulSet의 volumeClaimTemplates는 불변이라 기존 1Gi PVC는 자동으로 조정되지 않습니다. 워크플로우를 실제로 운영 중이라면 업그레이드 전에 현재 PVC 사용률을 확인하고, 용량이 부족하다면 클러스터에서 직접 PVC를 먼저 확장해야 합니다. Helm 차트는 기존 PVC 크기를 덮어쓰지 않도록 lookup 헬퍼를 사용하지만, 자동 확장은 하지 않습니다.

  • enhancement업그레이드 전 워크플로우 페이로드 크기 비율 대시보드를 미리 구성하세요

    새로 추가된 dapr_runtime_workflow_payload_size_ratio와 dapr_runtime_workflow_activity_payload_size_ratio 메트릭은 페이로드 크기를 --max-body-size 대비 비율로 표현합니다. 업그레이드 후 histogram_quantile(0.99, ...) > 0.9 조건으로 Prometheus 알림을 설정해두면, 워크플로우가 0.95 임계치에 걸려 Stall 상태가 되기 전에 미리 감지할 수 있습니다. 페이로드가 크거나 히스토리가 긴 워크플로우를 운영 중이라면 특히 유용합니다. --max-body-size가 명시적으로 설정된 경우에만 메트릭이 기록된다는 점도 참고하세요.

주요 변경 (7)
  • 워크플로우 상태 저장에 낙관적 동시성(ETag) 도입 — Placement 리밸런싱 중 히스토리 무결성 보장
  • Ed25519/RSA 발급자 키 사용 시 Sentry 크래시 루프 수정 — 1.18에서 다운그레이드했거나 키를 교체한 환경에서 치명적
  • Kafka 정상 종료 시 인플라이트 메시지를 드레인한 후 컨슈머 세션을 닫아 중복 처리 제거
  • RabbitMQ 구독 재시작 시 동일 연결의 형제 구독이 함께 종료되던 연쇄 장애 수정
  • 스케줄러 내장 etcd 기본값을 워크플로우 부하 패턴에 맞게 재조정 — 컴팩션 방식이 주기 기반에서 리비전 기반으로 변경, 신규 설치 기본 스토리지 16Gi로 증가
  • WatchHosts 스트림 재연결 중 스케줄러가 일시적으로 불가용할 때 daprd가 스스로 종료되던 문제 수정
  • 워크플로우 페이로드 크기 비율 메트릭 2개 추가 — Stall 발생 전 사전 용량 계획 가능
원문

Linkerd

Networking & Messaging2026년 5월 15일

네이티브 사이드카가 GA로 승격되어 기본 활성화됐고, Server 리소스가 다른 네임스페이스 워크로드에 영향을 줄 수 없도록 보안 수정이 적용됐습니다.

  • securityServer 네임스페이스 격리 수정 — 크로스 네임스페이스 Server 리소스 즉시 점검

    Server 리소스가 자신이 속한 네임스페이스 외부 워크로드에 더 이상 영향을 줄 수 없도록 수정됐습니다. 의도적이든 실수든 크로스 네임스페이스로 작동하던 Server 정책이 있다면, 업그레이드 후 조용히 적용이 중단됩니다. 전체 네임스페이스의 Server 리소스를 점검하고 인가 정책이 여전히 의도대로 동작하는지 확인하세요.

  • breaking네이티브 사이드카 기본 활성화 — 업그레이드 전 클러스터 점검 필수

    Kubernetes init 컨테이너(restartPolicy: Always)를 사용하는 네이티브 사이드카 지원이 GA로 승격되면서 기본 활성화됐습니다. 클러스터가 Kubernetes 1.29 미만이라면 인젝션이 깨집니다. 지원되는 버전이더라도 admission webhook, 파드 라이프사이클 가정 등 워크로드 호환성을 사전에 확인하세요. 프로덕션 적용 전 스테이징에서 반드시 검증하고, 이전 동작이 필요하다면 install/upgrade 시 피처 플래그를 명시적으로 비활성화해야 합니다.

  • enhancementlinkerd-proxy PodMonitor에서 honorTimestamps 설정 가능

    Prometheus Operator를 사용 중이고 Linkerd 프록시 메트릭에서 타임스탬프 불일치(오래된 샘플, 순서 역전 등)가 발생했다면, 이제 Helm 차트에서 PodMonitor의 honorTimestamps를 직접 설정할 수 있습니다. 메트릭 수집 파이프라인에 민감한 팀이라면 다음 Helm 업그레이드 시 기본값에 맡기지 말고 명시적으로 지정하세요.

주요 변경 (6)
  • 네이티브 사이드카 인젝션 GA 승격 및 기본 활성화 — 별도 피처 게이트 불필요
  • 보안 수정: Server 리소스가 타 네임스페이스 워크로드에 영향을 줄 수 없도록 제한
  • 멀티클러스터 환경의 게이트웨이 liveness 동기화 개선
  • rustls 0.23.40, openssl, aws-lc-rs 업데이트로 암호화 스택 갱신
  • 프록시 v2.352.0, Go 툴체인 1.25.10, Helm 3.21.0으로 업그레이드
  • linkerd-proxy PodMonitor의 honorTimestamps 설정 가능해짐
원문

Helm

Kubernetes Core2026년 5월 14일

Helm v3.21.0은 Kubernetes 클라이언트 라이브러리를 v1.36으로 올리고, OpenTelemetry CVE를 패치하며, OCI 인덱스 차트 풀 버그를 수정합니다. v3 EOL이 가까워지고 있습니다.

  • securityOpenTelemetry CVE 패치를 위해 즉시 업그레이드

    이번 릴리스에서 OpenTelemetry 패키지의 CVE를 직접 수정했습니다. CI/CD 파이프라인이나 자동화 툴링에서 Helm을 사용 중이라면 다음 패치 릴리스를 기다리지 말고 지금 바로 v3.21.0으로 올리세요.

  • breakingHelm v4 마이그레이션 계획을 지금 시작해야 합니다

    릴리스 노트에 Helm v3 EOL이 명시적으로 경고됩니다. v3.22.0이 Kubernetes v1.37을 타깃으로 하는 마지막 주요 피처 릴리스가 될 수 있습니다. 커스텀 플러그인이나 Helm CLI, Go SDK를 기반으로 한 자동화 코드가 있다면 지금부터 v4 변경 사항을 검토하세요.

  • enhancement멀티아키텍처 레지스트리 환경에서 OCI 인덱스 차트 풀 재검토

    OCI 이미지 인덱스 매니페스트에서 차트를 풀하는 버그가 수정됐습니다. 멀티아키텍처 환경에서 이 문제를 회피하기 위해 다이제스트 직접 참조나 특정 매니페스트 태그를 써왔다면, 해당 워크어라운드가 더 이상 필요하지 않을 수 있으니 검토해 보세요.

주요 변경 (5)
  • Kubernetes 클라이언트 라이브러리 v1.36으로 업그레이드
  • OpenTelemetry 패키지 CVE 보안 패치 적용
  • OCI 이미지 인덱스에서 차트 풀링 버그 수정
  • 차트 dot-name 경로 버그 수정
  • 차트 기본값이 빈 맵일 때 nil 값이 올바르게 유지되도록 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.19.4는 크래시 방지, IPsec 안정성, Cluster Mesh 정확성 등 20개 이상의 버그를 수정한 안정성 중심 패치 릴리스입니다.

  • securitymoby/spdystream 보안 픽스 포함 — 즉시 업그레이드 권장

    github.com/moby/spdystream가 v0.5.1로 보안 업데이트됐습니다. 이 의존성은 Kubernetes API 통신 경로에서 사용됩니다. 릴리스 노트에 CVE 번호는 명시되지 않았지만, v1.19.3을 유지하면 노출이 지속됩니다. 업그레이드를 서두르세요.

  • breaking수동 관리 EndpointSlice에 service-proxy-name 레이블 추가 필수

    --k8s-service-proxy-name을 설정하고 EndpointSlice를 직접 관리하는 경우, 업그레이드 후 service.kubernetes.io/service-proxy-name 레이블이 없는 슬라이스는 Cilium 감시 대상에서 완전히 제외됩니다. 트래픽 단절로 이어지므로 업그레이드 전에 반드시 수동 관리 슬라이스를 점검하고 누락된 레이블을 추가하세요.

  • enhancementIPsec, WireGuard, Cluster Mesh 사용 환경은 이번 패치 우선 적용

    이번 릴리스에 데이터 플레인 안정성 핵심 수정 세 가지가 포함됩니다. IPsec 키 교체 중 롤링 재시작 시 패킷 드롭, MTU 제약 환경에서 IPv6 + WireGuard 무음 패킷 손실, 다중 포트 서비스에서 Cluster Mesh 백엔드 누락이 모두 해소됩니다. 이 기능 중 하나라도 사용 중이라면 이번 패치를 업그레이드 우선순위 1순위로 올리세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 에이전트가 Fatal 대신 재시도하도록 수정
  • IPsec 롤링 재시작 + 키 교체 시 패킷 드롭 수정: XFRM 상태 준비 완료 후 SPI 광고 지연 처리
  • IPv6 활성화 시 WireGuard MTU를 최솟값(1280)으로 고정해 터널+암호화 환경의 무음 패킷 손실 방지
  • EndpointSlice 감시가 서비스 프록시 이름 레이블 기준으로 필터링됨 — 수동 관리 슬라이스에 레이블 추가 필요
  • 여러 서비스 포트가 동일 대상 포트를 공유할 때 Cluster Mesh 글로벌 서비스 백엔드 누락 문제 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

v1.17.16은 CiliumLocalRedirectPolicy의 네임스페이스 간 트래픽 하이재킹 취약점, IPsec 에이전트 패닉, 스태틱 파드 ID 해석 오류를 수정한 패치 릴리스입니다.

  • security업그레이드 전 LRP addressMatcher 설정 점검 필수

    이번 LRP addressMatcher 변경은 실제 공격 경로를 막은 것입니다. 기존에는 한 네임스페이스의 정책이 다른 네임스페이스의 Service 프론트엔드를 덮어쓰고 트래픽을 가로챌 수 있었습니다. 업그레이드 후에는 기존 Service 프론트엔드와 겹치는 addressMatcher를 가진 LRP가 조용히 동작을 멈춥니다 — 트래픽 리다이렉션이 예상대로 작동하지 않을 수 있습니다. 업그레이드 전에 모든 CiliumLocalRedirectPolicy 오브젝트의 addressMatcher 항목이 기존 Service와 충돌하는지 확인하세요. 기존 동작이 꼭 필요하다면 --enable-lrp-address-matcher-override=true 플래그를 사용할 수 있지만, 이는 임시 방편으로만 쓰고 정책을 재설계하는 것이 맞습니다.

  • securityIPsec 사용 중이라면 즉시 업그레이드 — 에이전트 크래시 위험

    parseSPI 패닉 취약점은 잘못된 형식의 IPsec 패킷 하나로 Cilium 에이전트를 크래시시킬 수 있어, 해당 노드의 네트워킹 전체가 다운될 수 있습니다. IPsec 투명 암호화를 사용하는 클러스터라면 단순한 서비스 거부(DoS) 위험이 됩니다. 복잡한 공격 기법이 필요 없기 때문에 IPsec 환경이라면 v1.17.16으로 빠르게 업그레이드하세요.

  • breakingLRP addressMatcher 동작 변경 — 하위 호환성 없음

    단순한 버그 수정이 아닌 동작 방식 자체가 바뀐 변경입니다. Service ClusterIP나 외부 IP와 겹치는 addressMatcher를 사용하는 LRP는 이전에는 동작했더라도 이제는 거부되거나 무시됩니다. 운영 환경에 적용하기 전에 반드시 비운영 환경에서 LRP 설정을 검증하세요. --enable-lrp-address-matcher-override=true 플래그로 이전 동작을 되살릴 수는 있지만, 그것은 취약점이 있는 동작을 다시 허용하는 셈임을 명심하세요.

주요 변경 (5)
  • CiliumLocalRedirectPolicy addressMatcher가 기존 Service 프론트엔드 덮어쓰기를 차단 — 네임스페이스 간 트래픽 하이재킹 및 서비스 맵 손상 방지, 기존 동작은 별도 플래그로 복원 가능
  • IPsec: 잘못된 형식의 SPI 입력 처리 시 parseSPI에서 발생하던 패닉 수정 — 에이전트 크래시 위험 제거
  • CNI 파드 UID가 쿠버네티스 미러 파드 UID와 다른 스태틱 파드의 엔드포인트 ID 해석 오류 수정
  • CiliumNode 동기화 관련 클러스터 풀 IPAM 메트릭이 쿠버네티스에 제대로 등록되지 않던 문제 수정
  • 보안 의존성 업데이트: moby/spdystream v0.5.1로 업그레이드 (보안 패치)
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.18.10은 에이전트 크래시, IPsec 패닉, Cluster Mesh 백엔드 누락, IPAM 데이터 레이스를 수정한 안정성 패치 릴리스입니다.

  • securitymoby/spdystream 및 x/net 보안 업데이트 포함

    github.com/moby/spdystream 보안 수정과 x/net v0.53 업그레이드가 함께 포함됐습니다. 두 패키지 모두 네트워크 계층 의존성입니다. 전이적 의존성 CVE까지 추적하는 정책을 운영 중이라면 이번 패치만으로도 업그레이드 이유는 충분합니다.

  • breakingIPsec 패닉 위험 해소를 위한 암호화 클러스터 즉시 업그레이드

    잘못된 형식의 IPsec 입력이 들어올 경우 parseSPI에서 패닉이 발생해 에이전트 프로세스 전체가 중단될 수 있습니다. IPsec 암호화를 사용 중이라면 우선순위 업그레이드 대상으로 분류하세요. 잘못된 패킷 하나나 설정이 맞지 않는 피어 노드만으로도 에이전트가 죽을 수 있습니다.

  • enhancement타겟 포트 공유 서비스를 쓰는 Cluster Mesh 환경은 반드시 업그레이드

    여러 포트가 같은 타겟 포트를 가리키는 서비스에서 글로벌 백엔드가 조용히 누락되는 버그가 있었습니다. 단일 클러스터 내에서는 정상 동작하지만 크로스 클러스터 라우팅이 실패하는 증상이 나타납니다. 업그레이드 후 hubble observe나 서비스 엔드포인트 점검으로 영향받은 서비스를 직접 확인하세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 Fatal 종료 대신 재시도하도록 수정
  • 잘못된 SPI 입력으로 인한 IPsec 패닉 수정 — 암호화 클러스터의 노드 중단 방지
  • 여러 서비스 포트가 동일한 타겟 포트를 가리킬 때 Cluster Mesh 글로벌 서비스 백엔드가 누락되던 문제 수정
  • CiliumLocalRedirectPolicy가 백엔드 파드 준비 전에 기존 서비스 프런트엔드를 덮어쓰던 문제 수정
  • MultiPoolManager IPAM 데이터 레이스 해결 및 보안 패치 포함한 x/net v0.53 업그레이드
원문
이전 →
월별 보기