RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 6월해제 ×

wasmCloud

Orchestration & Management2026년 6월 30일

wasmCloud v2.5.0은 wasmtime 46 업그레이드와 wasip3 기본 활성화를 중심으로 한 기능 릴리스이며, keyvalue bucket WIT 인터페이스의 breaking 변경과 quinn-proto의 medium 심각도 보안 수정이 함께 포함되어 있습니다. 나머지는 새로운 비동기 keyvalue/blobstore 인터페이스, 오퍼레이터 하드닝, 런타임 및 도구 관련 각종 수정으로 구성됩니다.

  • securityquinn-proto 보안 수정 (RUSTSEC-2026-0185)

    소스에서 wasmCloud를 빌드하거나 의존성 스캔을 돌리는 경우 해당됩니다. 이번 릴리스에서 quinn-proto가 RUSTSEC-2026-0185(medium) 패치를 받았습니다. 애플리케이션 코드 수정 없이 업그레이드만 하면 됩니다.

  • breakingkeyvalue bucket이 공유 types 인터페이스로 이동

    wasmcloud:keyvalue 인터페이스를 사용하는 컴포넌트에 해당됩니다. bucket 타입이 인터페이스 내부 정의에서 빠져나와 공유 types 인터페이스로 옮겨졌습니다. 기존 wasmcloud:keyvalue WIT 기반으로 만든 컴포넌트와 프로바이더는 업그레이드 전에 바인딩을 갱신하고 코드를 다시 생성해야 합니다.

  • breakingwasmtime 46, wasip3 기본 활성화

    이 런타임에서 동작하는 모든 컴포넌트에 해당됩니다. wasmtime이 46으로 올라가고 wasip3 지원이 기본으로 켜집니다. 전체 배포 전에 기존 컴포넌트를 새 런타임에서 먼저 테스트하세요. 특히 wasip3 동작 변화에 민감한 컴포넌트는 주의가 필요합니다.

주요 변경 (7)
  • 런타임이 wasmtime 46으로 업그레이드되고 wasip3가 기본으로 켜졌으며, 동적 링커를 통한 wasip3 크로스 컴포넌트 스트리밍도 추가됨
  • breaking WIT 변경: wasmcloud:keyvalue bucket이 인터페이스별 인라인 정의 대신 공유 types 인터페이스로 이동함
  • quinn-proto의 RUSTSEC-2026-0185 보안 결함 수정 (medium 심각도)
  • 비동기 wasmcloud:keyvalue 및 wasmcloud:blobstore WIT 인터페이스 신규 추가, wasi:keyvalue·wasmcloud:postgres·wasmcloud:messaging/consumer는 (implements ..) 임포트로 멀티플렉싱 가능해짐
  • 엔드투엔드 오퍼레이터 구현이 추가되고 runtime-operator Helm 차트가 린트 및 하드닝되었으며, 오퍼레이터 캐싱이 server-side apply를 올바르게 사용하도록 수정됨
  • wash-runtime 엔진 설정이 WasmProposal을 통해 조합 가능해지고 CLI와 차트에 노출됨, wash-runtime의 P3 HTTP 응답 스트리밍과 타임아웃 시 gRPC 바디 정리도 함께 수정됨
  • 그 외 소소한 수정과 도구 개선: 패키지 수준 참조 WIT 검증, 버전 지정자 remove 처리, wash new의 Windows 경로 처리, wash wit add의 멀티라인 world 선언 지원, AbortOnDrop을 통한 임시 태스크 정리, CI 개선(CARGO_NET_RETRY, s390x 빌드, 네임스페이스 OCI 경로로 WIT 패키지 배포)
원문

Flux

CI/CD & App Delivery2026년 6월 30일

Flux v2.9.0은 CLI 플러그인 시스템과 SOPS Age 암호화, Workload Identity 인증 등 다수의 신규 기능을 담은 기능 릴리스이며, 수명이 다한 image.toolkit.fluxcd.io/v1beta2와 notification.toolkit.fluxcd.io/v1beta2 API가 CRD에서 제거된 것이 유일한 주요 호환성 변경점입니다.

  • breakingimage.toolkit.fluxcd.io/v1beta2 API 제거

    오래전부터 폐지 예정이던 image.toolkit.fluxcd.io/v1beta2 API가 CRD에서 완전히 제거되었습니다. 이 버전을 참조하는 ImagePolicy, ImageRepository 등의 매니페스트는 v1beta2 이상으로 미리 마이그레이션해야 업그레이드 후에도 정상 동작합니다.

  • breakingnotification.toolkit.fluxcd.io/v1beta2 API 제거

    notification.toolkit.fluxcd.io/v1beta2 API도 CRD에서 제거되었습니다. Alert, Provider, Receiver 등을 이 버전으로 정의한 리소스가 남아 있다면 업그레이드 전에 최신 버전으로 전환해야 합니다.

주요 변경 (8)
  • breaking: image.toolkit.fluxcd.io/v1beta2, notification.toolkit.fluxcd.io/v1beta2 API가 CRD에서 완전히 제거됨(수명 종료)
  • Flux CLI 플러그인 시스템 도입(Mirror, Schema 플러그인, flux plugin 명령)
  • Kustomization에 Server-Side Apply 필드 무시 규칙 추가로 드리프트 제어 세분화
  • SOPS Age 포스트퀀텀 암호 복호화 지원, OpenBao/Vault용 Kubernetes Workload Identity 인증 추가
  • HelmRelease에 Helm 포스트렌더 전략(차트 훅 지원)과 --set-literal 방식 값 참조 추가
  • GitRepository/ImageUpdateAutomation에 SSH 기반 Git 커밋 서명·검증, AWS CodeCommit Workload Identity 인증 추가
  • 시크릿 없는 OIDC 기반 웹훅 Receiver, ArtifactGenerator 모노레포 경로 패턴 디렉터리 탐색 등 다수 기능 추가
  • 전체 컨트롤러(source, kustomize, notification, helm, image-reflector, image-automation, source-watcher) 버전 상향 및 CLI가 Kubernetes 1.36, Go 1.26 기준으로 빌드되도록 갱신, 그 외 resume 종료 코드·심볼릭 링크 처리 등 소소한 버그 수정 다수
원문

Kubescape

Security2026년 6월 30일

Kubescape v4.0.10은 기능 추가와 보안 강화가 함께 담긴 릴리스로, 스캔 완료 웹훅의 SSRF 취약점을 막고 config.json 권한과 입력 검증을 강화했으며 죽은 CRD를 정리했습니다. 여기에 `operator remediate`, 암호화 리포트 복호화 같은 신규 기능과 다수의 버그 수정이 함께 포함되었고, 이번 릴리스에서 공개된 CVE 추적 취약점은 없습니다.

  • security스캔 완료 웹훅 SSRF 방어 강화

    스캔 완료 웹훅 콜백에 SSRF 방어 로직이 추가되었습니다. 이 콜백 기능을 사용 중이라면, 조작된 콜백 URL로 인한 아웃바운드 요청 악용을 막기 위해 업그레이드를 권장합니다.

  • breakingconfig.json 권한을 소유자 전용으로 제한

    config.json 파일 권한이 기존보다 넓은 접근 범위에서 소유자 전용으로 변경되었습니다. 다른 사용자 계정으로 이 파일에 접근하는 자동화나 툴이 있다면 접근 실패가 발생할 수 있으니 확인이 필요합니다.

  • breaking고립된 SecurityException CRD 제거

    설치조차 되지 않던 고립된 SecurityException CRD가 제거되었습니다. 매니페스트나 문서에서 이 CRD를 참조하던 경우에만 해당되며, 원래 동작하지 않았으므로 기능적 영향은 없습니다.

  • enhancement--format과 VAP 컨트롤 검증 강화

    --format 플래그는 스캔 시작 전에 잘못된 값을 걸러내고, VAP 구성 가능 컨트롤은 이제 params를 필수로 요구합니다. 검증 없이 --format을 스크립트에 넘기거나 params 없이 VAP 컨트롤을 실행하던 경우, 이제 조용히 넘어가지 않고 즉시 오류로 실패합니다.

주요 변경 (8)
  • 스캔 완료 웹훅 콜백에 SSRF 방어 로직을 추가해 아웃바운드 알림의 요청 위조 취약점을 막았습니다.
  • config.json 권한을 소유자 전용으로 좁혀, 기존 설치본의 기본 파일 접근 방식이 바뀝니다.
  • 설치조차 안 되던 고립 상태의 SecurityException CRD와 관련 테스트를 제거했습니다.
  • --format 플래그가 스캔 전에 잘못된 값을 거부하고, VAP 구성 가능 컨트롤은 params를 필수로 요구하도록 검증이 강화됐습니다.
  • `operator remediate` CLI 서브커맨드(annotate, dry-run 모드), VAP 엔진용 CEL 환경 빌더/평가기, DEK 래핑을 포함한 암호화 리포트 복호화 기능이 새로 추가됐습니다.
  • GVR 조회 실패를 감지해 감점하는 스캔 커버리지 점수 지표와, OPA 프로세서의 컨트롤별 평가 타임아웃(타임아웃 시 0점 처리, 부분 결과 폐기)이 추가됐습니다.
  • nil ScanData, 조직명 없는 이미지 이름 파싱, 스캔 실행 고루틴 등 여러 패닉을 수정했고 스캔 리스너 서버에 HTTP 타임아웃을 설정했습니다.
  • 리소스 중복 제거, 호스트 센서 infoMap 병합, SARIF 라인 번호 해석, 출력 덮어쓰기 방지, 고립된 RoleBinding 처리 등 10여 개의 소소한 수정과 Go 1.26 전환도 포함됩니다.
원문

OpenFGA

Security2026년 6월 29일

v1.18.1은 CIDR 매칭 동작과 직렬화 결정성을 고치고 실험적 플래그를 BatchCheck까지 확장한 routine 패치입니다. 브레이킹 체인지나 CVE는 없지만, in_cidr 수정으로 IPv4-mapped IPv6 주소의 매칭 동작이 바뀝니다.

  • breakingin_cidr이 IPv4-mapped IPv6 주소를 IPv4 CIDR과 매칭시킴

    무조건 적용됩니다: in_cidr 조건이 IPv4-mapped IPv6 주소(예: ::ffff:192.168.1.1)를 매칭 전에 IPv4 형태로 정규화하므로, 이제 192.168.1.0/24 같은 IPv4 CIDR과 매칭됩니다. 이런 주소가 IPv4 범위에서 제외되길 기대했다면 in_cidr을 사용하는 인가 모델을 점검하세요.

주요 변경 (4)
  • in_cidr 조건이 IPv4-mapped IPv6 주소(RFC 4291 §2.5.5.2)를 IPv4 형태로 정규화해서, ::ffff:192.168.1.1이 192.168.1.0/24와 매칭됨
  • weighted_graph_check, Expand, ListUsers에 진단 로깅 추가: 향후 v2 Check 판정이 v1과 달라질 수 있는 모델을 표시함, 지금 당장 조치는 필요 없음
  • 실험적 weighted_graph_check 플래그가 BatchCheck까지 확장됨: 각 배치 항목을 weighted graph 알고리즘으로 평가하고, 비종단 오류 시 항목별로 표준 알고리즘으로 폴백함
  • serialized_protobuf 컬럼에 대한 인가 모델 직렬화가 결정론적 proto marshaling을 사용하도록 변경되어, map 키 타입 정의를 가진 모델의 저장 바이트 불일치 문제를 고침
원문

NATS

Networking & Messaging2026년 6월 29일

NATS 서버 v2.14.3은 JetStream, MQTT, 클러스터링 버그 수정이 대부분을 차지하는 유지보수 릴리스입니다. MQTT 인증 전 메모리 고갈 및 패닉 문제 2건이 수정되었고, 모니터링 엔드포인트의 JSONP 지원이 제거되는 breaking change가 포함되어 있습니다.

  • securityMQTT 메모리 고갈 및 패닉 수정

    MQTT를 사용하는 서버에 해당합니다. v2.14.3에서 수정: 불완전한 CONNECT 패킷으로 인증 전 메모리를 고갈시킬 수 있던 문제와, PUBLISH remaining-length 언더플로로 서버가 패닉하던 문제입니다. 특히 신뢰할 수 없는 클라이언트에 MQTT를 노출한 경우 업그레이드를 권장합니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    모니터링 엔드포인트(/varz, /connz 등)에서 callback= 파라미터로 JSONP를 쓰던 환경에 해당합니다. v2.14.3에서 완전히 제거되었으므로, 업그레이드 전에 대시보드나 스크립트를 순수 JSON 폴링 방식으로 바꿔야 합니다.

  • breaking리프 trace destination 및 NoAuthUser 권한 검사 강화

    Nats-Trace-Dest를 쓰는 리프 노드 구성과 NoAuthUser를 쓰는 계정에 해당합니다. v2.14.3에서 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하던 문제와, NoAuthUser가 연결 제한을 검사하지 않던 문제가 수정되었습니다. 업그레이드 후 이전에는 허용되던 트래픽이 의도대로 차단될 수 있으니 권한 및 NoAuthUser 설정을 다시 확인하세요.

주요 변경 (7)
  • MQTT 부분 CONNECT 패킷으로 인한 인증 전 메모리 고갈, PUBLISH remaining-length 언더플로 패닉을 v2.14.3에서 수정
  • 권한 검사 강화: 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하지 못하게 되었고, NoAuthUser가 연결 제한을 검사하도록 변경
  • 모니터링 엔드포인트에서 JSONP 콜백 지원 제거 (아직 사용 중인 도구에는 breaking change)
  • JetStream 클러스터링/Raft 안정성 관련 대규모 수정: 종료 시 메타 노드 데이터 레이스, 제한 초과 시 스트림 캐치업 스킵 문제, 메타 복구 후 유령 스트림/컨슈머, 잘림/스냅샷 시 Raft 멤버십 되돌리기 등
  • MQTT 강화: 내부 $MQTT.deliver.pubrel 구독 차단, retained/QoS 재전송 경로에 subscribe deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • 파일스토어 및 메모리 스토어 수정: 압축 해제 시 압축/암호화 블록 손상 문제, DeliverLastPerSubject 컨슈머의 NumPending 과다 집계, 카운터 스트림 스테이징 총합 손상 문제 해결
  • 그 외 PROXY/TLS 스니핑, 게이트웨이 CONNECT 레이스, 클러스터 라우트 간 서비스 임포트 트레이싱, CONNZ/SUBSZ 오버플로 방지, JWT/계정 클레임 갱신 등 스무 건 가량의 소규모 수정과 Go 1.26.4로 업데이트
원문

NATS

Networking & Messaging2026년 6월 29일

v2.12.12는 nats-server의 버그 수정 및 안정화 릴리스로, JetStream/Raft 데이터 정합성과 패닉 관련 수정이 다수 포함되었고 모니터링 엔드포인트의 JSONP 지원이 제거되었습니다. 별도의 CVE는 공개되지 않았지만, 잘못된 MQTT 입력으로 유발되는 메모리 소모 및 패닉 경로를 막는 수정이 포함되어 운영자는 보안 관점에서 챙겨볼 필요가 있습니다.

  • securityMQTT 부분 CONNECT / PUBLISH 언더플로 크래시 수정

    MQTT를 사용 중이라면 업그레이드를 권장합니다. 부분 CONNECT 패킷으로 인증 전 메모리를 소모시킬 수 있는 문제와 PUBLISH remaining-length 언더플로로 서버가 패닉하는 문제가 수정되었습니다. 둘 다 인증되지 않은 클라이언트가 잘못된 입력만으로 유발할 수 있습니다.

  • security모니터링/JetStream 사용량 추적의 정수 오버플로 패닉 수정

    CONNZ/SUBSZ 페이지네이션에서 정수 오버플로로 패닉이 발생하던 문제와 JetStream 원격 사용량 갱신 중 길이 정수 오버플로 패닉이 수정되었습니다. 대규모 클러스터나 모니터링 폴링이 빈번한 환경은 업그레이드로 이 패닉 경로를 제거할 수 있습니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    v2.12.12에서 모니터링 엔드포인트의 JSONP 콜백 지원이 무조건 제거되었습니다. /varz, /connz 등에 JSONP 콜백으로 접근하던 도구나 대시보드는 동작하지 않으며, 일반 JSON 요청으로 전환해야 합니다.

주요 변경 (8)
  • 모니터링 엔드포인트의 JSONP 콜백 지원 제거 (아직 JSONP를 쓰는 도구에는 breaking change)
  • MQTT 강화: 부분 CONNECT의 인증 전 메모리 소모 차단, PUBLISH remaining-length 언더플로 패닉 수정, $MQTT.deliver.pubrel 구독 남용 차단, 보존/QoS 리플레이 경로에서 deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • JetStream/Raft 데이터 정합성 관련 대규모 수정: filestore 압축 손상, 카운터 스트림 스테이징 손상, 메타 복구 시 유령 스트림/컨슈머, raft 체크포인트/ApplyCommit 정확성, 스트림 캐치업 디싱크, truncate/snapshot 시 멤버십 롤백
  • CONNZ/SUBSZ 페이지네이션과 JetStream 원격 사용량 갱신의 정수 오버플로 패닉 수정, resolver 상위 디렉터리가 없을 때 시작 시 발생하던 nil 포인터 패닉 수정
  • 인증, 라우팅, 모니터링, 클러스터 요청 처리 전반의 패닉/치명적 오류/데이터 레이스 다수 수정
  • 게이트웨이/프록시 관련 수정: 게이트웨이 CONNECT 처리 중 레이스, 신뢰 프록시 추적 중 누수, PROXY 프로토콜 감지, allow_non_tls TLS 스니핑, PROXY v1 주소 체계 파싱
  • 서비스 임포트 응답이 클러스터 라우트 간에도 전달되도록 수정, 임포트/익스포트에서 메시지 트레이싱 정상화, 계정 클레임 갱신 시 JWT 상속 기본 권한과 외부 인증 설정도 올바르게 갱신되도록 수정
  • 그 외 일상적 수정: 연결별 로그를 디버그 레벨로 조정, s2_fast 압축 모드에서 writer 옵션 일관성 확보, 마이그레이션을 위한 스트림/컨슈머 할당 처리 리팩터링
원문
Open Policy Agent (OPA)v1.18.1원문2026년 6월 29일

Strimzi

Networking & Messaging2026년 6월 27일

Strimzi 1.1.0은 Kafka 4.3.0·4.2.1 지원을 추가하고 Kafka 4.1.x를 제거한 기능 릴리스입니다. 엔티티 오퍼레이터 헬스체크 포트 이름 변경과 KafkaBridge·KafkaMirrorMaker2의 TLS 형식 전환, 두 가지 브레이킹 체인지를 업그레이드 전에 반드시 확인해야 합니다.

  • breaking엔티티 오퍼레이터 헬스체크 포트 이름 변경

    엔티티 오퍼레이터의 헬스체크 포트 이름이 `healthcheck`에서 topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었습니다. 이 포트 이름을 참조하는 PodMonitor, ServiceMonitor, NetworkPolicy 등 커스텀 리소스가 있다면 업그레이드 전에 수정해야 합니다.

  • breakingKafka 4.1.x 지원 제거

    1.1.0부터 Kafka 4.1.x는 지원이 끊겼습니다. Kafka 4.1.x를 실행 중인 클러스터는 이 Strimzi 버전으로 올리기 전에 먼저 4.2.1 또는 4.3.0으로 업그레이드해야 합니다.

  • breakingKafkaBridge·KafkaMirrorMaker2의 TLS 트러스트스토어 형식이 PEM으로 변경

    KafkaBridge와 KafkaMirrorMaker2가 TLS 인증 및 트러스트스토어에 P12/JKS 대신 PEM 파일을 사용하도록 바뀌었습니다. 이 컴포넌트에서 P12/JKS 형식을 기대하는 외부 시스템이나 도구가 있다면 점검이 필요합니다.

  • breakingCRD v1만 지원 — 구 API 버전 사용 불가

    CRD API 버전 v1beta2, v1beta1, v1alpha1은 1.0.0부터 이미 지원이 종료되었습니다. 아직 리소스를 v1로 전환하지 않았다면 1.1.0 업그레이드 전에 변환을 완료해야 합니다.

주요 변경 (8)
  • Apache Kafka 4.3.0·4.2.1 지원 추가, Kafka 4.1.x 지원 제거.
  • 엔티티 오퍼레이터 헬스체크 포트 이름 변경: topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었으므로 참조 리소스를 수정해야 합니다.
  • KafkaBridge·KafkaMirrorMaker2의 TLS 인증 및 트러스트스토어가 P12/JKS에서 PEM으로 전환되었으며, PEM 파일은 KubernetesSecretConfigProvider를 통해 시크릿에서 직접 읽습니다.
  • 실패한 KafkaConnector를 이제 중지할 수 있습니다. 실패 상태의 커넥터를 일시 중지하려 하면 Kafka Connect가 지원하지 않는 작업이라 거부됩니다.
  • 클러스터 오퍼레이터에 `STRIMZI_PKCS12_KEYSTORE_GENERATION` 옵션이 추가되어 CA·KafkaUser 시크릿에서 PKCS12 스토어 생성을 비활성화할 수 있습니다. KafkaUser별로 mTLS `validityDays`·`renewalDays`도 설정 가능해졌습니다.
  • Gateway API `tlsroute` 리스너 타입, 브로커별 리스너 어노테이션·레이블 템플릿, Kafka Connect Build에서 Maven 아티팩트 의존성 스코프 설정이 새로 지원됩니다.
  • `UseBackgroundPodDeletion` 피처 게이트(알파, 기본 비활성)가 추가되어 롤링 업데이트 중 파드 삭제 시 백그라운드 삭제 전파 방식을 선택할 수 있습니다.
  • Strimzi Drain Cleaner가 1.6.0으로, Strimzi Access Operator가 0.3.0으로 업데이트되어 설치 파일에 포함되었습니다.
원문

Volcano

Orchestration & Management2026년 6월 27일

Volcano v1.14.3은 스케줄러 버그 수정 백포트만으로 구성된 정기 패치 릴리스입니다. 신규 기능, 지원 중단, 보안 변경 사항은 없습니다.

주요 변경 (7)
  • Network-Topology-Aware 스케줄링 소프트 모드의 잡·서브잡 처리 오류 수정
  • 인큐 스칼라 리소스 회계에 밀리 단위 적용, 리소스 계산 정밀도 오류 해결
  • 중·대형 클러스터에서 발생하던 HAMi vGPU 스케줄링 실패 수정
  • Ascend vNPU 상태 확인 방식을 Allocatable 리소스 기반으로 변경
  • 선점 시 우선순위가 높은 파드를 먼저 유예(reprieve)하도록 순서 복원
  • 장기 실행 잡에서 job.Status.Conditions가 무한 증가하는 문제를 차단해 메모리·etcd 부담 감소
  • 그 외 소규모 스케줄러 수정: 파드 해제 시 device 어노테이션 정리, minPartitions 미설정 시 minAvailable의 replicas 폴백, 노드 스냅샷 ImageStates 복원, maxFloat·maxInt 표시 오류 수정
원문

Keycloak

Security2026년 6월 26일

Keycloak 26.6.4는 CVE 8건을 수정하는 보안 릴리스로, critical 등급 두 건(권한 상승, JWT 인증 우회)과 high 등급 인가 우회 네 건이 포함되어 있습니다. 가능한 빨리 업그레이드하는 것을 권장하며, Quarkus도 3.33.2.1로 함께 올라갔습니다.

  • securitycritical 등급 취약점 두 건: 그룹 관리자 권한 상승, JWT 인증 우회

    CVE-2026-9099는 그룹 관리자가 realm-admin 권한까지 획득할 수 있는 취약점이고, CVE-2026-11800은 JWT 알고리즘 혼동을 이용한 인증 우회입니다. 둘 다 critical 등급이므로 가능한 빨리 26.6.4로 업그레이드해야 합니다.

  • securityhigh 등급 인가·접근 제어 우회 취약점 네 건

    CVE-2026-9705(등록 액세스 토큰을 이용한 클라이언트 탈취), CVE-2026-9795(스코프 매핑 오류로 인한 권한 상승), CVE-2026-9799(UMA 권한 티켓 우회), CVE-2026-9800(Policy Enforcer의 URI 비교 오류로 인한 인가 우회) 모두 high 등급입니다. UMA 인가, 세분화된 스코프 매핑, Policy Enforcer를 사용 중이라면 이번 업그레이드를 우선순위에 두세요.

  • securitymedium 등급 취약점 두 건: 정보 노출과 XSS

    CVE-2026-9083(파일시스템 경로 탐지를 통한 정보 노출)과 CVE-2026-9086(대소문자 무시 URI 검증 우회로 인한 XSS)은 medium 등급으로 함께 수정되었습니다.

주요 변경 (5)
  • 이번 릴리스에서 CVE 8건이 수정되었고 그중 두 건이 critical입니다: CVE-2026-9099(그룹 관리자의 realm-admin 권한 상승), CVE-2026-11800(JWT 알고리즘 혼동을 통한 인증 우회)
  • high 등급 수정 네 건: 등록 액세스 토큰을 이용한 클라이언트 탈취(CVE-2026-9705), 스코프 매핑 권한 상승(CVE-2026-9795), UMA 권한 티켓 우회(CVE-2026-9799), Policy Enforcer의 URI 비교 오류로 인한 인가 우회(CVE-2026-9800)
  • medium 등급 수정 두 건: 파일시스템 경로 탐지 정보 노출(CVE-2026-9083), URI 검증 우회 XSS(CVE-2026-9086)
  • Quarkus 의존성이 3.33.2.1로 업그레이드됨
  • 그 외 자잘한 빌드·패키징 수정: 26.2 브랜치의 Infinispan protoschema 빌드 문제, JS와 Admin Client 테스트 스위트 CI 수정, keycloak-api-docs-dist 패키징 수정, 마이그레이션 가이드 참조 오류 수정
원문

Open Policy Agent (OPA)

Security2026년 6월 25일

v1.18.0은 버그픽스 중심 릴리스로, 운영자가 반드시 확인해야 할 변경 사항은 RFC 9110 준수를 위한 User-Agent 헤더 하이픈 추가 하나입니다. 나머지는 런타임 개선, 포매터 및 커버리지 도구 수정, Go 툴체인 버전 갱신입니다.

  • breakingUser-Agent 헤더 형식 변경 (RFC 9110 준수)

    OPA가 HTTP 요청 시 전송하는 User-Agent 헤더가 'Open Policy Agent/<version> (<os>, <arch>)'에서 'Open-Policy-Agent/<version> (<os>, <arch>)'로 바뀌었습니다('Open'과 'Policy' 사이에 하이픈 추가). 이전 문자열을 정확히 일치시키는 서버 측 로그 필터, WAF 규칙, 접근 정책이 있다면 v1.18.0 업그레이드 후 반드시 수정해야 합니다.

주요 변경 (7)
  • User-Agent 헤더가 'Open Policy Agent'에서 'Open-Policy-Agent'(하이픈 추가)로 변경됨 — 이전 문자열 정확 일치 필터나 WAF 규칙은 업그레이드 전 점검 필요
  • 컨테이너 환경 리소스 제한 복원 및 확장: GOMAXPROCS 자동 설정 복구, GOMEMLIMIT 자동 설정 신규 지원
  • opa fmt 교정 버그 다수 수정: 단일 항목 이터러블의 멀티라인 형식 유지, 주석 뒤 with 절 유실 문제 해결
  • opa test --coverage 개선: 리포트에 범위 정보 추가, 인라인 규칙 헤드 추적, 논리곱(conjunction) 표현식 커버리지 지원
  • future.keywords.not을 every 블록 내부에서 사용할 때 발생하던 부분 평가 회귀 버그 수정, every 내부 컴프리헨션의 변수 네임스페이싱 문제도 함께 수정
  • 성능 개선: object.get 메모리 할당 감소, topdown dst.Compare(src) 숏컷 제거, format_int 10진수 경로에서 strconv.ParseInt 호출 생략
  • Go 1.26.3 → 1.26.4 업데이트, 웹사이트 및 노드 의존성 일괄 갱신
원문

OpenCost

Observability2026년 6월 25일

이번 OpenCost 릴리스는 GPU 가격, 데이터 레이스, Azure Windows 가격 계산 등을 손보는 통상적인 패치이며, STACKIT 프로바이더가 신규로 추가됐습니다. 브레이킹 체인지나 지원 종료, CVE 수정 사항은 없습니다.

주요 변경 (7)
  • 데이터 레이스 및 안정성 수정 다수: cloudcost Status의 coverage 읽기에 가드가 추가되고 ClusterMap 티커를 정지시켜 누수를 막았으며, customcost Status()는 coverage 맵을 복사하도록 수정, GPUAllocation.Equal은 포인터 필드 값을 올바르게 비교하도록 수정
  • Azure Windows 노드의 온디맨드 가격 계산이 OS를 인식하도록 수정되어, 잘못된 기준 요율을 쓰던 문제를 해결
  • 커스텀 프로바이더의 GPU 기본 가격 오류를 수정하고, 크래시를 막기 위한 nil 필터 가드 추가
  • 클라우드 가격 조회용 HTTP 클라이언트에 타임아웃을 추가해 행업(hang)을 방지
  • STACKIT을 신규 지원 클라우드 프로바이더로 추가
  • BigQueryConfiguration에 queryProjectID 필드 추가, Provider Pricing Data 접근을 위한 GKE Workload Identity Federation 지원 추가
  • 그 외 소소한 변경: get_efficiency 툴에 step 파라미터 노출, Bingen 0.1.1 스트리밍 writer 지원, UI 빌드 도구를 parcel에서 react-router/vite로 전환, Tilt 개발용 Dockerfile.debug 복원, 스팟 가격 인증 실패 로그의 출력량 감소
원문

cert-manager

Security2026년 6월 25일

v1.19.6은 cert-manager-edit ClusterRole에서 발견된 HIGH 등급 RBAC 권한 상승 취약점(사용자가 ACME Challenge/Order를 직접 생성해 Issuer solver 셀렉터를 우회할 수 있던 문제)을 수정하는 보안 패치이며, CVE 3건을 해결하는 Go 툴체인 업데이트도 포함합니다. 이번 RBAC 수정에는 문서화된 주요 권한 변경이 포함되어 있습니다.

  • securityACME Challenge/Order 직접 생성을 통한 RBAC 권한 상승

    v1.19.6에 적용됩니다. 기본 cert-manager-edit 애그리게이트 ClusterRole은 네임스페이스 사용자가 ACME Challenge와 Order 리소스를 직접 생성할 수 있게 해, Issuer solver 셀렉터를 우회할 수 있었습니다. 이번 패치로 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create/patch/update 권한이 해당 역할에서 제거되었습니다. HIGH 등급 취약점(GHSA-8rvj-mm4h-c258)이므로 v1.19.6으로 업그레이드하세요.

  • securityGo 툴체인 1.25.11로 업데이트, CVE 3건 해결

    v1.19.6에서 무조건 적용됩니다. Go가 1.25.11로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 해결합니다. 업그레이드 외에 별도 조치는 필요 없습니다.

  • breakingcert-manager-edit ClusterRole의 Challenge/Order 생성 권한 제거

    Certificate → CertificateRequest → Order → Challenge 흐름을 벗어나 Challenge나 Order 리소스를 직접 생성하는 도구나 워크플로우가 있다면, 업그레이드 후 해당 권한을 잃게 되므로 별도로 권한을 부여해야 합니다.

주요 변경 (4)
  • HIGH 등급 RBAC 취약점 수정(GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole이 ACME Challenge/Order 직접 생성을 허용해 Issuer solver 셀렉터를 우회할 수 있었음
  • 주요 변경(breaking): cert-manager-edit이 더 이상 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create/patch/update 권한을 부여하지 않음. Challenge/Order를 직접 생성하는 도구는 권한을 별도로 부여해야 함
  • Go를 1.25.11로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 해결
  • 앞서 Go 1.25.10 업데이트와 기타 의존성 업데이트 다수 포함
원문

cert-manager

Security2026년 6월 25일

v1.20.3은 cert-manager-edit ClusterRole의 HIGH 심각도 RBAC 과잉 권한(GHSA-8rvj-mm4h-c258)을 수정하고 Go를 v1.26.4로 올려 CVE 3건을 해결한 보안 릴리스입니다. 업그레이드 전에 Challenge·Order 리소스를 직접 생성하는 워크플로가 있는지 반드시 확인하세요.

  • securitycert-manager-edit ClusterRole RBAC 과잉 권한 (GHSA-8rvj-mm4h-c258)

    GHSA-8rvj-mm4h-c258(HIGH): cert-manager-edit 집계 ClusterRole이 네임스페이스 사용자에게 Challenge·Order 리소스 직접 생성 권한을 부여해, Issuer 솔버 셀렉터를 우회할 수 있었습니다. v1.20.3에서 수정되었으므로, 클러스터에 신뢰하지 않는 네임스페이스 사용자가 있다면 즉시 업그레이드하세요.

  • securityGo v1.26.4 업데이트 (CVE 3건)

    Go가 v1.26.4로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 세 건의 CVE가 수정됩니다. 별도 설정 변경 없이 cert-manager를 업그레이드하면 적용됩니다.

  • breakingBreaking: cert-manager-edit에서 Challenge·Order 직접 생성 권한 제거

    cert-manager-edit ClusterRole에서 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create·patch·update 권한이 제거되었습니다. 정상 흐름(Certificate → CertificateRequest → Order → Challenge)을 거치지 않고 Challenge나 Order를 직접 생성하는 자동화 도구·CI 워크플로가 있다면, 업그레이드 전에 반드시 수정하세요.

주요 변경 (4)
  • HIGH 심각도 RBAC 취약점 수정 (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole에서 Challenge·Order 직접 생성을 허용하는 권한을 제거해 Issuer 솔버 셀렉터 우회 경로를 차단했습니다.
  • Breaking 변경: cert-manager-edit 집계 ClusterRole에서 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create·patch·update 권한이 삭제되었습니다.
  • Go를 v1.26.4로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 수정했습니다.
  • 버그 수정: Challenge 리소스에 포함되어 있던 issuer owner reference가 제거되어 Challenge 가비지 컬렉션이 정상 작동합니다.
원문

Fluentd

Observability2026년 6월 25일

Fluentd v1.19.3은 보안 및 강화 패치입니다. out_http의 호스트 체크와 출력의 태그 경로 경계 검증을 강화하고, buffer와 in_http의 압축 해제 페이로드 크기를 제한합니다. in_monitor_agent와 in_debug_agent의 기본 접근 및 가시성도 제한됩니다. 버그 수정은 스토리지, 파싱, 연결 재사용 문제를 다룹니다.

  • breakingout_http: 동적 엔드포인트 호스트 검증 강화

    v1.19.3에서 out_http의 동적 엔드포인트용 호스트 검증이 강화됩니다. 실행 중에 호스트 이름을 out_http에 제공하는 설정은 더욱 엄격한 검증 규칙을 따라야 합니다.

  • breakingbuffer, in_http: 압축 해제 페이로드 크기 제한

    v1.19.3에서 buffer와 in_http의 압축 해제 페이로드 크기에 제한이 적용됩니다. 제한을 초과하여 압축 해제되는 요청이나 버퍼 데이터는 거부됩니다.

  • breakingin_monitor_agent: 민감 정보 표시 제한 기본 설정

    v1.19.3에서 in_monitor_agent의 config, retry, debug info 기본 표시 설정이 변경됩니다. 기본적으로 노출되던 민감 정보는 명시적으로 활성화하지 않는 한 숨겨집니다.

  • breakingoutput: 태그 경로 경계 엄격 검증

    v1.19.3에서 출력 태그 경로 경계가 엄격히 검증됩니다. 적용된 경계 규칙을 따르지 않는 태그 경로는 거부됩니다.

  • breakingin_debug_agent: 기본값으로 로컬 접근만 허용

    v1.19.3에서 in_debug_agent는 기본적으로 로컬 머신에서만 연결을 수락합니다. 바인드 주소가 명시적으로 변경되지 않는 한 원격 연결은 거부됩니다.

주요 변경 (5)
  • out_http 호스트 검증 및 태그 경로 경계 강화, 압축 해제 페이로드 크기 제한 시행
  • in_monitor_agent 민감 정보 기본 비표시, in_debug_agent 기본값 로컬 전용
  • storage_local 인코딩 오류 수정, parser_csv 빈 줄 처리, out_forward 소켓 재사용 문제 수정
  • 버퍼가 대괄호를 포함한 경로에서도 정상 재개
  • Ruby 4.1용 win32-registry 의존성 추가
원문

Dragonfly

Storage & Data2026년 6월 25일

Dragonfly v2.5.0은 Hugging Face/ModelScope 모델 다운로드, P2P 인젝터 웹훅, 다운로드 블록리스트, 전면적인 속도 제한을 추가하는 기능 릴리스이며, 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트 제거와 헬스체크의 /healthy 통합이라는 주요 변경도 포함합니다. 다수의 버그 수정과 Nydus 서브프로젝트 개선도 함께 담겼습니다.

  • breakingV1 프리히트 API 엔드포인트 제거

    v2.5.0부터 조건 없이 적용됩니다: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되었습니다. 이 경로를 호출하던 자동화나 연동은 업그레이드 전에 현재 프리히트 API로 옮겨야 합니다.

  • breaking헬스체크 /healthy로 통합

    v2.5.0부터 조건 없이 적용됩니다: 헬스체크가 /healthy 엔드포인트 하나로 통합되었습니다. 기존 헬스체크 경로를 참조하던 로드밸런서, 쿠버네티스 프로브, 모니터링 설정을 수정해야 합니다.

  • enhancement긴급 다운로드 블록리스트

    현재 Manager 콘솔에서 사용 가능합니다: 특정 다운로드를 긴급 차단할 수 있는 블록리스트를 설정할 수 있습니다. 차단된 gRPC 요청은 PermissionDenied, HTTP 프록시 요청은 FORBIDDEN을 반환하며 장애 대응에 활용할 수 있습니다.

  • enhancementgRPC 및 클라이언트 전반 속도 제한

    현재 Manager/Scheduler gRPC 서버와 클라이언트 전반에 적용됩니다: 대역폭, 업/다운로드 요청, 적응형 제한을 포함한 속도 제한이 추가되었습니다. 배포 전에 제한값을 검토해 정상 트래픽이 의도치 않게 제한되지 않도록 확인하세요.

주요 변경 (8)
  • 주요 변경: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되고 헬스체크가 /healthy 하나로 통합되었습니다.
  • 신규: Dragonfly 클라이언트가 Hugging Face와 ModelScope에서 모델 저장소를 직접 내려받을 수 있게 되었습니다. Git LFS 데이터는 P2P로 가속하고 메타데이터는 Git 프로토콜로 가져옵니다.
  • 신규: dragonfly-injector Mutating Admission Webhook이 어노테이션 기반 정책으로 Pod에 P2P 기능을 자동 주입하며, Helm 차트도 이를 지원합니다.
  • 신규: Manager 콘솔에서 블록리스트를 설정해 특정 다운로드를 긴급 차단할 수 있습니다(gRPC는 PermissionDenied, HTTP 프록시는 FORBIDDEN 반환).
  • 신규: Manager/Scheduler gRPC 서버와 클라이언트 측 대역폭·요청 처리 전반에 속도 제한이 추가되어 소스 서비스를 보호합니다.
  • 신규: 로컬 스토리지 작업(목록 조회, 삭제, 프리히트)을 Scheduler와 함께 관리하는 dfctl CLI가 추가되었고, dfdaemon은 containerd의 ns 쿼리 파라미터로 업스트림 레지스트리를 추론할 수 있습니다.
  • 성능 및 안정성 개선: 스케줄링 전 부모 피어 선택 로직 개선, 파일 내보내기/다운로드의 버퍼링 처리, 대용량 전송을 위한 gRPC 스트림 버퍼 튜닝, HTTP 백엔드 개선(HTTP/1.1 적용, HEAD 재시도 로직, 크로스오리진 리다이렉트 시 인증 헤더 제거, 상대경로 307 리다이렉트 캐싱 오류 수정).
  • 그 외 다수의 소소한 수정: 피어 TTL과 concurrent_piece_count 관련 Redis Lua 스크립트 인자 순서 수정, 기본 클러스터 시딩 후 PostgreSQL SERIAL 시퀀스 처리 개선, ExternalRedis TLS 지원 추가, Nydus 서브프로젝트 업데이트(프리페치 최적화 블롭, DAX 백엔드 지원, 빌더/이미지 감지 관련 버그 수정 다수).
원문

Dragonfly

Storage & Data2026년 6월 25일

v2.4.4는 Dragonfly의 일상적인 유지보수 릴리스로, 피어 동시성·메모리 누수·등록 지연 관련 스케줄러 버그 세 가지를 수정하고 의존성을 함께 갱신했습니다. 보안 수정이나 운영자에게 영향을 주는 breaking change는 포함되어 있지 않습니다.

주요 변경 (5)
  • 스케줄러에서 AnnouncePeer 스트림 참조가 정리되지 않아 발생하던 트랜스포트 메모리 누수 수정
  • 프리히트(preheat) 작업 중 피어 동시성 제한이 정상적으로 적용되도록 수정
  • 슈퍼 시드 피어 등록 시 불필요한 지수 백오프 지연을 건너뛰도록 수정
  • containerd 1.7.32→1.7.33, go-redis/v9 9.19.0→9.21.0, mongo-driver 1.17.0→1.17.7, golang.org/x/crypto 0.53.0, retry-go v5 업그레이드 등 의존성 다수 갱신 (actions/checkout, gomega 등 부수 업데이트 포함)
  • 내부 헬퍼 함수 MustParseRange, ParseOneRange, ParseURLMetaRange 제거 (외부 API에는 영향 없는 리팩터링)
원문

Istio

Networking & Messaging2026년 6월 24일

Istio 1.28.9는 ISTIO-SECURITY-2026-005 권고 아래 Envoy 관련 CVE 14건을 수정한 보안 패치 릴리스로, 최고 등급은 HIGH입니다. HTTP/3 QPACK DoS, Zstd 메모리 고갈, ext_authz use-after-free, OAuth2 쿠키 패딩 오라클 등 다양한 필터와 프로토콜 처리 경로에 영향을 미치므로 빠른 업그레이드를 권장합니다.

  • securityHTTP/3 QPACK 디코딩 DoS 수정

    HTTP/3 스택의 QPACK 블록 디코딩 처리에서 서비스 거부(DoS)를 유발할 수 있는 취약점을 수정했습니다(GHSA-p7c7-7c47-pwch).

  • securityTLV 길이 불일치 수정

    패스스루 TLV와 추가 TLV를 합쳤을 때 최대 길이를 초과해 헤더에 기록된 크기와 실제 바이트 수가 어긋나는 문제를 고쳤습니다(CVE-2026-47692).

  • securityext_proc 응답 처리 버그 수정

    ext_proc 서버가 예상치 못한 ProcessingResponse를 Envoy로 보내던 버그를 수정했습니다(CVE-2026-47207).

  • securityext_authz 필터 use-after-free 수정

    라우트별 서비스 오버라이드가 적용된 상태에서 인가 검사 도중 다운스트림 연결이 끊기면 ext_authz 필터에서 use-after-free 크래시가 발생하던 문제를 고쳤습니다(CVE-2026-47205). 해당 설정을 쓰는 환경은 업그레이드를 권장합니다.

  • securityHTTP 303 내부 리다이렉트 처리 수정

    본문이 없는 요청에 대해 HTTP 303 내부 리다이렉트를 처리할 때 발생하던 문제를 수정했습니다(CVE-2026-47221).

  • securityZstd 압축 해제 메모리 고갈 수정

    Zstd 압축 해제 시 MaxInflateRatio 한도를 입력 슬라이스 전체 처리 후에만 확인하던 탓에 메모리 고갈이 발생할 수 있던 취약점을 고쳤습니다(CVE-2026-48044).

  • security비동기 토큰 콜백 타이밍 버그 수정

    필터가 종료된 이후에도 비동기 토큰 변경 콜백이 실행될 수 있던 버그를 수정했습니다(CVE-2026-48090).

  • securitySAN NUL 바이트 검증 우회 수정

    피어 인증서의 SAN 필드에 NUL 바이트가 포함된 경우 검증이 우회될 수 있던 문제를 고쳤습니다(CVE-2026-47778).

  • securitygRPC 통계 필터 use-after-free 수정

    직접 응답 라우트에서 gRPC 통계 필터가 통계를 추적할 때 발생하던 크래시 및 use-after-free를 수정했습니다(CVE-2026-47204).

  • security쿼리 이름 길이 검증 강화

    비정상적인 프로세스 종료를 막기 위해 쿼리 이름 길이 검증을 강화했습니다(CVE-2026-48497).

  • securityTcpStatsdSink 버퍼 오버플로 수정

    통계 이름이 큰 경우 TcpStatsdSink에서 버퍼 오버플로가 발생하던 문제를 수정했습니다(CVE-2026-48706).

  • securityHTTP/3 헤더 전용 content-length 검증 강화

    HTTP/3 헤더 전용 요청/응답의 content-length 검증을 강화하고 값이 일치하지 않으면 스트림을 리셋합니다. envoy.reloadable_features.quic_validate_headers_only_content_length 런타임 플래그로 제어됩니다(CVE-2026-48743).

  • securityOAuth2 쿠키 패딩 오라클 수정

    OAuth2 필터의 AES-256-CBC 쿠키 복호화에 존재하던 패딩 오라클 취약점을 해결했습니다. 이제 gcm. 알고리즘 마커를 사용하는 AES-256-GCM 암호화도 지원합니다(CVE-2026-47775). 가능하면 GCM 방식으로 전환하는 것을 권장합니다.

  • securityJSON 파서 중첩 깊이 제한

    JSON 중첩 깊이를 1000으로 제한했습니다. envoy.reloadable_features.limit_json_parser_nesting_depth 플래그를 false로 설정하면 10000까지 완화할 수 있지만 기본값 유지를 권장합니다(CVE-2026-48042).

주요 변경 (6)
  • ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건 수정, 최고 등급은 HIGH: HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제 메모리 고갈(CVE-2026-48044), HTTP/3 헤더 전용 content-length 검증(CVE-2026-48743), JSON 파서 중첩 깊이 제한(CVE-2026-48042)
  • ext_authz 필터의 use-after-free 크래시 수정(CVE-2026-47205, 라우트별 오버라이드+연결 리셋 조건)
  • OAuth2 필터 AES-256-CBC 쿠키 복호화의 패딩 오라클 취약점 해결, AES-256-GCM 지원 추가(CVE-2026-47775)
  • SAN 필드 NUL 바이트로 인한 인증서 검증 우회 수정(CVE-2026-47778)
  • gRPC 통계 필터 use-after-free(CVE-2026-47204), TcpStatsdSink 버퍼 오버플로(CVE-2026-48706) 등 나머지 MEDIUM 등급 취약점 다수 수정
  • 전반적인 안정성 개선을 위한 버그 수정 다수 포함
원문

Istio

Networking & Messaging2026년 6월 24일

Istio 1.29.5는 ISTIO-SECURITY-2026-005에 해당하는 Envoy CVE 14건을 수정한 보안 릴리스로, HIGH 심각도 DoS·크래시·use-after-free 취약점 다수가 포함됩니다. 게이트웨이 리비전 레이블 변경 시 트래픽 중단, ambient ipset 헬스 프로브 누락, krt 메모리 누수, 멀티클러스터 컨트롤러 패닉도 함께 수정되었습니다.

  • securityEnvoy CVE 14건 수정(최대 심각도 HIGH) — ISTIO-SECURITY-2026-005

    ISTIO-SECURITY-2026-005에 묶인 Envoy CVE 14건이 1.29.5에서 모두 수정되었습니다. 심각도 HIGH 항목으로는 HTTP/3 QPACK 디코딩 DoS(GHSA-p7c7-7c47-pwch), MaxInflateRatio를 우회하는 압축 페이로드 과팽창(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), QUIC content-length 유효성 검사 문제(CVE-2026-48743), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692)가 있습니다. 1.29.x 운영 환경 전체를 1.29.5로 즉시 업그레이드하세요.

  • securityOAuth2 필터 AES-256-CBC 패딩 오라클(CVE-2026-47775)

    OAuth2 필터에서 AES-256-CBC 쿠키 암호화를 사용 중이라면 즉시 업그레이드해야 합니다. 이번 패치에서 padding oracle이 수정되었고, AES-256-GCM이 gcm. 알고리즘 마커와 함께 새로 지원됩니다. 업그레이드 후 AES-256-CBC에서 AES-256-GCM으로의 전환을 계획하세요.

  • securityext_authz 라우트별 오버라이드에서 use-after-free(CVE-2026-47205)

    ext_authz에서 라우트별 서비스 오버라이드를 사용하는 경우, 인가 요청이 진행 중일 때 다운스트림 연결이 리셋되면 use-after-free 크래시가 발생할 수 있었습니다(CVE-2026-47205). 1.29.5로 업그레이드하면 해당 크래시 경로가 제거됩니다.

  • breakingJSON 중첩 깊이 상한 1000으로 축소(CVE-2026-48042)

    JSON 파서 중첩 깊이 기본값이 10000에서 1000으로 낮아졌습니다. 더 깊은 중첩이 필요하다면 런타임 플래그 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 임시 복원할 수 있으나, 깊은 중첩 의존성을 제거하는 방향으로 전환을 준비하세요.

주요 변경 (7)
  • ISTIO-SECURITY-2026-005로 묶인 Envoy CVE 14건 수정(최대 HIGH): HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), 압축 페이로드 과팽창(CVE-2026-48044), REQUESTED_SERVER_NAME 포매터 크래시(CVE-2026-47220), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692), QUIC 헤더 유효성 검사(CVE-2026-48743) 등
  • OAuth2 필터 padding oracle 수정(CVE-2026-47775), AES-256-GCM 신규 지원 — AES-256-CBC 사용 환경은 전환 필요
  • JSON 파서 중첩 깊이 기본값 1000으로 변경(기존 10000); envoy.reloadable_features.limit_json_parser_nesting_depth=false로 임시 복원 가능(CVE-2026-48042)
  • ext_authz 라우트별 서비스 오버라이드 use-after-free 수정(CVE-2026-47205), ext_proc 예기치 않은 응답 처리 및 gRPC 통계 필터 UAF/크래시도 함께 수정
  • Kubernetes Gateway 또는 ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단 수정 — 이전 컨트롤 플레인이 게이트웨이 파드에 빈 xDS 설정을 푸시하던 문제 해결
  • 노드 또는 kubelet 재시작 후 ambient 등록 파드가 호스트 헬스 프로브 ipset에서 누락되어 kubelet 프로브가 ztunnel로 전달되고 거부되던 문제 수정
  • krt 컨트롤러의 역방향 인덱스 잔류로 인한 메모리 누수 수정, 멀티클러스터 시크릿 컨트롤러의 채널 중복 close 패닉 수정, 1.29.2 이전 사이드카 설정 생성 버그 수정
원문

Istio

Networking & Messaging2026년 6월 24일

Istio 1.30.2는 보안과 버그 수정을 함께 담은 패치 릴리스로, ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건(QPACK 기반 HTTP/3 DoS가 high 등급, 나머지는 medium~high)을 수정했고 pilot-agent 메트릭 병합 방식 변경과 AuthorizationPolicy 트러스트 도메인 필드 추가 등 운영자가 챙겨야 할 변경도 포함합니다.

  • securityISTIO-SECURITY-2026-005, Envoy CVE 14건 수정 (일부 high 등급)

    모든 1.30.x 배포에 적용됩니다. QPACK 블록 디코딩을 이용한 HTTP/3 스택 DoS를 수정했고, JSON 파서의 중첩 깊이를 1000으로 제한했습니다(envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정한 경우에만 기존 10K 한도로 완화 가능). 헤더만 있는 요청/응답의 content-length 검증도 envoy.reloadable_features.quic_validate_headers_only_content_length 플래그로 강화되었습니다. 1.30.2로 업그레이드하세요.

  • securityext_authz, ext_proc, gRPC stats, OAuth2 필터의 use-after-free/크래시 수정 다수

    ext_authz에서 per-route 서비스 오버라이드가 활성화된 상태로 인증 확인 중 다운스트림 연결이 끊기는 경우(CVE-2026-47205), 또는 ext_proc, gRPC stats, OAuth2 필터를 사용하는 경우에 해당됩니다. use-after-free와 패딩 오라클 문제가 수정되었고, OAuth2 필터는 gcm. 마커를 통한 AES-256-GCM 쿠키 암호화도 지원합니다.

  • breakingpilot-agent 메트릭 병합이 protobuf content type을 거부함

    pilot-agent 메트릭 병합(PILOT_AGENT_MERGE_ENVOY_STATS)을 사용하는 배포에 적용됩니다. 허용되는 content type이 text/plain과 application/openmetrics-text로 제한되어, protobuf 기반으로 병합된 메트릭을 수집하던 구성은 깨질 수 있습니다. 업그레이드 전 스크래핑 설정을 확인하세요.

  • enhancementAuthorizationPolicy에 트러스트 도메인 매칭 기능 추가

    mTLS 트러스트 도메인 기반 접근 제어가 필요한 AuthorizationPolicy 작성자에게 적용됩니다. Source에 추가된 trustDomains, notTrustDomains 필드로 피어 인증서의 트러스트 도메인을 기준으로 요청을 매칭하거나 제외할 수 있습니다.

주요 변경 (8)
  • ISTIO-SECURITY-2026-005에서 Envoy CVE 14건을 수정했으며 최고 등급은 high입니다. 가장 눈에 띄는 것은 HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제기의 메모리 소진(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), JSON 중첩 깊이를 1000으로 제한한 항목(CVE-2026-48042)입니다
  • ext_authz(연결 리셋 중 per-route 오버라이드), ext_proc, gRPC stats 필터, 비동기 토큰 콜백 경로에서 use-after-free/크래시가 수정되었습니다
  • OAuth2 필터는 AES-256-CBC 쿠키 복호화의 패딩 오라클 문제를 해결했고 AES-256-GCM 지원을 추가했습니다
  • pilot-agent 메트릭 병합이 허용 content type을 text/plain과 application/openmetrics-text로 제한하면서 protobuf 지원이 빠졌고, 병합 동작을 제어하는 PILOT_AGENT_MERGE_ENVOY_STATS 환경 변수가 새로 추가되었습니다
  • AuthorizationPolicy의 Source에 trustDomains, notTrustDomains 필드가 추가되어 트러스트 도메인 기반 요청 매칭이 가능해졌습니다
  • Kubernetes Gateway/ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단과, WasmPlugin의 TrafficExtension 변환으로 인한 중복·과다 xDS 푸시 문제를 수정했습니다
  • 앰비언트 모드에서는 노드/kubelet 재시작 후 파드가 호스트 헬스 프로브 ipset에서 빠져 kubelet 프로브가 ztunnel로 리다이렉트되어 거부되던 문제를 수정했습니다
  • 그 외 소소한 수정 여러 건: Gateway API CRD가 최소 버전보다 낮을 때의 로그를 warn 레벨로 변경, 1.29.2 이전 사이드카 설정 생성 수정, krt 컨트롤러의 오래된 역인덱스 항목으로 인한 메모리 누수 수정
원문

Vitess

Storage & Data2026년 6월 24일

Vitess v24.0.2는 gRPC 인증 타이밍과 twopcz 값 이스케이프 관련 보안 강화 수정 2건에, 백업/복구, VReplication, vtgate, VTOrc, 커넥션 풀링 전반의 버그 수정을 더한 패치 릴리스입니다. 브레이킹 API나 설정 변경은 명시되지 않았습니다.

  • security보안 강화 수정 2건: gRPC 인증 타이밍, twopcz 반사값 처리

    static gRPC 인증 플러그인의 비밀번호 비교에서 발생하던 타이밍 사이드채널과 twopcz 핸들러의 반사값 이스케이프 누락을 수정했습니다. 두 건 모두 조건 없이 적용되므로, gRPC static auth를 쓰거나 twopcz 엔드포인트를 노출하는 환경이라면 v24.0.2로 업그레이드를 권장합니다.

주요 변경 (7)
  • servenv: static gRPC 인증 플러그인이 이제 상수 시간 비밀번호 비교를 사용해 타이밍 사이드채널을 막았습니다.
  • tabletserver: twopcz 핸들러가 반사되는 폼 값을 이스케이프 처리해 반사형 인젝션 가능성을 제거했습니다.
  • smartconnpool 다건 수정: MaxLifetime 지터, reopen 후 refresh worker 유지, idle reopen 정지, close 데드락, Setting 보존, closed pool에서의 SetCapacity 거부 처리.
  • VTOrc: PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 사이의 데드락을 해결했고, errant GTID 해소 시 게이지 값을 초기화합니다.
  • VReplication/vtgate: reshard 수렴 시 vstream StopOnReshard가 멈추는 문제, 교체된 태블릿의 취소된 연결 확인에서 오는 오래된 healthcheck 업데이트, binlog 디코딩 시 DECIMAL JSON 선행 0 처리를 수정했습니다.
  • vtgate: Filter 스트리밍 경로가 ToBoolean()을 사용해 정확한 결과를 내도록 고쳤고, OLAP/스트리밍 모드의 prepared statement에 전용 플랜을 적용합니다.
  • 그 외 소소한 수정 6건 정도: mysqlctl 원격 종료 타임아웃 전파, 백업 중 lastErr 초기화, discovery의 keyspaceState 누수, etcd2topo 락 정리 RPC 범위 제한, vttablet Stream의 스키마 덮어쓰기 문제.
원문

Vitess

Storage & Data2026년 6월 24일

v23.0.5는 버그 수정 중심의 패치 릴리스로, 보안 수준 강화 2건(심각도 medium)이 포함됩니다. 연결 풀링, 쿼리 플래닝, VReplication, VTOrc, 토폴로지, 백업/복구 전반에 걸쳐 수정이 이뤄졌으며 API, 설정, 기본값 변경은 없습니다.

  • security정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교

    정적 gRPC 인증 플러그인이 이제 비밀번호 비교에 일정 시간(constant-time) 알고리즘을 사용합니다. 정적 gRPC 인증을 쓰는 모든 배포에 적용됩니다.

  • securitytwopcz 핸들러의 반사 입력 이스케이프 처리

    twopcz 디버그 핸들러가 폼 입력값을 이스케이프 처리하여 반사형 입력 삽입을 차단합니다. twopcz 핸들러 엔드포인트에 접근 가능한 배포에 적용됩니다.

주요 변경 (7)
  • 보안 수정 2건(심각도 medium): 정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교, twopcz 핸들러의 반사 입력 이스케이프.
  • smartconnpool 연결 생명주기 버그 다수 수정: 만료된 대기자에 반환된 연결이 전달되는 문제, MaxLifetime 지터, reopen 후 refresh 워커 소실, 유휴 reopen 중단, close 데드락, 닫힌 풀에서 SetCapacity 거부 처리.
  • VTOrc의 forgetAliases 캐시 초기화 데이터 레이스, PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 간 데드락, errant GTID 해소 후 CurrentErrantGTIDCount 게이지가 초기화되지 않는 버그를 각각 수정.
  • VReplication 바이너리로그에서 DECIMAL JSON 값(예: 0.1)의 선행 0 보존 및 불필요한 선행 0 제거 처리가 이전 수정에서 누락된 케이스까지 완전히 적용.
  • VTGate 플래너가 DML IN/NOT IN 서브쿼리를 ListArg 플레이스홀더로 올바르게 대체하도록 수정; Filter 스트리밍 경로의 ToBoolean() 오류 수정 및 OLAP/스트리밍 모드 prepared statement 전용 플랜 생성 추가.
  • vstream StopOnReshard의 reshard 수렴 시 행 현상 수정, 교체된 태블릿의 취소된 연결 확인에서 발생하는 오래된 헬스체크 업데이트 제거.
  • 그 외: mysqlctl 원격 종료 타임아웃 전파 오류, Discovery keyspaceState 누수, etcd2topo 잠금 획득 정리 RPC 무한 증가, vttablet Stream의 비-키스페이스 필드 스키마 덮어쓰기 버그 수정.
원문

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.38.3은 보안 전용 릴리스로, 15개 CVE와 상위 의존성 wasmtime의 CVE 1건을 수정합니다. 그 중 TLS SAN NUL 바이트 인증 우회(CVE-2026-47778)와 HTTP/3→HTTP/1 요청 스머글링(CVE-2026-48743) 두 건이 Critical로, 나머지 13건은 크래시·DoS·힙 오버플로·데이터 유출 등을 포함하는 High 등급입니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 포함되면 비교 시 문자열이 잘려 인증서 기반 인증을 우회할 수 있습니다. 조건 없이 v1.38.3으로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3 → HTTP/1 요청 스머글링 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청이 HTTP/1 백엔드로 스머글링될 수 있습니다. HTTP/3을 HTTP/1로 프록시하는 배포 환경은 모두 영향을 받으며, v1.38.3으로 업그레이드해야 합니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 "skipped" TLV를 그대로 내보내 공격자가 제어하는 데이터 최대 65 KB가 업스트림 애플리케이션 스트림으로 유입됩니다. v1.38.3으로 업그레이드해야 합니다.

  • breakingIntel DLB 연결 밸런서 확장 제거됨

    컨트리뷰션 확장 envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서)가 소스 아카이브 손상으로 v1.38.3에서 Bazel 빌드 레이어 전체에서 비활성화됐습니다. 이 확장에 의존하던 배포 환경은 다른 연결 밸런서로 전환해야 합니다.

  • breakingTLS 인증서 Brotli 압축 기본값 비활성화로 변경

    런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli가 기본값 비활성화로 변경됐습니다. 비활성화 상태에서는 QUIC이 zlib 전용 인증서 압축을 사용하고, TCP TLS는 인증서 압축을 수행하지 않습니다. Brotli 압축에 의존하던 경우 업그레이드 후 해당 플래그를 명시적으로 다시 활성화해야 합니다.

주요 변경 (8)
  • CRITICAL: TLS SAN NUL 바이트 잘림으로 인증서 인증 우회 가능 (CVE-2026-47778, 전체 15개 CVE 중 최고 심각도)
  • CRITICAL: Content-Length가 있는 헤더 전용 HTTP/3 요청을 통한 HTTP/1 요청 스머글링 (CVE-2026-48743)
  • HIGH: PROXY Protocol v2가 업스트림 스트림으로 최대 65 KB 유출 (CVE-2026-47692); OAuth2 PKCE 패딩 오라클 (CVE-2026-47775) 및 스트림 종료 후 비동기 토큰 완료 시 UAF/크래시 (CVE-2026-48090)
  • HIGH: authz 퍼-라우트 (CVE-2026-47205), 라우터 내부 리다이렉트 (CVE-2026-47221), REQUESTED_SERVER_NAME (CVE-2026-47220), Connect→direct_response의 grpc_stats 필터 (CVE-2026-47204), ext_proc 단일 gRPC 메시지 응답 (CVE-2026-47207)에서 크래시 수정
  • HIGH: zstd RLE 집 밤 DoS (CVE-2026-48044), JSON 깊은 중첩 소멸자 스택 오버플로 (CVE-2026-48042), DNS UDP 필터 비정상 종료 (CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로 (CVE-2026-48706), HTTP/3 QPACK 블록 디코딩 DoS (GHSA-p7c7-7c47-pwch)
  • CVE-2026-47261 해결을 위해 wasmtime 의존성 업그레이드 (중간 심각도)
  • 소스 아카이브 손상으로 Intel DLB 컨트리뷰션 확장(envoy.network.connection_balance.dlb) 전체 빌드에서 비활성화
  • 런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli 기본값이 비활성화로 변경됨 — TCP TLS 인증서 압축이 중단되고 QUIC은 zlib 전용으로 복귀
원문

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.37.5는 보안 전용 릴리스로, Envoy 자체 CVE/GHSA 15건과 upstream 의존성 CVE 1건을 수정합니다. 심각도는 Critical까지 올라가며, HTTP/3→HTTP/1 요청 밀수, TLS SAN 인증 우회, PROXY Protocol v2 업스트림 스트림 유출 등 Critical 3건이 특히 주목됩니다. v1.37.x 배포라면 지체 없이 업그레이드해야 합니다.

  • securityCritical: HTTP/3 → HTTP/1 요청 밀수 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청으로 HTTP/1 업스트림에 요청을 밀수할 수 있습니다. HTTP/3을 종료하고 HTTP/1 백엔드로 프록시하는 모든 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityCritical: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 삽입된 인증서는 비교 시 그 지점에서 잘려 의도하지 않은 패턴에 매칭됩니다. TLS SAN 검증으로 인증 결정을 내리는 배포에서 인증 우회가 발생합니다. 즉시 업그레이드하세요.

  • securityCritical: PROXY Protocol v2 TLV 업스트림 스트림 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 건너뛰어야 할 TLV를 그대로 출력해, 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림에 유입됩니다. 업스트림 방향으로 PROXY Protocol v2 헤더를 생성하는 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityHigh: OAuth2 필터 패딩 오라클 및 UAF (CVE-2026-47775, CVE-2026-48090)

    CVE-2026-47775 (GHSA-396h-jpq4-vc7p)는 PKCE 코드 검증자 패딩 오라클 취약점이고, CVE-2026-48090 (GHSA-3cj2-c63f-q26f)는 스트림 해제 후 비동기 토큰 완료 시 UAF 위험입니다. 둘 다 envoy.filters.http.oauth2를 사용하는 배포에 적용됩니다.

  • securityHigh: HTTP/3 QPACK 블로킹 디코딩 DoS (GHSA-p7c7-7c47-pwch)

    HTTP/3 QPACK 블로킹 디코딩(GHSA-p7c7-7c47-pwch)을 악용해 HTTP/3 스택을 DoS 상태로 만들 수 있습니다. HTTP/3을 서비스하는 모든 배포에 적용됩니다.

  • securityHigh: grpc_stats 필터 세그폴트 (CVE-2026-47204)

    CVE-2026-47204 (GHSA-3jxh-8p6x-7pf6): Connect 프로토콜 요청이 direct_response 라우트로 전달될 때 grpc_stats 필터가 세그폴트를 일으킵니다. envoy.filters.http.grpc_stats를 사용하는 배포에 적용됩니다.

  • breakingIntel DLB 연결 밸런서 contrib 익스텐션 빌드 시 비활성화

    envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서) contrib 익스텐션이 소스 아카이브 손상으로 인해 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화되었습니다. 이 익스텐션을 사용하는 배포는 소스 문제가 해결될 때까지 로컬 우회 방법이나 대체 밸런싱 전략을 사용해야 합니다.

주요 변경 (5)
  • Critical CVE 3건 수정: HTTP/3→HTTP/1 요청 밀수(CVE-2026-48743), TLS SAN NUL 바이트 인증 우회(CVE-2026-47778), PROXY Protocol v2 업스트림 스트림 65 KB 유출(CVE-2026-47692).
  • High 심각도 CVE 9건 추가 수정: OAuth2 패딩 오라클·UAF(CVE-2026-47775, CVE-2026-48090), HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), grpc_stats 세그폴트(CVE-2026-47204), DNS UDP 필터 비정상 종료(CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706), 깊은 JSON 중첩 스택 오버플로(CVE-2026-48042), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), REQUESTED_SERVER_NAME 크래시(CVE-2026-47220), ext_proc gRPC 응답 크래시(CVE-2026-47207), authz 퍼라우트 크래시(CVE-2026-47205).
  • zstd 압축 해제 RLE 집 밤 DoS(CVE-2026-48044, High) 수정. zstd 필터를 사용하는 배포에 적용됩니다.
  • wasmtime 의존성 업그레이드로 CVE-2026-47261 해결.
  • envoy.network.connection_balance.dlb(Intel DLB) contrib 익스텐션이 소스 아카이브 손상으로 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화됨. 릴리스 노트에 로컬 우회 방법이 안내되어 있습니다.
원문

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.36.9는 보안 패치만 포함된 릴리스로, TLS SAN 처리, HTTP/3, PROXY 프로토콜, JSON 파싱, OAuth2, ext_proc, grpc_stats, zstd, DNS, statsd에 걸쳐 15개 CVE(2개 critical, 나머지 high/medium)를 수정합니다. TLS SAN 인증 우회와 HTTP/3 요청 스머글링은 광범위하게 악용될 수 있으므로 즉시 업그레이드해야 합니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778 / GHSA-f8x4-rw5x-f3r7)

    TLS SAN에 NUL 바이트가 포함된 경우 SAN이 잘려 인증서 기반 인증 검사를 우회할 수 있습니다. 모든 배포에 영향을 미치므로 즉시 v1.36.9로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3-to-HTTP/1 요청 스머글링 (CVE-2026-48743 / GHSA-8phg-2h2q-jgxf)

    nonzero Content-Length를 가진 headers-only HTTP/3 요청이 HTTP/1 백엔드로 밀수될 수 있습니다. HTTP/3를 HTTP/1 백엔드로 프록시하는 환경에 영향을 줍니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692 / GHSA-wh36-hm39-mm3r)

    PROXY Protocol v2 헤더 생성기가 TLV를 잘못 방출해 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림으로 흘러들어갑니다. PROXY Protocol v2 헤더 생성기를 사용하는 환경에 해당합니다.

  • securityHIGH: 깊은 중첩 JSON으로 인한 스택 오버플로 (CVE-2026-48042 / GHSA-f24p-rxw2-g6pv)

    중첩 깊이가 매우 큰 JSON 입력이 들어오면 객체 소멸자에서 스택 오버플로가 발생해 프록시가 크래시됩니다. 모든 배포에 영향을 줍니다.

  • securityHIGH: wasmtime 의존성 CVE (CVE-2026-47261)

    CVE-2026-47261 해결을 위해 wasmtime 의존성이 업데이트되었습니다. Wasm 확장을 사용하는 모든 배포에 적용됩니다.

  • breakingDLB 커넥션 밸런서 확장 비활성화 (기능 제거)

    contrib Intel DLB 커넥션 밸런서 확장(envoy.network.connection_balance.dlb)이 소스 아카이브 문제로 인해 모든 플랫폼의 Bazel 빌드에서 비활성화되었습니다. 이 확장을 사용하던 빌드는 조용히 기능을 잃게 됩니다.

주요 변경 (8)
  • CRITICAL (2개): TLS SAN NUL 바이트 잘림으로 인한 인증 우회(CVE-2026-47778)와, headers-only HTTP/3 요청의 nonzero Content-Length를 이용한 HTTP/1 백엔드 요청 스머글링(CVE-2026-48743).
  • HIGH: PROXY Protocol v2 헤더 생성기가 skipped TLV를 잘못 방출해 공격자 제어 데이터 최대 65 KB가 업스트림 스트림으로 유출(CVE-2026-47692).
  • HIGH: 깊은 중첩 JSON 소멸자에서 스택 오버플로 발생, 전 배포 영향(CVE-2026-48042).
  • HIGH: 여러 필터의 크래시 및 보안 문제 수정 -- ext_proc 단일 gRPC 메시지 응답(CVE-2026-47207), grpc_stats가 direct_response 라우트에 Connect 프로토콜 요청 시 세그폴트(CVE-2026-47204), authz 퍼 라우트 크래시(CVE-2026-47205), 라우터 내부 리다이렉트 크래시(CVE-2026-47221).
  • HIGH: OAuth2 필터 두 가지 수정 -- PKCE 코드 검증자 패딩 오라클(CVE-2026-47775)과 스트림 해제 후 지연된 비동기 토큰 완료로 인한 UAF 위험(CVE-2026-48090).
  • HIGH: zstd RLE zip-bomb 압축 증폭(CVE-2026-48044), DNS UDP 필터 비정상 종료(CVE-2026-48497), HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706).
  • CVE-2026-47261 해결을 위한 wasmtime 의존성 업데이트(HIGH, 모든 배포 적용).
  • 소스 아카이브 문제로 contrib envoy.network.connection_balance.dlb(Intel DLB) 확장이 모든 빌드에서 비활성화.
원문

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.35.13은 CVE 13건을 수정한 주요 보안 릴리스로, 그중 2건은 critical입니다. 업스트림 스트림에 최대 65KB가 유출되는 PROXY 프로토콜 v2 TLV 유출 결함과, 인증서 기반 인증을 우회할 수 있는 TLS SAN NUL 절단 결함이 포함됩니다. 소스 아카이브 문제로 contrib Intel DLB 커넥션 밸런서 확장도 비활성화됐습니다.

  • securityPROXY 프로토콜 v2 TLV 유출 (CVE-2026-47692)

    PROXY 프로토콜 v2 헤더 생성을 사용하는 모든 v1.35.13 배포에 해당합니다. CVE-2026-47692는 공격자가 조작한 "skipped" TLV로 인해 업스트림 애플리케이션 스트림에 최대 65KB가 유출되는 취약점입니다. 이 기능을 쓴다면 즉시 업그레이드하세요.

  • securityTLS SAN NUL 절단으로 인한 인증 우회 (CVE-2026-47778)

    SAN 기반으로 클라이언트 인증서를 검증하는 배포에 해당합니다. CVE-2026-47778은 TLS SAN에 삽입된 NUL 바이트로 인해 파싱된 이름이 잘려서, 의도하지 않은 호스트명과 일치하며 인증을 우회할 수 있는 취약점입니다. 즉시 업그레이드하세요.

  • security핵심 필터와 HTTP/3에 걸친 추가 CVE 11건

    ext_proc, 라우터 내부 리다이렉트, OAuth2(패딩 오라클과 비동기 토큰 완료 지연으로 인한 use-after-free 두 건), zstd 압축 해제, grpc_stats, JSON 파싱, DNS 필터, HTTP/3(content-length 검증 미비와 별도의 QPACK 기반 DoS), TcpStatsdSync 등에서 추가로 11건의 높은 심각도 CVE가 수정됐습니다. 각각 특정 필터나 코덱에 얽힌 크래시, DoS, 메모리 안전성 문제입니다. 전체 수정을 적용하려면 업그레이드하고, 사용 중인 필터를 확인해 우선순위를 정하세요.

  • securitywasmtime 의존성 업데이트로 CVE-2026-47261 수정

    com_github_wasmtime 의존성을 올려 별도의 wasmtime CVE(CVE-2026-47261)를 수정했습니다. Wasm 필터를 사용하는 배포에 해당합니다.

  • breakingIntel DLB 커넥션 밸런서 확장 비활성화

    contrib 확장 envoy.network.connection_balance.dlb(Intel DLB 커넥션 밸런서)가 소스 아카이브 문제로 모든 빌드와 플랫폼에서 Bazel 빌드 레벨에서 비활성화됐습니다. 이 확장을 활성화해 빌드하던 곳은 다른 커넥션 밸런서로 전환해야 합니다.

주요 변경 (7)
  • 이번 릴리스에서 CVE 13건이 수정됐고 그중 2건은 심각도 critical입니다: PROXY 프로토콜 v2 TLV 유출(CVE-2026-47692, 업스트림 스트림으로 최대 65KB 유출)과 TLS SAN NUL 절단으로 인한 인증 우회(CVE-2026-47778).
  • 핵심 요청 처리 경로에서 다수의 높은 심각도 결함이 수정됐습니다: ext_proc 단일 메시지 응답 처리(CVE-2026-47207), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), direct_response 라우트로의 Connect 프로토콜 요청 시 grpc_stats 세그폴트(CVE-2026-47204), 깊게 중첩된 JSON 소멸 시 스택 오버플로(CVE-2026-48042).
  • OAuth2 필터에서 서로 다른 두 건이 수정됐습니다: 코드 검증자 패딩 오라클(CVE-2026-47775), 스트림 종료 후 비동기 토큰 완료 지연으로 인한 use-after-free(CVE-2026-48090).
  • HTTP/3 스택이 두 가지 문제에서 강화됐습니다: 헤더만 있는 요청/응답의 content-length 미검증(CVE-2026-48743), QPACK 블록 디코딩을 악용한 DoS.
  • 그 외 높은 심각도 수정: zstd RLE 압축 해제 시 zip bomb(CVE-2026-48044), 긴 쿼리 이름으로 인한 DNS 필터 크래시(CVE-2026-48497), 큰 stats 이름으로 인한 TcpStatsdSync 버퍼 오버플로(CVE-2026-48706).
  • 업스트림 wasmtime 의존성을 올려 Wasm 필터의 CVE-2026-47261을 해결했습니다.
  • contrib 확장 envoy.network.connection_balance.dlb(Intel DLB)가 소스 아카이브 문제로 모든 빌드에서 Bazel 레벨에서 비활성화됐습니다.
원문

Buildpacks

CI/CD & App Delivery2026년 6월 23일

pack v0.40.7은 레지스트리 메시지 텍스트 수정, 내부 의존성 정리, 추천 빌더 변경을 담은 routine patch입니다. 운영자가 대응할 breaking이나 보안 변경사항은 없습니다.

주요 변경 (3)
  • yank 레지스트리 이슈 본문 텍스트 수정: `yank = true` 추가 및 코드 블록 처리로 가독성 개선
  • github.com/docker/docker에 대한 직접 의존성 제거
  • CLI가 추천 빌더로 `heroku/builder:24` 대신 `heroku/builder:26`을 제안
원문

OpenTelemetry

Observability2026년 6월 23일

v0.155.0은 운영자 입장에서 대응이 필요한 릴리스입니다. 안정화됐던 feature gate 7개가 제거되고, memory_limiter 메트릭 이름이 바뀌었으며, 설정/서비스 API 2개가 스냅샷 기반으로 대체 예정입니다. 나머지는 mdatagen과 새로 옮겨온 schemagen CLI 관련 도구 작업입니다.

  • breaking안정화된 feature gate 7개 제거

    confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 --feature-gates 플래그나 설정에 남아있다면 해당됩니다. v0.155.0에서 이 게이트들이 완전히 제거되어 참조가 남아있으면 시작 자체가 실패합니다. 업그레이드 전에 CLI 인자와 설정에서 모두 제거하세요.

  • breakingmemory_limiter 메트릭 이름에 접두사 추가

    memory_limiter 프로세서의 otelcol_processor_* 메트릭을 대시보드나 알림 규칙에서 사용 중이라면 해당됩니다. 다른 프로세서와 구분하기 위해 otelcol_processor_memory_limiter_* 로 이름이 바뀌었습니다. 대시보드와 알림 규칙, 메트릭 쿼리를 새 이름으로 수정해야 합니다.

  • breakingmdatagen의 reaggregation_enabled 설정 제거

    mdatagen metadata.yaml에서 reaggregation_enabled를 쓰던 커스텀 컴포넌트가 해당됩니다. 이 설정이 제거되고 이제 항상 메트릭별 재집계 설정이 생성됩니다. 기존 파일에 필드가 남아있어도 값은 무시되므로, 생성된 결과가 기대와 일치하는지 확인하세요.

  • breakingConfig watcher API deprecated, 스냅샷 기반으로 전환 권고

    service.Settings.CollectorConf나 extensioncapabilities.ConfigWatcher를 쓰는 익스텐션이나 코어 코드가 해당됩니다. 각각 service.Settings.ConfigSnapshot과 extensioncapabilities.ConfigSnapshotWatcher로 대체되며 deprecated 처리됐습니다. 즉시 강제되진 않지만 스냅샷 기반 API로 이전을 준비하세요.

주요 변경 (8)
  • 안정화됐던 feature gate 7개가 완전히 제거됨: confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting. 이제 이 게이트들을 참조하면 실패합니다.
  • memory_limiter 프로세서 메트릭 이름이 otelcol_processor_memory_limiter_* 접두사로 바뀌어 기존 대시보드와 알림이 깨집니다.
  • mdatagen의 reaggregation_enabled 메타데이터 설정이 제거되고, 이제 메트릭별 재집계 설정이 무조건 생성됩니다(기존 파일은 허용되지만 값은 무시됨).
  • service.Settings.CollectorConf와 extensioncapabilities.ConfigWatcher가 deprecated되고 ConfigSnapshot, ConfigSnapshotWatcher로 대체됨.
  • schemagen CLI가 opentelemetry-collector-contrib에서 이 저장소의 cmd/schemagen으로 이전됐고, 수작업 스키마 조각을 병합하는 overlayFile, 커스텀 Go 패키지 패턴을 지정하는 -p 플래그, component|package 강제 지정용 -m 플래그가 추가되고 외부 패키지 대상 모드 감지 버그도 수정됨.
  • mdatagen이 버전별 메트릭을 지원해 새 시맨틱 컨벤션으로 메트릭 이름/타입/속성 이전을 도와주며, 마지막 feature gate 제거 시 남던 잔여 파일 문제와 생성된 식별자의 약어 대문자화 오류도 고쳐짐.
  • pdata JSONUnmarshaler에 DisallowUnknownFields 옵션(기본값 false)이 추가되어, 켜면 알려지지 않은 OTLP JSON 필드를 에러로 처리할 수 있음(단, 활성화 시 하위 호환성은 떨어짐).
  • 미들웨어 설정(pkg/config/configmiddleware)이 스키마 기반 정의로 이전됨.
원문

Crossplane

Orchestration & Management2026년 6월 22일

Crossplane v2.3.3은 OCI 패키지 서명 검증의 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94)을 수정하고, namespaced XR에서 `crossplane render`가 잘못된 namespace를 주입하던 버그를 고칩니다.

  • securityOCI 서명 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94) — 즉시 업그레이드 필요

    이 취약점은 악의적인 OCI 레지스트리가 서명 검증을 통과한 뒤 서명되지 않은 패키지 콘텐츠를 제공할 수 있는 문제입니다. OCI 레지스트리에서 패키지를 설치하는 모든 Crossplane 환경에 해당됩니다. v2.3.3으로 업그레이드하고, 취약한 버전에서 설치된 패키지는 재설치를 검토하세요. 기술 세부사항은 crossplane-runtime v2.3.3 어드바이저리를 확인하세요.

  • securitygolang.org/x/net, x/sys CVE 패치 — 소스 빌드 환경 확인 필요

    Crossplane을 소스에서 빌드하거나 자체 provider/function에서 이 라이브러리를 vendor로 관리하는 팀은 의존성 버전을 v2.3.3 기준으로 맞춰야 합니다. 공식 이미지를 사용 중이라면 v2.3.3 이미지에 이미 패치된 버전이 포함되어 있습니다.

  • breakingnamespaced XR에서 crossplane render의 namespace 주입 동작 변경

    CI 파이프라인이나 로컬 테스트에서 `crossplane render`를 namespaced XR 대상으로 실행한다면, 이제 injected resource ref에 namespace가 붙지 않습니다. 실제 reconciler 동작에 맞춘 수정이지만, 기존 render 테스트 결과가 달라질 수 있습니다. 업그레이드 후 render 테스트를 다시 돌려 예상치 못한 차이가 없는지 확인하세요.

주요 변경 (4)
  • OCI 패키지 서명 검증 TOCTOU 취약점 수정 — crossplane-runtime v2.3.3 통해 반영 (GHSA-mf7q-r4rv-jv94)
  • namespaced XR의 resource ref에 namespace가 잘못 설정되던 `crossplane render` 버그 수정 — KCL 바인딩 등 strict schema 함수가 깨지는 문제 해결
  • Go 툴체인을 1.25.11로 업그레이드
  • apis 모듈 내 golang.org/x/net 및 golang.org/x/sys를 CVE 패치 버전으로 업데이트
원문

Crossplane

Orchestration & Management2026년 6월 22일

Crossplane v2.2.3은 패키지 서명 검증의 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)을 패치하고, Go 툴체인과 의존성 보안 업데이트를 포함한 패치 릴리스입니다.

  • security태그 기반 패키지 설치를 사용한다면 즉시 v2.2.3으로 업그레이드

    Crossplane 패키지를 태그로 설치하고 직접 통제하지 않는 레지스트리를 사용하는 경우, 이 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)에 노출됩니다. 악의적인 레지스트리가 서명 검증 단계에는 올바른 이미지를, 실제 설치 단계에는 서명되지 않은 다른 이미지를 반환할 수 있었습니다. v2.2.3으로 즉시 업그레이드하세요. 추가 방어 수단으로, 패키지 설치 시 태그 대신 다이제스트 참조로 전환하는 것도 고려할 만합니다.

  • securityGo 1.25.11 및 golang.org/x/net v0.55.0 업스트림 보안 패치 반영

    Go 툴체인과 net 패키지 업데이트는 업스트림 보안 수정을 포함합니다. v2.2.3으로 업그레이드하는 것 외에 별도 조치는 필요 없지만, 컨테이너 이미지 CVE 스캔을 운영 중이라면 이전 버전 이미지에서 관련 취약점이 탐지될 수 있으므로 v2.2.3을 컴플라이언스 스캔 기준 이미지로 삼으세요.

주요 변경 (4)
  • TOCTOU 취약점(GHSA-wfqx-gjrf-g28r) 수정: 태그 참조를 다이제스트로 한 번만 변환해 서명 검증과 이미지 풀에 동일하게 사용
  • Go 툴체인 1.25.11로 업그레이드
  • golang.org/x/net v0.55.0으로 업데이트
  • crossplane-runtime v2.2.3으로 업데이트
원문
이전 →
월별 보기