RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 6월해제 ×

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.38.2는 소규모 패치 릴리스입니다. RTDS 런타임 버그 수정 1건과 HTTP/2 쿠키 관련 opt-in 기능 2건이 포함되며, 보안 수정은 없습니다.

  • breakingRTDS 런타임 가드 삭제 동작 변경 — 오버라이드 제거 로직 검증 필요

    RTDS 런타임 가드 오버라이드를 삭제할 때 기본값으로 복원되길 기대했다면, 기존 버전에서는 그 동작이 잘못되어 있었습니다. v1.38.2 업그레이드 후에는 삭제 시 기본값이 올바르게 복원됩니다. 런타임 오버라이드를 제거하는 자동화 스크립트나 CI 파이프라인이 있다면, 업그레이드 전후로 동작을 확인하세요.

  • enhancementHTTP/2 쿠키 헤더 크기 제한 플래그 활용 검토

    envoy.reloadable_features.http2_max_cookies_size_in_kb를 설정하면 HTTP/2에서 재조합된 cookie 헤더의 최대 크기를 제한할 수 있습니다. 신뢰할 수 없는 트래픽을 처리하거나 대형 쿠키가 빈번히 유입되는 환경이라면, 적절한 값을 설정해 메모리 사용을 줄이세요. 기본값은 무제한이므로 명시적으로 opt-in해야 합니다.

주요 변경 (3)
  • RTDS 런타임 수정: 런타임 가드 오버라이드를 삭제할 때 기본값으로 올바르게 복원되지 않던 버그 수정
  • HTTP/2 헤더 통계용 opt-in 히스토그램 추가 (envoy.reloadable_features.http2_record_histograms) — 향후 릴리스에서 제거 예정인 임시 기능
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조합된 cookie 헤더 크기를 제한 가능 (기본값: 무제한)
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.37.4는 RTDS 버그 수정 하나와 HTTP/2 쿠키 관련 옵트인 기능 두 가지를 포함한 소규모 패치입니다. CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리 중이라면, 기존에는 오버라이드를 삭제해도 이전 값이 남아 있었습니다. 이번 수정으로 삭제 시 프로세스 전체 기본값으로 복원됩니다. 오버라이드 삭제 후 적용될 기본값이 의도한 값인지 확인하세요. 특히 기존 버그 동작을 우회하는 방식으로 설정했던 경우 반드시 검토가 필요합니다.

  • enhancement신뢰할 수 없는 HTTP/2 클라이언트가 있다면 쿠키 크기 제한 설정을 고려하세요

    이번 릴리스 이전에는 HTTP/2 재조립 cookie 헤더에 크기 제한이 없었습니다. 외부 HTTP/2 트래픽을 프록시한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb를 적절한 값(예: 32–64 KB)으로 설정해 비정상적으로 큰 쿠키가 업스트림에 전달되는 상황을 막을 수 있습니다. 기본값은 무제한이므로 명시적으로 설정해야 합니다.

  • enhancementHTTP/2 헤더 히스토그램을 스테이징에서 먼저 켜서 트래픽 특성을 파악하세요

    envoy.reloadable_features.http2_record_histograms를 활성화하면 헤더 수, 바이트 크기, 쿠키 관련 메트릭을 히스토그램으로 수집할 수 있습니다. HTTP/2 헤더 부하를 파악하는 데 유용하지만, 향후 릴리스에서 제거될 임시 기능입니다. 프로덕션 대시보드에 장기 의존하지 않도록 주의하세요.

주요 변경 (4)
  • RTDS 버그 수정: 런타임 가드 오버라이드 삭제 시 프로세스 전체 기본값으로 정상 복원되도록 수정
  • HTTP/2 헤더 통계 히스토그램 옵트인 추가 — envoy.reloadable_features.http2_record_histograms로 활성화
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조립된 cookie 헤더 크기 상한 설정 가능 (기본값: 무제한)
  • HTTP/2 헤더 히스토그램은 임시 기능으로, 향후 릴리스에서 제거 예정
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.36.8은 RTDS 버그 수정 1건과 HTTP/2 관찰성 기능 2건을 담은 소규모 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingHTTP/2 헤더 히스토그램은 임시 기능 — 영구 대시보드에 연결하지 마세요

    http2_record_histograms 기능과 그 runtime guard는 향후 Envoy 릴리스에서 제거될 예정이라고 명시되어 있습니다. HTTP/2 헤더 디버깅 목적으로 활성화하더라도, 이 메트릭을 영구 대시보드나 알림에 연결해두면 업그레이드 시 깨집니다. 임시 디버깅 용도로만 쓰세요.

  • enhancementHTTP/2 헤더·쿠키 크기 문제를 디버깅할 때 새 히스토그램 활용

    HTTP/2 요청이 예상보다 크거나 쿠키 관련 이상 동작이 보인다면 envoy.reloadable_features.http2_record_histograms를 켜서 헤더 항목 수, 바이트 크기, 쿠키 메트릭을 수집하세요. 업스트림 서비스를 과도하게 큰 쿠키 헤더로부터 보호해야 한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb로 크기 상한도 함께 설정하는 것이 좋습니다.

주요 변경 (4)
  • RTDS runtime guard override 삭제 시 프로세스 전체 기본값이 제대로 복원되지 않던 버그 수정
  • envoy.reloadable_features.http2_record_histograms로 HTTP/2 헤더 히스토그램(항목 수, 바이트 크기, 쿠키 길이, 쿠키 수) 활성화 가능 (opt-in)
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 추가 — 재조합된 cookie 헤더 크기 상한 설정 (기본값: 제한 없음)
  • HTTP/2 히스토그램과 관련 runtime guard는 향후 릴리스에서 제거 예정 — 임시 기능임이 명시됨
원문

Dapr

Orchestration & Management2026년 6월 10일

Dapr 1.18은 워크플로우 보안·내구성(변조 감지, 접근 정책, 히스토리 전파, 동시성 제한)을 크게 보강했습니다. Jobs API와 HotReload가 GA로 승격되었고, 업그레이드 전 반드시 검토해야 할 breaking change가 여럿 포함되어 있습니다.

  • security공유·멀티테넌트 클러스터에서 WorkflowAccessPolicy 적용 검토

    1.18 이전에는 같은 trust domain의 모든 호출자가 다른 앱의 워크플로우를 스케줄, 종료, 조회할 수 있었습니다. WorkflowAccessPolicy CRD로 이를 per-operation 수준에서 제한할 수 있습니다. 기본값은 여전히 전체 허용이라 기존 배포에 즉각적인 영향은 없지만, 공유 클러스터를 운영 중이라면 지금 정책을 정의해두는 편이 낫습니다. 또한 redis common 컴포넌트의 TLS 인증서 검증 무조건 건너뛰기 버그가 이번 릴리스에서 수정되었으니, 업그레이드 전 Redis TLS 설정이 올바른지 확인하세요.

  • breaking1.18에서 1.17.6 이하로 직접 롤백 금지

    Sentry 1.18은 Ed25519 키로 서명된 CA를 dapr-trust-bundle 시크릿에 기록합니다. 1.17.7 미만의 Sentry는 이 번들을 파싱하지 못해 크래시 루프에 빠지고, 신규 인증서 발급이 전면 중단됩니다. 업그레이드 전에 롤백 목표 버전이 1.17.7 이상인지 반드시 확인하세요. 1.17.7 미만으로 내려가야 한다면 1.17.7로 먼저 롤백해 안정화한 뒤 계속 진행하세요. 워크플로우 ID 재사용에 의존하는 코드도 함께 점검하세요 — 이제 conflict 에러를 반환합니다.

  • breaking서비스 호출 시 hop-by-hop 헤더 제거 — 앱 동작 점검 필요

    Connection, Keep-Alive, Transfer-Encoding 등 HTTP hop-by-hop 헤더가 서비스 호출 경로에서 RFC 7230에 따라 제거됩니다. 해당 헤더가 그대로 전달된다고 가정하는 앱은 조용히 깨질 수 있습니다. 업그레이드 전에 서비스 호출 코드를 검토하고, hop-by-hop에 의존하는 부분은 일반 헤더로 대체하세요.

  • enhancement감사 요건이 있는 워크플로우에 히스토리 서명 활성화 검토

    워크플로우 히스토리 서명은 opt-in이며 기본 비활성 상태입니다. mTLS가 활성화되어 있어야 사용할 수 있습니다. 클러스터 전체에 활성화하기 전에 서명 없이 실행 중인 워크플로우가 완료되거나 purge되도록 기다리세요 — 서명 없이 시작된 워크플로우에 서명을 활성화하면 하드 검증 에러가 발생하며 소급 적용은 불가합니다. 변조가 감지되면 해당 워크플로우는 DAPR_WORKFLOW_HISTORY_TAMPERED 에러와 함께 종료되고, 원본 상태는 포렌식 검토를 위해 보존됩니다. 컴플라이언스 요건이 있거나 멀티테넌트 워크플로우를 운영하는 환경에 적합합니다.

주요 변경 (7)
  • Sentry가 Ed25519 키로 전환 — 롤백 최저선은 1.17.7이며, 1.17.6 이하로 직접 롤백 시 Sentry가 크래시 루프에 빠짐
  • WorkflowAccessPolicy CRD 추가: 앱 간 워크플로우 작업을 per-operation allow-list로 제어 (정책 미설정 시 기본값은 전체 허용)
  • 워크플로우 히스토리 서명(opt-in) 추가: SPIFFE 인증서로 이벤트 배치를 체이닝 서명해 변조를 감지
  • HotReload GA 및 기본 활성화 — 컴포넌트, 구독, 설정 등 사이드카 재시작 없이 재로드
  • Jobs API 안정 버전 승격 — alpha RPC는 deprecated되나 동작은 유지됨, 앱 코드를 ScheduleJob/GetJob/DeleteJob으로 마이그레이션 필요
  • 워크플로우 ID 재사용 정책 변경: 이미 활성 인스턴스가 있는 ID로 새 워크플로우 생성 시 conflict 에러 반환 (기존의 묵시적 덮어쓰기 동작 제거)
  • Java SDK 최소 버전이 Java 17로 상향, Spring Boot 기준선이 3.5로 변경
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.35.12는 RTDS 런타임 가드 버그 수정 1건과 HTTP/2 쿠키·헤더 관찰용 opt-in 기능 2건이 포함된 마이너 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리하고 있다면 스테이징에서 동작을 검증하세요. 이전에는 오버라이드를 삭제해도 기존 값이 유지됐지만, 이제는 프로세스 기본값으로 복원됩니다. 삭제 후에도 값이 유지된다고 가정하는 자동화 스크립트가 있다면 동작이 달라집니다.

  • enhancementHTTP/2 쿠키 크기 제한 플래그로 메모리 사용량 통제

    envoy.reloadable_features.http2_max_cookies_size_in_kb는 기본적으로 비활성화 상태입니다. 신뢰할 수 없는 HTTP/2 트래픽을 받는 환경이라면, 재조합된 cookie 헤더로 인한 메모리 소비를 제한하기 위해 적절한 값을 설정하세요. 먼저 새로 추가된 히스토그램으로 실제 쿠키 크기를 측정한 뒤 상한값을 결정하는 순서가 좋습니다.

주요 변경 (3)
  • RTDS 런타임 가드 오버라이드를 삭제했을 때 프로세스 기본값으로 제대로 복원되지 않던 버그 수정
  • HTTP/2 헤더 히스토그램(엔트리 수, 바이트 크기, 쿠키 길이, 쿠키 수) opt-in 추가 — envoy.reloadable_features.http2_record_histograms로 활성화, 향후 릴리스에서 제거 예정
  • envoy.reloadable_features.http2_max_cookies_size_in_kb로 재조합된 cookie 헤더 크기를 제한할 수 있음 (기본값: 제한 없음)
원문

Chaos Mesh

Observability2026년 6월 10일

Chaos Mesh v2.8.3은 컨테이너 이미지의 critical/high CVE를 패치하고, CrashLoopBackOff 상태 파드에서 NetworkChaos 복구가 실패하던 버그를 수정한 패치 릴리스입니다.

  • securitycritical/high CVE 패치를 위해 v2.8.3으로 업그레이드

    Go 툴체인과 containerd에서 critical/high 수준의 CVE가 확인됐습니다. release-2.8 브랜치를 운영 중이라면 즉시 v2.8.3으로 업그레이드하세요. 설정 변경은 필요 없고 이미지 교체만으로 충분합니다.

  • breakingCrashLoopBackOff 파드를 대상으로 한 NetworkChaos 실험 재검증 필요

    이전 버전에서는 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구가 실패했습니다. v2.8.3은 이를 pause 컨테이너 PID로 폴백해 수정했습니다. 의도적으로 크래시가 반복되는 워크로드를 포함한 카오스 실험을 운영 중이라면, 업그레이드 후 복구 동작을 다시 확인하세요.

주요 변경 (5)
  • Go 툴체인 1.25.11 및 containerd 1.7.32로 업그레이드 — 컨테이너 이미지의 critical/high CVE 패치
  • memStress 헬퍼를 최신 Go 툴체인으로 재빌드 (v0.3.1)
  • chaos-daemon 이미지를 headless JRE로 전환하여 공격 표면 축소
  • 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구 실패 수정 — sandbox(pause) 컨테이너 PID로 폴백
  • e2e 테스트에서 deprecated된 wait.PollImmediate를 wait.PollUntilContextTimeout으로 교체
원문

NATS

Networking & Messaging2026년 6월 9일

NATS v2.12.11은 단일 버그 수정 패치입니다. v2.12.7에서 도입된 JetStream regression으로 per-subject 메시지 수 제한이 설정된 스트림에서 'Message Not Found' 오류가 발생하는 문제를 고쳤습니다.

  • breakingmax_msgs_per_subject 설정 중이라면 즉시 업그레이드

    NATS 2.12.7~2.12.10을 운영하면서 스트림에 MaxMsgsPerSubject(max_msgs_per_subject)를 설정했다면, subject 상태가 잘못 추적되어 'Message Not Found' 오류가 간헐적으로 발생할 수 있습니다. 컨슈머가 메시지를 놓치거나 예기치 않게 동작할 수 있으므로, 2.12.11로 바로 업그레이드하세요. 이미 2.14.x를 사용 중이라면 영향받지 않습니다.

주요 변경 (4)
  • JetStream regression 수정: v2.12.7에서 생긴 subject 상태 추적 오류로 max_msgs_per_subject 설정 시 'Message Not Found' 오류 발생
  • Go 런타임 1.25.11로 업데이트
  • v2.14.x는 해당 regression 미적용 — 2.12.7~2.12.10 사용자만 영향받음
  • 그 외 변경 사항 없음
원문

CoreDNS

Kubernetes Core2026년 6월 9일

CoreDNS v1.14.4는 DNSSEC 서명 버그 수정, 캐시 동작 개선, forward 플러그인의 hostname 지원 등 여러 기능 개선과 수정을 포함합니다.

  • breakingDNSSEC 서명 동작 변경 — 위임 존 구성 검토 필요

    RRset 서명 주체가 쿼리 존에서 해당 이름의 소유 존으로 바뀌었습니다. 기술적으로 올바른 수정이지만, 위임이 포함된 멀티존 DNSSEC 구성을 운영 중이라면 업그레이드 후 서명된 응답을 반드시 검증하세요. 기존 동작에 의존하던 존은 서명값이 달라질 수 있습니다. 프로덕션 전환 전에 주요 레코드에 dnssec-verify를 돌려보세요.

  • enhancementforward 엔드포인트를 IP 대신 hostname으로 지정 가능

    forward 플러그인이 TO 엔드포인트의 hostname을 런타임에 직접 해석합니다. 업스트림 리졸버 IP가 바뀌는 환경(클라우드 관리형 리졸버 등)이라면 설정을 FQDN으로 전환해 관리 부담을 줄일 수 있습니다. 단, 시작 시 hostname 해석에 실패하면 포워딩에 영향을 줄 수 있으니 스테이징에서 먼저 확인하세요.

  • enhancement캐시 TTL 상한 제거 — 안정적인 레코드는 max_ttl 상향 검토

    기존에는 DNS 레코드의 실제 TTL과 무관하게 캐시 TTL이 3600s로 제한됐습니다. 이 제한이 없어졌으니, 내부 권위 존이나 루트 힌트처럼 변경이 드문 레코드는 max_ttl을 높여 업스트림 쿼리 부하를 줄일 수 있습니다. cache 플러그인 설정을 검토해 적절한 구간에 적용하세요.

주요 변경 (5)
  • DNSSEC 서명 버그 수정: RRset을 쿼리 존이 아닌 해당 이름을 소유한 존으로 서명하도록 변경
  • forward 플러그인이 TO 엔드포인트에 hostname 직접 지정을 지원 — 설정에 IP를 하드코딩할 필요 없음
  • 캐시 TTL 상한(3600s) 제거, serve_stale에 verify timeout 옵션 추가, 네거티브 캐시에서 SERVFAIL보다 포지티브 캐시 우선 적용
  • file 플러그인이 mtime 변경을 감지해 존 파일을 자동 리로드 — 수동 시그널 불필요
  • dnstap 플러그인이 incoming connection을 지원, secondary 플러그인에 fallthrough 추가
원문

OpenTelemetry

Observability2026년 6월 8일

OTel Collector v0.154.0은 exporterhelper 시작 시 nil 포인터 패닉을 수정하고, --skip-get-modules 동작 방식을 변경합니다. TLS·CORS 설정 옵션도 소폭 추가됐습니다.

  • securityinclude_insecure_cipher_suites는 기본 비활성 — 건드리지 마세요

    새로 추가된 configtls 옵션으로 취약한 암호 스위트를 다시 활성화할 수 있지만, 기본값은 비활성입니다. 레거시 피어 연동이 불가피한 경우가 아니라면 운영 환경에서 true로 설정하지 마세요. 불가피하게 켜야 한다면 임시 조치로 간주하고 추적 관리하세요.

  • breaking--skip-get-modules를 쓰는 빌드 파이프라인 점검 필요

    OCB 기반 빌드 스크립트에서 --skip-get-modules 실행 시 go.mod가 암묵적으로 재생성되는 동작에 의존했다면, 이제 그 동작은 사라졌습니다. CI 파이프라인을 확인하고, 필요하다면 go mod tidy 단계를 명시적으로 추가하세요.

  • enhancementsending_queue에 sizer를 설정한다면 즉시 업그레이드

    sending_queue.sizer를 사용하면서 batch.enabled: false로 설정한 경우, 컬렉터가 시작 시 패닉으로 죽는 문제가 이번 릴리스에서 수정됐습니다. 해당 구성을 사용 중이라면 v0.154.0으로 업그레이드하세요.

주요 변경 (5)
  • cmd/builder: --skip-get-modules가 이제 go.mod를 재생성하지 않음 — 문서대로 모듈 작업을 완전히 건너뜀
  • pkg/exporterhelper: sending_queue.sizer 설정 시 batch.enabled: false이면 컬렉터 시작 중 nil 포인터 패닉이 발생하던 버그 수정
  • pkg/config/configtls: include_insecure_cipher_suites 옵션 추가, 기본값은 비활성화
  • pkg/confighttp: CORSConfig에 ExposedHeaders 필드 추가 — Access-Control-Expose-Headers 응답 헤더 제어 가능
  • cmd/mdatagen: 생성된 config 구조체에서 minimum, maximum, exclusiveMinimum, exclusiveMaximum 등 숫자 유효성 검사기 지원
원문

KEDA

Orchestration & Management2026년 6월 8일

KEDA 2.20.1은 동시 스케일링 중 패닉을 유발하는 경합 조건을 고치고 ScaledJob의 누락된 시작 이벤트를 복원합니다. 2.20.0을 운영 중이면 업그레이드가 필수입니다.

  • security동시 스케일링 중 패닉 크래시가 발생했다면 2.20.1로 업그레이드하기

    상태 업데이트 로직의 동시 맵 읽기/쓰기 경합 조건이 여러 트리거가 동시에 스케일링될 때 KEDA를 패닉하게 만들었습니다. 2.20.1에서 수정되었습니다. 2.20.0에서 높은 스케일링 활동 중에 패닉 크래시를 경험했다면 즉시 업그레이드하세요.

  • breaking업그레이드 전에 v2.20.0 호환성 변경사항 확인하기

    KEDA 2.20.0에서 호환성을 깨는 변경이 있었습니다. 2.20.0 이전 버전에서 KEDA를 운영 중이라면 2.20.1로 업그레이드하기 전에 GitHub의 v2.20.0 릴리스 노트를 반드시 읽으세요. 2.20.0 릴리스 노트를 건너뛰고 2.20.1로 바로 업그레이드하지 마세요.

  • enhancementScaledJob 스케일러 시작 이벤트 가시성 복원하기

    KEDA가 Kubernetes 이벤트 수집(aggregation) 키 충돌로 인해 ScaledJob에 대한 KEDAScalersStarted 이벤트를 발생시키지 못했습니다. 이 이벤트를 추적하는 모니터링 도구나 대시보드는 ScaledJob 시작 신호를 놓쳤을 수 있습니다. 2.20.1로 업그레이드하여 정상적인 이벤트 발생을 복원하세요.

주요 변경 (3)
  • 동시 트리거 스케일링 중 패닉을 유발하는 동시 맵 읽기/쓰기 경합 조건 수정
  • 이벤트 수집 키 충돌로 인한 ScaledJob KEDAScalersStarted 이벤트 미발생 문제 해결
  • 2.20.0 실행 중이라면 업그레이드 필수; 이전 버전에서 업그레이드할 때는 2.20.0의 호환성 변경사항 검토 필요
원문

gRPC

Networking & Messaging2026년 6월 8일

gRPC v1.81.1은 Windows·ARM 메모리 안전성 버그를 수정한 패치 릴리스입니다. API 호환성을 깨는 변경은 없습니다.

  • breakingPython 3.9, Ruby 3.1 지원 종료 — 런타임 버전 확인 필요

    Python 3.9 또는 Ruby 3.1에서 gRPC를 쓰고 있다면 v1.81.1로 업그레이드 시 빌드가 깨집니다. 업그레이드 전에 서비스 런타임 버전을 확인하고, Python 3.10+, Ruby 3.2+로 먼저 올리세요.

  • enhancementWindows·ARM 배포 환경은 이번 패치 적용 권장

    Windows EventEngine race 2건과 ARM completion queue 종료 race가 수정됐습니다. use-after-free나 assertion crash는 재현이 어렵지만 서비스를 간헐적으로 죽이는 유형입니다. Windows 서버나 Graviton 같은 ARM 호스트에서 gRPC를 운영 중이라면 패치를 적용하세요.

  • enhancementgrpc-status에서 protobuf 7.x 사용 가능

    grpc-status 패키지의 protobuf 상한이 7.x까지 풀렸습니다. protobuf 최신 버전을 요구하는 다른 라이브러리와 함께 쓸 때 버전 충돌로 고생했다면, 이제 상한 고정을 제거해도 됩니다.

주요 변경 (5)
  • EventEngine: Windows use-after-free 및 assertion 오류 유발 race condition 2건 수정
  • Core: ARM 등 약한 메모리 모델 아키텍처에서 completion queue 종료 race 수정
  • Python: Python 3.9 지원 종료, protobuf 의존성 상한을 7.x까지 허용
  • Ruby: EOL 상태인 Ruby 3.1 지원 종료, CallCredentials 참조 누락 버그 수정
  • Python: AsyncIO 스택에 observability 지원 추가
원문

Open Policy Agent (OPA)

Security2026년 6월 8일

OPA HTTP 핸들러와 암호화 내장 함수에 영향을 주는 Go stdlib 취약점 2건을 수정한 보안 패치입니다. v1.17.0 대비 코드 변경은 없습니다.

  • securityOPA 서버 또는 crypto 내장 함수 사용 시 즉시 v1.17.1로 업그레이드

    Go stdlib 취약점 두 건(GO-2026-5039, GO-2026-5037)이 OPA의 HTTP 핸들러와 암호화 내장 함수에 직접 영향을 줍니다. OPA를 서버 모드로 운영하거나 Rego에서 crypto 관련 내장 함수를 사용 중이라면 v1.17.0 이하에서 노출된 상태입니다. v1.17.1은 코드 변경이 없으므로 설정이나 정책 수정 없이 바이너리만 교체하면 됩니다. OPA 바이너리를 직접 빌드하는 경우엔 Go 툴체인을 1.26.4로 직접 올려야 합니다.

주요 변경 (4)
  • Go 런타임 1.26.3 → 1.26.4 업그레이드
  • GO-2026-5039: HTTP 핸들러 관련 stdlib 취약점 수정
  • GO-2026-5037: 암호화 내장 함수 관련 stdlib 취약점 수정
  • v1.17.0 대비 기능 변경 없음 — 순수 보안 패치
원문

Crossplane

Orchestration & Management2026년 6월 5일

v2 업그레이드 준비 상태를 자동으로 점검하는 CLI 명령 추가, golang.org/x/net 보안 패치, 런타임 업데이트가 포함된 패치 릴리스입니다.

  • securitygolang.org/x/net 보안 패치 — 즉시 업그레이드 필요

    golang.org/x/net이 보안 이슈로 v0.55.0으로 업데이트됐습니다. 릴리스 노트가 명시적으로 보안 업데이트로 분류한 만큼, 선택이 아닌 필수 조치입니다. 다음 정기 점검 시점을 기다리지 말고, 가능한 가장 빠른 유지보수 창에 v1.20.9로 업그레이드하세요.

  • breakingupgrade check 결과는 경고가 아닌 실제 차단 항목

    이 명령은 v2에서 제거되거나 변경된 기능 — 네이티브 P&T Composition, ControllerConfig, 외부 시크릿 스토어, 미정규화 패키지 소스 — 의 실제 사용 여부를 검사합니다. 단순한 deprecation 경고가 아니라 업그레이드를 막는 하드 블로커입니다. 점검 결과에 문제가 있다면, v2 업그레이드 전에 제공된 마이그레이션 가이드를 따라 선행 작업을 완료해야 합니다. 그냥 업그레이드하면 운영 중인 워크로드가 중단됩니다.

  • enhancementv2 마이그레이션 계획 전 upgrade check 먼저 실행

    v1.x 컨트롤 플레인을 운영 중이고 v2 전환이 로드맵에 있다면, 지금 당장 `crossplane beta upgrade check`를 실행해 보세요. 어떤 Composition, ControllerConfig, 패키지 참조가 업그레이드를 막는지 정확히 알 수 있어 수동 감사에 드는 시간을 크게 줄일 수 있습니다. `-o json` 옵션과 함께 CI 파이프라인에 연결하면, v2 업그레이드 PR 병합 전 자동 게이팅도 간단히 구현됩니다.

주요 변경 (5)
  • `crossplane beta upgrade check` 명령으로 실행 중인 컨트롤 플레인의 v2 호환성을 사전 점검 가능
  • 네이티브 P&T Composition, ControllerConfig 사용, 외부 시크릿 스토어, 미정규화 패키지 소스, 연결 세부 정보 등 v2 주요 변경 사항 전 항목 검사
  • 기본 출력은 사람이 읽기 쉬운 텍스트 형식, `-o json` 옵션으로 JSON 출력 가능하며 문제 발견 시 비정상 종료 코드 반환 — CI 게이팅에 바로 활용 가능
  • 각 점검 결과에 마이그레이션 가이드 및 `crossplane beta convert` 명령 링크 포함
  • 보안 업데이트: golang.org/x/net v0.55.0 및 crossplane-runtime v1.20.9 적용
원문

Cortex

Observability2026년 6월 5일

v1.21.1은 공식 보안 감사 결과를 반영한 패치 릴리스로, XSS, gzip 폭탄, 메모리 증폭 취약점 등 다수의 보안 문제를 수정했습니다. 즉시 업그레이드가 필요합니다.

  • security즉시 업그레이드 — 공식 감사에서 발견된 다수 취약점 패치

    이번 릴리스는 공식 보안 감사(V01–V07) 결과를 백포트한 것입니다. 상태 페이지 XSS, OTLP 수집 경로의 gzip 폭탄, 잘못된 네이티브 히스토그램 페이로드를 통한 메모리 증폭, 가십 포트 플러드/OOM 공격 등이 포함됩니다. 이론적 취약점이 아니라 Cortex 엔드포인트에 접근 가능한 클라이언트라면 누구든 악용할 수 있는 수준입니다. 지금 바로 v1.21.1로 업그레이드하고, 업그레이드 후 -distributor.otlp-max-recv-msg-size 설정이 실제 수집량 대비 적절한지 검토하세요.

  • security/config 엔드포인트 노출 여부 점검 필수

    이전 버전에서는 Swift, etcd, Redis, HTTP basic-auth 자격증명이 /config 엔드포인트에 평문으로 노출됐습니다. 내부 사용자나 스크래핑 시스템이 해당 엔드포인트에 접근할 수 있었다면 자격증명이 유출된 것으로 간주하고 즉시 교체하세요. 마스킹 처리가 됐더라도 네트워크 정책이나 인증 미들웨어로 /config 접근을 별도로 제한하는 것을 권장합니다.

  • enhancementMemberlist 가십 포트 제한 플래그 설정 검토

    새로 추가된 세 가지 플래그(-memberlist.packet-read-timeout, -memberlist.max-packet-size, -memberlist.max-concurrent-connections)로 인바운드 가십 TCP 동작을 제어할 수 있습니다. 기본값은 무난하지만, Cortex 클러스터가 신뢰도가 낮은 네트워크 세그먼트에 노출되어 있거나 가십 관련 OOM이 발생한 적 있다면 명시적으로 값을 지정하세요. 다음 정기 유지보수 창에 Helm values나 설정 관리 도구에 반영해두는 것이 좋습니다.

주요 변경 (7)
  • Alertmanager 및 Store Gateway 상태 페이지의 저장형 XSS 취약점 수정 (text/template → html/template)
  • gzip 압축 해제 폭탄 공격 차단: 압축 해제 크기를 -distributor.otlp-max-recv-msg-size로 제한
  • 네이티브 히스토그램 protobuf 크기를 기본 16KB로 제한하는 -validation.max-native-histogram-size-bytes 추가 (메모리 증폭 방지)
  • Memberlist 가십 포트 강화: 패킷 읽기 타임아웃, 최대 패킷 크기, 최대 동시 연결 수 제어 플래그 추가
  • /config 엔드포인트에서 Swift, etcd, Redis, HTTP basic-auth 자격증명 마스킹 처리
  • TenantID 불일치 PushStream 요청 거부 및 HMAC-SHA256 스트림 인증 추가
  • ingester·store-gateway 클라이언트에서 snappy 압축 사용 시 발생하던 패닉 수정
원문

OpenFGA

Security2026년 6월 5일

v1.17.1은 이터레이터 캐시의 stale read 버그와 타입 이름에 '|' 문자가 포함될 때 continuation token이 깨지는 문제를 수정한 패치 릴리스입니다.

  • security캐시 stale read로 잘못된 권한 결정이 반환될 수 있었음 — 즉시 패치

    이터레이터 캐시가 쓰기 시각을 기준으로 LastModified를 설정하고 있어, 캐시 항목이 유효 기간을 초과해 살아남아 오래된 데이터를 서빙할 수 있었습니다. 권한 시스템에서 만료된 'allow' 판정이 그대로 반환되는 건 실질적인 보안 위험입니다. 캐싱을 활성화해 운영 중이라면 v1.17.1로 즉시 업그레이드하세요.

  • breaking'|' 포함 타입 이름 사용 중이라면 페이지네이션 즉시 재검증

    FGA 모델에서 '|' 문자가 들어간 타입 이름을 쓴다면, continuation token이 잘못 역직렬화되어 ListObjects 등 페이지네이션 API가 불완전하거나 잘못된 결과를 반환했을 수 있습니다. 오류 메시지 없이 조용히 깨지는 유형이라 놓치기 쉽습니다. v1.17.1로 업그레이드한 뒤 해당 타입 이름을 참조하는 페이지네이션 흐름을 반드시 재테스트하세요.

  • enhancementv2Check 폴백 제거 — 에러 처리 로직 사전 점검 필요

    기존에는 스로틀링이나 유효성 검증 오류 발생 시 v2Check가 v1 동작으로 조용히 폴백해 실제 문제가 숨겨졌습니다. 이제 해당 오류가 직접 반환됩니다. 애플리케이션이 check 오류를 묵시적으로 삼키거나 폴백 동작을 가정하고 있다면, 이전에 보이지 않던 오류가 갑자기 노출될 수 있습니다. 프로덕션 배포 전 부하 상황에서 반드시 테스트하세요.

주요 변경 (5)
  • 이터레이터 캐시 stale read 수정: LastModified 기준을 쿼리 시작 시각으로 고정해 캐시 항목이 의도보다 오래 살아남는 문제 해결
  • 타입 이름에 '|' 포함 시 continuation token 역직렬화 실패 버그 수정 — 페이지네이션 결과가 조용히 깨지던 문제
  • v2Check가 스로틀링·유효성 검증 오류 시 v1 동작으로 폴백하지 않도록 변경, 실행 시맨틱 강화
  • Go 툴체인 1.26.4 및 grpc-health-probe v0.4.52로 업그레이드
  • 캐싱 관련 공식 문서 현행화
원문

Linkerd

Networking & Messaging2026년 6월 5일

프록시 두 번 업데이트(v2.355.0, v2.356.0)와 ReadAllLimit 바이트 경계 버그 수정이 포함된 의존성 유지보수 릴리스입니다.

  • enhancement프록시 버전이 두 개 묶인 릴리스 — 각 변경 이력 별도 확인 필요

    이번 엣지 릴리스에는 프록시 v2.355.0과 v2.356.0이 한꺼번에 포함됐습니다. 트래픽 정책, 재시도, 프로토콜 감지 동작을 면밀히 추적하는 팀이라면 스테이징에 배포하기 전 프록시 전용 변경 이력을 따로 확인하세요. 두 버전이 합쳐진 탓에 회귀 문제 발생 시 원인을 좁히기가 까다롭습니다.

  • enhancementReadAllLimit 수정 — 바이트 한도 정확히 맞는 요청 거부 문제 해결

    바이트 한도에 딱 맞는 입력이 잘못 거부되던 버그가 수정됐습니다. API 게이트웨이나 요청 본문 크기 검증 로직에서 설정된 한도와 정확히 일치하는 요청이 의도치 않게 차단됐다면 이번 수정으로 해결됩니다. 설정 변경은 불필요하지만, 기존에 의심스러운 413 류 거부 오류가 있었다면 검증해볼 만합니다.

주요 변경 (5)
  • 단일 릴리스에 프록시 v2.355.0, v2.356.0 두 버전 동시 포함
  • ReadAllLimit에서 정확히 바이트 한도에 맞는 입력을 올바르게 허용하도록 수정
  • Rust 프록시 의존성 hyper 1.10.1로 업그레이드
  • prometheus/common 0.68.1까지 두 단계 업데이트
  • 프론트엔드 의존성 업데이트: webpack-cli 7.0.3, query-string 9.4.0, launch-editor 2.14.1
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.29.4는 Envoy의 CVSS 7.5 DoS 취약점(CVE-2026-47774)을 패치하고, 클러스터 전체 unhealthy 엔드포인트로 트래픽이 라우팅될 수 있던 앰비언트 모드 버그 등 6건의 결함을 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 인증 없이 DoS 가능

    CVE-2026-47774는 외부 공격자가 인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있는 취약점입니다. 쿠키 헤더 크기가 요청 헤더 검증에서 완전히 반영되지 않고, HPACK 블록 제한이 인코딩된 바이트 기준으로만 적용되는 두 가지 문제가 결합된 결과입니다. 인그레스 게이웨이처럼 HTTP/2를 외부에 노출하는 환경이라면 지금 바로 1.29.4로 업그레이드해야 합니다.

  • breaking앰비언트 모드: publishNotReadyAddresses + 트래픽 분산 조합 점검 필요

    publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode 트래픽 분산을 함께 쓰는 Service가 하나라도 있으면, 동일 프리셋을 사용하는 모든 Service에 healthPolicy:AllowAll이 전파되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 전후로 ztunnel 로그에서 AllowAll 항목을 확인해 수정이 제대로 적용됐는지 검증하세요.

  • enhancement구형 커널 환경: nftables → iptables 자동 전환으로 CNI 안정성 향상

    JSON을 지원하지 않는 nft 바이너리가 있는 호스트에서 CNI 에이전트가 파드 제거마다 오류를 기록하며 무한 재시도하던 문제가 수정됐습니다. 이제 시작 시점에 JSON 지원 여부를 감지해 iptables 백엔드로 자동 전환합니다. 별도 조치는 불필요하지만, CNI 에이전트 로그에서 'JSON support not compiled-in' 오류가 반복됐던 환경이라면 업그레이드 후 오류가 사라지는지 확인하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 가능 — 쿠키 헤더 크기 계산 누락 및 HPACK 디코딩 크기 제한 미적용이 원인
  • 앰비언트 모드 버그 수정: publishNotReadyAddresses:true + 트래픽 분산 프리셋 조합 시 동일 프리셋을 쓰는 모든 Service의 healthPolicy가 AllowAll로 오염되던 문제
  • CNI 에이전트 시작 시 nft 바이너리의 JSON 지원 여부를 검사해 미지원 환경에서 iptables 백엔드로 자동 전환
  • 동일 노드에 두 파드가 동시에 앰비언트 메시에 합류할 때 istio-cni에서 발생하던 concurrent map writes 패닉 수정
  • 수동 배포 Gateway 하에서 ListenerSet으로 정의된 HTTPS 리스너의 TLS 인증서 미전달 문제 수정
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.28.8은 Envoy HTTP/2 메모리 고갈 취약점(CVSS 7.5)을 패치하고, TLS 인증서 전달 오류, 라우트 필터 상태 미보고, ambient 모드 헬스 정책 오염 버그를 수정합니다.

  • securityHTTP/2 엔드포인트 노출 중이라면 즉시 CVE-2026-47774 패치 적용

    인증 없이도 조작된 HTTP/2 요청만으로 Envoy 프로세스 메모리를 고갈시킬 수 있습니다. 쿠키 헤더 바이트가 크기 검증에서 누락되고, HPACK 제한이 인코딩 크기에만 적용되어 디코딩 후 실제 크기를 제어하지 못하는 구조적 결함입니다. 외부 트래픽이나 신뢰할 수 없는 HTTP/2 트래픽을 받는 클러스터는 지금 바로 1.28.8로 업그레이드하세요. 즉시 업그레이드가 어렵다면 Envoy 요청 헤더 크기 제한 설정이나 WAF 규칙으로 임시 대응하세요.

  • breakingambient 모드에서 publishNotReadyAddresses + 존 기반 트래픽 분산 조합 즉시 점검 필요

    ambient 모드에서 publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode를 함께 쓰는 서비스가 있다면, 해당 트래픽 분산 프리셋을 공유하는 모든 서비스의 ztunnel 헬스 정책이 AllowAll로 오염되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 후 영향받은 서비스의 엔드포인트 헬스 동작을 재확인하고, 문제가 활성화된 기간 동안 비정상 파드로 트래픽이 유입됐는지 점검하세요.

  • enhancement라우트 필터 묵살 버그 수정으로 설정 디버깅 신뢰성 향상

    기존에는 HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 아무 오류 없이 사라져 트래픽 동작 이상의 원인을 찾기가 매우 어려웠습니다. 이제 invalid filter status가 Gateway API 리소스 상태에 명시적으로 표시됩니다. 업그레이드 후 과거 감으로 디버깅했던 라우트 설정을 재검토하면 헤더 필터 거부 여부를 바로 확인할 수 있습니다.

주요 변경 (4)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 유발 가능 — 쿠키 헤더 크기 미산정 및 HPACK 디코딩 크기 제한 부재가 원인
  • ListenerSet + 수동 Gateway 배포 조합에서 HTTPS 리스너가 TLS 인증서를 전달하지 못하던 문제 수정
  • HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 조용히 삭제되던 문제 수정 — 이제 invalid filter status로 명시적 보고
  • ambient 모드에서 publishNotReadyAddresses:true + PreferSameZone/PreferSameNode 조합이 동일 트래픽 분산 프리셋을 공유하는 전체 서비스의 헬스 정책을 오염시키던 심각한 버그 수정
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.30.1은 Envoy HTTP/2에서 발생하는 CVSS 7.5 DoS 취약점 패치와 함께 CNI 에이전트 패닉, 트래픽 분산 정책 오염 버그, 일관 해시 로드밸런싱 회귀 등 13개 버그를 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 비인증 HTTP/2 DoS 공격 가능

    인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있습니다. Cookie 헤더 크기 계산 누락과 HPACK 디코딩 한도 미적용이 원인입니다. Istio 1.30.x를 운영 중이라면 지금 바로 1.30.1로 업그레이드하세요. 특히 신뢰할 수 없는 외부 트래픽에 노출된 인그레스 게이트웨이가 가장 위험한 지점입니다.

  • breaking앰비언트 모드 + 트래픽 분산 정책 사용자: 서비스 즉시 점검

    publishNotReadyAddresses: true와 PreferSameZone 또는 PreferSameNode를 함께 사용하는 Service가 있다면, 해당 버그로 인해 동일 프리셋을 공유하는 무관한 다른 Service들에도 healthPolicy: AllowAll이 적용되었을 수 있습니다. 결과적으로 준비되지 않은 파드로 트래픽이 라우팅됐을 가능성이 있습니다. 1.30.1 업그레이드 후 엔드포인트 상태를 검증하고, 준비되지 않은 파드에 트래픽이 유입됐는지 확인하세요.

  • enhancement업그레이드 후 'istioctl analyze'로 Gateway API CRD 버전 점검

    1.30.0에서 Gateway API CRD를 업데이트하지 않고 Istio만 업그레이드하면 TLS 패스스루가 조용히 깨지는 문제가 있었습니다. istiod가 관련 리소스를 오류 없이 필터링하기 때문에 원인 파악이 어려웠는데, 새 IST0176 검사가 이를 명확히 잡아냅니다. 업그레이드 후 istioctl analyze를 실행하고 IST0176 경고가 있으면 운영 환경에서 라우팅 장애로 번지기 전에 조치하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): Cookie 헤더 및 HPACK 디코딩을 악용한 Envoy HTTP/2 메모리 고갈 — 즉시 패치 필요
  • CNI 에이전트 치명적 패닉 수정: 동일 노드에서 앰비언트 메시에 파드 동시 추가 시 맵 동시 쓰기 경쟁 발생
  • 앰비언트 모드 트래픽 분산 버그 수정: publishNotReadyAddresses + PreferSameZone/Node 조합이 무관한 다른 Service의 healthPolicy를 클러스터 전체에서 오염시키는 문제
  • istioctl analyze에 IST0176 검사 추가 — Istio 최소 요구 버전 미만의 Gateway API CRD 감지
  • 호스트의 nft 바이너리에 JSON 지원이 없을 경우 nftables 백엔드가 iptables로 자동 폴백, CNI 파드 제거 시 무한 재시도 루프 종료
원문

Envoy

Networking & Messaging2026년 6월 4일

HTTP/2 CVE 2건과 oauth2 취약점 2건을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 운영 중이라면 즉시 업그레이드해야 합니다.

  • securityHTTP/2·oauth2 CVE — 다음 정기 점검을 기다리지 말고 지금 패치하세요

    HPACK 쿠키 폭탄을 통한 메모리 소진(CVE-2026-47774), nghttp2 취약점(CVE-2026-27135), oauth2 HMAC 타이밍 오라클, oauth2 크래시 유발 버그까지 총 4개의 보안 이슈가 수정됐습니다. oauth2 필터를 쓰고 있다면 HMAC 타이밍 사이드채널이 특히 위험합니다. 공격자가 반복 요청으로 HMAC 시크릿의 유효성을 추적할 수 있습니다. v1.38.1로 즉시 업그레이드하세요. HTTP/2 헤더 제한 동작은 기본값으로 활성화되므로, 명확한 이유 없이 `envoy.reloadable_features.http2_include_cookies_in_limits`로 되돌리지 마세요.

  • breakingHTTP 응답 본문에서 upstream 장애 이유가 제거됩니다 — 클라이언트 에러 처리 로직을 점검하세요

    이전까지 HTTP 응답 본문에 포함되던 upstream transport failure reason이 사라집니다. 이 정보를 파싱하거나 표시하는 다운스트림 클라이언트나 대시보드가 있다면 업그레이드 전에 반드시 확인해야 합니다. 액세스 로그에는 여전히 기록되니 모니터링 방식을 조정하세요. 이전 동작이 꼭 필요하다면 `envoy.reloadable_features.hide_transport_failure_reason_in_response_body`로 일시적으로 복원할 수 있습니다.

  • breakingEDS 배치 업데이트 시 LB 재구성 병합이 opt-in으로 전환됩니다

    EDS 배치 호스트 업데이트 중 로드밸런서 재구성 병합이 기본 비활성화됩니다. 파드 수가 많은 Kubernetes 환경에서 롤링 배포가 잦다면 LB 재구성 빈도가 늘어 CPU 부하가 증가할 수 있습니다. 업그레이드 후 컨트롤 플레인과의 상호작용 패턴을 벤치마킹하세요. 성능 저하가 확인되면 `envoy.reloadable_features.coalesce_lb_rebuilds_on_batch_update`로 이전 동작을 복원하세요.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기 위반 시 리셋됨. 비압축 쿠키가 헤더 크기/개수 제한에 포함되어 HPACK 쿠키 폭탄 공격 차단
  • CVE-2026-27135: nghttp2 패치 적용 — HTTP/2 트래픽 전반에 영향
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 시크릿 유효성 유출 방지
  • oauth2: 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 성공하던 크래시 수정
  • 라우터가 HTTP 응답 본문에 upstream transport failure reason을 더 이상 포함하지 않음 — 액세스 로그(%UPSTREAM_TRANSPORT_FAILURE_REASON%)에서만 확인 가능
원문

Keycloak

Security2026년 6월 4일

Keycloak 26.6.3은 OIDC, SAML, LDAP, WebAuthn, 인가 서비스 전반에 걸쳐 16개의 CVE를 수정한 긴급 보안 패치입니다. 즉시 업그레이드해야 합니다.

  • security16개 CVE 포함 — 즉시 26.6.3으로 업그레이드

    이번 릴리스에서 패치된 취약점 중 특히 위험한 항목은 다음과 같습니다. CVE-2026-9704(토큰 교환 시 subject_token 묵시적 제거를 통한 권한 상승), CVE-2026-4874(OIDC 토큰 엔드포인트 SSRF), CVE-2026-9802(서버 재시작 후 교체된 리프레시 토큰 재사용), CVE-2026-8830(WebAuthn 서버 측 검증 누락). 26.x 버전을 운영 중이라면 정기 유지보수 일정을 기다리지 말고 즉시 패치 창을 잡으세요. 업그레이드 전 마이그레이션 가이드를 반드시 확인해야 합니다.

  • security와일드카드 리다이렉트 URI 수정 후 클라이언트 설정 검토 필요

    와일드카드 리다이렉트 URI 매칭 로직이 변경되었습니다. 호스트명 바로 뒤에 '*'를 붙인 패턴이 임의의 서브도메인이나 경로와 일치하지 않도록 강화되었습니다. 업그레이드 후 기존 클라이언트의 리다이렉트 URI가 정상 동작하는지 각 환경에서 반드시 확인하세요. 지나치게 넓게 설정된 와일드카드 패턴이 있다면 이번 기회에 정리하는 것을 권장합니다.

  • securityLDAP 페더레이션 및 토큰 교환 설정 점검

    CVE-2026-9801은 LDAP 페더레이션에서 잘못된 형식의 PasswordPolicyControl을 통한 DoS 공격을 허용합니다. 외부 트래픽이 LDAP 기반 인증 흐름에 닿을 수 있는 구성이라면 우선순위를 높여 패치하세요. CVE-2026-9704는 토큰 교환 사용 시 subject_token 제거를 통한 권한 상승 문제로, 업그레이드 후 토큰 교환 정책 범위가 올바르게 설정되어 있는지 재확인해야 합니다.

주요 변경 (5)
  • 16개 CVE 패치: 토큰 교환 권한 상승, OIDC 엔드포인트 SSRF, 검증되지 않은 JWT azp 클레임의 CORS 헤더 반영, WebAuthn 등록 우회 등
  • 서버 재시작 시 startupTime 초기화 버그 수정 — revokeRefreshToken=true 설정에서 교체된 리프레시 토큰이 재사용되던 취약점(CVE-2026-9802) 해결
  • 와일드카드 리다이렉트 URI 매칭이 호스트 경계를 강제 적용하도록 수정 — 기존에는 서브도메인·경로 우회 공격이 가능했음
  • ROPC 그랜트 클라이언트 정책 우회 및 토큰 인트로스펙션의 notBefore 처리 오류 수정
  • 시작 시 DB 인덱스 누락 여부 체크 추가, SQL Server 대소문자 구분 콜레이션 환경 업그레이드 실패 수정
원문

Envoy

Networking & Messaging2026년 6월 4일

v1.37.3은 HTTP/2 CVE 2건과 oauth2 취약점을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 사용 중이라면 즉시 업그레이드해야 합니다.

  • securityHTTP/2 운영 환경은 즉시 패치하세요

    이번 릴리스에서 HTTP/2 관련 CVE 두 건이 수정됩니다. CVE-2026-47774는 대량의 쿠키를 전송해 헤더 크기 제한을 우회하고 메모리를 과도하게 소비시키는 쿠키-봄 공격을 허용하는 취약점이고, CVE-2026-27135는 nghttp2 라이브러리 수준의 취약점입니다. HTTP/2 트래픽을 처리하는 환경이라면 v1.37.3으로 즉시 업그레이드하세요. 새로운 쿠키 계산 방식은 기본 활성화되며, 문제가 발생하면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 임시 비활성화할 수 있지만 영구적인 해결책으로 쓰면 안 됩니다.

  • security업그레이드 후 oauth2 HMAC 시크릿을 교체하세요

    HMAC 검증의 타이밍 사이드채널을 통해 공격자가 특정 시크릿의 유효 여부를 탐색했을 가능성이 있습니다. 특히 인터넷에 노출된 환경이라면 업그레이드 후 oauth2 HMAC 시크릿을 교체하는 것이 좋습니다. AES-CBC 크래시 수정도 단순한 안정성 문제가 아닙니다. 1/256 확률의 오복호화는 예측 불가능한 인증 동작으로 이어질 수 있었습니다.

  • breaking쿠키가 많은 요청은 HTTP/2 스트림 리셋이 발생할 수 있습니다

    CVE-2026-47774 수정으로 인해 쿠키가 `mutable_max_request_headers_kb` 및 `max_headers_count` 제한에 포함됩니다. 이전에는 통과되던 쿠키 다수 포함 요청이 제한에 걸려 스트림 리셋으로 거부될 수 있습니다. 프로덕션 배포 전에 스테이징에서 쿠키가 많은 트래픽 패턴을 테스트하고, 현재 설정된 헤더 크기 제한이 실제 워크로드에 적합한지 검토하세요.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기를 초과하면 리셋되도록 변경, 비압축 쿠키도 헤더 제한에 포함해 HPACK 쿠키-봄 공격 차단
  • CVE-2026-27135: nghttp2 상위 취약점 패치 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 비밀키 유효 여부가 노출될 수 있었던 문제
  • oauth2: AES-CBC 복호화 크래시 수정 — 시크릿 불일치 상황에서 약 1/256 확률로 복호화가 잘못 성공해 내부 어서션이 실패하던 버그
  • load_report: ADS 스트림 종료 시 레이스 컨디션을 gRPC 스트림 정리 로직 추가로 해결
원문

Envoy

Networking & Messaging2026년 6월 4일

v1.36.7은 HTTP/2 관련 CVE 2건, oauth2 필터의 HMAC 타이밍 사이드채널 및 충돌 버그를 수정한 보안 패치입니다. 즉시 업그레이드가 필요합니다.

  • securityHTTP/2 CVE 2건 — 즉시 패치 적용 필요

    CVE-2026-47774는 HPACK 압축 쿠키를 이용해 Envoy 메모리를 고갈시키는 공격 벡터입니다. 패치 후에는 쿠키가 `mutable_max_request_headers_kb` 및 `max_headers_count` 제한에 포함됩니다. 업그레이드 후 정상 요청이 리셋된다면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 일시적으로 되돌릴 수 있지만, 먼저 헤더 크기 설정을 점검하세요. CVE-2026-27135는 별도 우회 방법이 없으므로 반드시 업그레이드해야 합니다.

  • securityoauth2 필터 사용 중이라면 이번 릴리스를 최우선으로 배포하세요

    HMAC 타이밍 사이드채널은 공격자가 반복 요청으로 시크릿 유효성을 추론할 수 있는 취약점입니다. AES-CBC 충돌 버그(불량 토큰 기준 1/256 확률)는 의도적으로 트리거할 수 있어 서비스 안정성에도 영향을 줍니다. 두 이슈 모두 설정으로 우회할 방법이 없으므로, oauth2 필터를 쓰는 환경이라면 이번 패치를 최우선으로 배포하세요.

  • breaking배포 전 헤더 크기 제한 설정 반드시 검토

    기존에 헤더 크기 계산에서 제외됐던 쿠키가 이제 제한에 포함됩니다. 쿠키가 많거나 큰 애플리케이션은 업그레이드 후 `max_headers_count` 또는 `mutable_max_request_headers_kb` 초과로 HTTP/2 스트림이 리셋될 수 있습니다. 롤아웃 전에 실 트래픽의 쿠키 크기를 기준으로 현재 제한값을 점검하고, 필요하다면 reloadable feature 플래그로 시간을 버세요. 단, 장기간 비활성화 상태로 두는 건 피해야 합니다.

주요 변경 (5)
  • CVE-2026-47774: HPACK 쿠키 폭탄 공격 차단 — 비압축 쿠키가 이제 헤더 크기/개수 제한에 포함됨
  • CVE-2026-27135: nghttp2 레이어 패치 직접 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 시크릿 유효성 추론 가능성 차단
  • oauth2: AES-CBC 복호화가 시크릿 불일치 상황에서 약 1/256 확률로 성공하던 충돌 버그 수정
  • load_report: ADS 스트림과의 종료 시 경쟁 조건을 gRPC 스트림 정리로 해결
원문

Envoy

Networking & Messaging2026년 6월 3일

v1.35.11은 HTTP/2 CVE 2건과 oauth2 취약점 2건을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 사용 중이라면 즉시 업그레이드하세요.

  • securityHTTP/2 HPACK 쿠키-봄 취약점 즉시 패치 필요

    CVE-2026-47774는 공격자가 HPACK으로 압축된 대량의 쿠키를 담은 요청을 보내 메모리를 과도하게 소모시키는 공격입니다. 이번 수정으로 위반 스트림은 즉시 리셋되고, 쿠키도 기존 헤더 크기 제한에 포함됩니다. HTTP/2 트래픽을 처리하는 모든 Envoy 인스턴스에 패치를 배포하세요. 쿠키가 많은 워크로드에서 회귀 문제가 발생하면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 일시적으로 되돌릴 수 있지만, 이는 임시방편이므로 근본적인 해결책을 병행하세요.

  • securityoauth2 필터 사용 중이라면 두 가지 버그 모두 해당

    이번 릴리스에서 oauth2 관련 독립적인 두 문제를 수정했습니다. 하나는 HMAC 검증의 타이밍 차이를 이용해 시크릿 유효성을 추론할 수 있는 사이드채널 문제이고, 다른 하나는 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 잘못 성공하며 크래시를 일으키는 버그입니다. Envoy의 내장 oauth2 필터로 토큰 검증을 수행 중이라면 즉시 업그레이드해야 합니다.

  • enhancement메트릭 수가 많은 환경에서 stats eviction 도입 검토

    새로 추가된 `stats_eviction_interval` 설정으로 Envoy가 미사용 메트릭을 주기적으로 메모리에서 제거합니다. 요청별·사용자별 동적 레이블 등 고카디널리티 메트릭을 다루는 환경이라면 메모리 절감 효과를 기대할 수 있습니다. 다만 eviction은 해당 인터페이스를 구현한 extension에만 적용되므로, 스테이징에서 먼저 동작을 확인한 뒤 적용하는 편이 안전합니다.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 크기 위반 시 리셋되며, 압축 해제된 쿠키가 헤더 제한에 포함되어 HPACK 쿠키-봄 공격 차단
  • CVE-2026-27135: nghttp2 업스트림 패치 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 취약점 수정 — 반복 프로빙으로 시크릿 유효성 추론 가능했던 문제
  • oauth2: 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 성공하며 어서션 크래시를 유발하던 버그 수정
  • Stats: 미사용 메트릭을 주기적으로 메모리에서 제거하는 eviction 기능 추가 (`stats_eviction_interval` 설정)
원문

KubeVirt

Orchestration & Management2026년 6월 3일

KubeVirt v1.8.3은 보안 취약점 패치, 인가 버그 수정, 라이브 마이그레이션 안정화, GPU/DRA 장치 처리 개선을 포함한 패치 릴리스로, 빠른 배포가 권장됩니다.

  • securityCVE 및 심볼릭 링크 취약점 — 즉시 업그레이드 필요

    gRPC CVE(GHSA-p77j-4mvh-x3m3)와 VMExport 디렉터리 핸들러의 심볼릭 링크 탐색 취약점, 두 가지 보안 문제가 이번 릴리스에서 수정됐습니다. VMExport를 사용하거나 VM 데이터를 외부에 노출하는 환경이라면 업그레이드를 최우선으로 처리하세요. 업그레이드 전후로 기존 VMExport 디렉터리에 악의적인 심볼릭 링크가 없는지 점검하는 것도 잊지 마세요.

  • breaking메트릭 이름 변경 — 업그레이드 전에 대시보드와 알림 규칙 수정 필요

    kubevirt_vm_created_total과 kubevirt_vm_created_by_pod_total은 완전히 deprecated 처리됐고, 다수의 recording rule도 네이밍 컨벤션 준수를 위해 이름이 바뀝니다. Grafana 대시보드, 알림 규칙, SLO 쿼리에서 이 메트릭을 참조하고 있다면 업그레이드 후 조용히 매칭이 끊깁니다. 프로덕션 배포 전에 옵저버빌리티 스택을 전수 점검하고 새 이름으로 마이그레이션하세요.

  • enhancement라이브 마이그레이션 안정성 향상 — IPv6 및 크로스 네임스페이스 환경 포함

    이번 릴리스에서 라이브 마이그레이션 관련 버그 여러 건이 해결됐습니다. IPv6 클러스터의 크로스 네임스페이스 마이그레이션이 정상 작동하고, kubevirt_vmi_info 중복 시리즈로 인한 알림 오작동도 수정됐으며, 마이그레이션 중 GuestAgentPing 프로브로 인한 파드 재시작도 더 이상 발생하지 않습니다. IPv6나 멀티 네임스페이스 환경에서 불안정성 때문에 라이브 마이그레이션을 꺼리고 있었다면, 이번 버전이 그 장벽을 없애줄 겁니다.

주요 변경 (5)
  • CVE 대응: GHSA-p77j-4mvh-x3m3 해결을 위해 gRPC를 1.79.3으로 업그레이드
  • VMExport 디렉터리 핸들러의 심볼릭 링크 탐색 취약점 패치
  • 다중 VFIO 패스스루 VM 기동 실패('cannot limit locked memory') 수정 — 장치별 memlock rlimit 스케일링 적용
  • virt-api SubjectAccessReview 버그 수정 — vnc/screenshot, sev/* 등 하위 리소스가 잘못된 이름으로 인가 검사되던 문제 해결
  • 라이브 마이그레이션·스냅샷·VM 일시 정지 중 GuestAgentPing 프로브로 인한 virt-launcher 파드 재시작 문제 수정
원문

KubeVirt

Orchestration & Management2026년 6월 3일

KubeVirt v1.7.4는 gRPC CVE 패치, 인가 버그 수정, IPv6 환경 라이브 마이그레이션 수정, VM 수명주기 이벤트 중 프로브 오동작 수정을 포함한 패치 릴리스입니다.

  • securityCVE-2026-33186 패치를 위해 즉시 v1.7.4로 업그레이드

    gRPC 의존성에서 CVE-2026-33186 취약점이 발견되어 1.79.3으로 업그레이드됐습니다. KubeVirt를 v1.7.4로 업그레이드하는 것 외에 별도의 설정 변경은 필요 없습니다. gRPC를 통해 신뢰할 수 없는 입력을 처리하는 워크로드가 있다면 업그레이드를 우선순위에 두세요.

  • breakingVNC, SEV, evacuate 서브리소스 사용 시 RBAC 정책 재검토 필요

    SubjectAccessReview 버그로 인해 vnc/screenshot, sev/*, evacuate/cancel 서브리소스의 인가 검사가 잘못된 이름을 기준으로 평가되고 있었습니다. 이는 보안 문제인 동시에 인가 로직 자체의 정합성 문제입니다. v1.7.4로 업그레이드한 뒤, 관련 서브리소스에 설정된 RBAC 정책이 의도대로 동작하는지 반드시 확인하세요. 허용되어야 할 접근이 차단되거나, 그 반대 상황이 발생했을 가능성이 있습니다.

  • enhancement마이그레이션이나 일시 중지 중 virt-launcher 파드가 재시작되는 문제 해소

    GuestAgentPing 프로브를 사용하는 환경에서 라이브 마이그레이션, 사용자 일시 중지, 스냅샷, 저장, 덤프 중 virt-launcher 파드가 불필요하게 재시작되는 현상이 있었습니다. 이번 수정으로 해당 상태에서의 프로브 오탐이 억제됩니다. 별도 조치 없이 업그레이드만으로 해결되며, 마이그레이션 중 프로브를 비활성화하는 등의 임시 대응책을 운영 중이었다면 제거해도 됩니다.

주요 변경 (5)
  • google.golang.org/grpc를 1.79.3으로 업그레이드하여 CVE-2026-33186 패치
  • 라이브 마이그레이션, 일시 중지, 스냅샷, 저장, 덤프 중 GuestAgentPing 프로브로 인한 virt-launcher 파드 재시작 문제 수정
  • IPv6 클러스터에서 크로스 네임스페이스 라이브 마이그레이션 정상 동작
  • vnc/screenshot, sev/*, evacuate/cancel 서브리소스의 SubjectAccessReview가 잘못된 이름으로 인가 검사하던 버그 수정
  • 블록 볼륨 핫플러그 후 PCI hostdev VM 재시작 실패 수정 및 PCI 토폴로지 조건을 아키텍처가 아닌 머신 타입 기준으로 변경
원문

KubeVirt

Orchestration & Management2026년 6월 3일

KubeVirt v1.6.6은 CVE 패치, virt-api 인가 오류, IPv6 환경의 크로스 네임스페이스 라이브 마이그레이션 버그 등 9건의 주요 결함을 수정한 패치 릴리스입니다.

  • securityCVE-2026-33186 패치 적용을 위해 v1.6.6으로 즉시 업그레이드

    grpc 의존성 업데이트로 CVE-2026-33186이 수정됐습니다. 멀티테넌트 환경이거나 gRPC 엔드포인트가 외부에 노출된 클러스터라면 이번 업그레이드의 가장 중요한 이유입니다. 패치 릴리스이므로 업그레이드 경로는 단순하며, 현재 버전을 확인하고 빠르게 롤아웃 계획을 수립하세요.

  • securityvirt-api 인가 오류 수정 후 RBAC 정책 검토 필요

    vnc/screenshot, sev/*, evacuate/cancel 같은 딥 경로에서 SubjectAccessReview가 잘못된 서브리소스 이름으로 평가되고 있었습니다. 결과적으로 접근 허용 또는 거부가 의도와 다르게 동작했을 수 있습니다. 업그레이드 후 VNC, SEV, 이배큐에이션 서브리소스에 대한 RBAC 정책이 기대대로 작동하는지 반드시 검증하세요.

  • breakingIPv6 클러스터에서 크로스 네임스페이스 마이그레이션 동작 복구 — 업그레이드 후 검증 권장

    IPv6 클러스터에서 크로스 네임스페이스 라이브 마이그레이션이 조용히 실패하고 있었습니다. 이번 패치로 정상 동작이 복구됐는데, 프로덕션 워크플로에 반영하기 전에 업그레이드 후 테스트 마이그레이션을 직접 실행해 수정이 제대로 적용됐는지 확인하는 게 좋습니다.

  • enhancementPCI hostdev 사용 VM의 재시작 안정성 개선

    PCI 패스스루 hostdev를 사용하는 VM이 블록 볼륨 핫플러그 후 재시작에 실패하던 문제가 수정됐습니다. PCI 토폴로지 게이팅이 아키텍처만 보고 머신 타입을 무시하던 것이 원인이었습니다. 별도 설정 변경 없이 업그레이드만으로 해결되므로, 관련 증상을 겪었다면 이번 릴리스에서 해소될 겁니다.

주요 변경 (5)
  • CVE-2026-33186 대응을 위한 grpc 의존성 업그레이드
  • virt-api가 vnc/screenshot, sev/*, evacuate/cancel 등의 딥 서브리소스 경로를 잘라내어 SubjectAccessReview를 잘못된 이름으로 요청하던 인가 버그 수정
  • IPv6 클러스터에서 크로스 네임스페이스 라이브 마이그레이션 정상 동작 복구
  • PCI 토폴로지 게이팅 기준을 아키텍처에서 머신 타입으로 변경 — PCI hostdev VM의 hotplug 후 재시작 실패 해소
  • QEMU 게스트 에이전트 관련 AgentUpdated 이벤트를 실제 변경이 있을 때만 발생하도록 개선
원문

Jaeger

Observability2026년 6월 3일

v2.19.0은 경량 검색용 /api/v3/trace-summaries 엔드포인트를 도입하고 UI 검색을 이 API로 전환했습니다. ClickHouse TLS 지원과 gRPC 최대 메시지 크기 설정도 추가됐습니다.

  • breakingUI 검색의 /api/v3/trace-summaries 전환 — 백엔드 호환성 확인 필수

    이번 버전부터 UI 검색은 /api/v3/trace-summaries만 사용합니다. gRPC 스토리지 플러그인을 커스텀으로 운영 중이라면 SummaryReader 인터페이스 구현 여부를 반드시 확인하세요. 미구현 시 전체 트레이스 집계 폴백 경로로 동작하지만 성능 차이가 있습니다. UI와 백엔드를 별도로 관리한다면, UI를 이 버전으로 올리기 전에 백엔드도 v2.19.0으로 먼저 업그레이드해야 합니다.

  • breakingAPI v3 클라이언트에서 query.num_traces를 query.search_depth로 교체

    기존 query.num_traces는 deprecated 별칭으로 당분간 작동하지만, 스크립트·대시보드·연동 도구에서 query.search_depth로 교체하는 걸 지금 진행하는 편이 좋습니다. 또한 HTTP 쿼리 파라미터는 camelCase가 정식 형식이 됐고 snake_case는 deprecated 별칭으로 전환됐으니 함께 확인하세요.

  • enhancementgRPC 스토리지에서 메시지 크기 오류가 있다면 max_recv_msg_size_mib 설정

    gRPC 원격 스토리지 플러그인 사용 시 큰 트레이스가 기본 메시지 크기 제한에 걸리는 경우가 많습니다. 새로운 max_recv_msg_size_mib 옵션으로 이 한도를 명시적으로 올릴 수 있습니다. 'received message larger than max' 오류를 경험한 적 있다면 Jaeger 배포 설정에 이 값을 추가하세요.

  • enhancement프로덕션 ClickHouse 스토리지에 TLS 설정 적용

    ClickHouse 스토리지 플러그인에 TLS 설정이 추가됐습니다. Jaeger 백엔드로 ClickHouse를 사용 중이고 네트워크 경계를 넘는 연결이 있다면, 네트워크 레벨 통제에만 의존하지 말고 TLS를 지금 설정하는 게 좋습니다.

주요 변경 (6)
  • UI 검색이 전체 트레이스 로딩 대신 /api/v3/trace-summaries를 사용하도록 전환 — 호환 백엔드 필요
  • GET /api/v3/trace-summaries HTTP 엔드포인트 및 gRPC FindTraceSummaries 핸들러 신규 추가
  • API v3에서 query.num_traces가 query.search_depth로 변경 — 기존 이름은 deprecated 별칭으로 유지
  • ClickHouse 스토리지에 TLS 설정 지원 추가
  • gRPC 스토리지 클라이언트에 max_recv_msg_size_mib 설정 옵션 추가
  • Elasticsearch 인덱스 템플릿에 scope 및 link 필드 누락 수정 — 기존 인덱스 재색인 필요 여부 확인 필요
원문

wasmCloud

Orchestration & Management2026년 6월 3일

v2.3.0에서 wash CLI에 워크로드 env/config/secrets 관리 기능이 추가되고, wasmtime 45로 업그레이드되며 보안 패치와 OTel 추적 개선이 함께 이뤄졌습니다.

  • securitywasmtime 45 업그레이드 및 의존성 보안 패치 즉시 적용

    이번 릴리스에는 wasmtime이 두 단계 올라갔습니다. 44.0.2는 보안 패치용이었고, 45는 그 직후 나왔습니다. 여기에 별도 의존성 보안 취약점 패치까지 포함되어 있어 누적된 보안 범위가 적지 않습니다. 프로덕션에서 wasmCloud를 운영 중이라면 다음 정기 업그레이드를 기다리지 말고 v2.3.0으로 바로 올리세요.

  • enhancementKubernetes RBAC을 클러스터 범위에서 네임스페이스 범위로 좁히기

    runtime.wasmcloud.dev apiGroup RBAC이 이제 클러스터 전체 범위 대신 네임스페이스 단위로 설정 가능합니다. 멀티테넌트 Kubernetes 클러스터에서 wasmCloud 오퍼레이터를 운영 중이라면 기존 RBAC 설정을 검토하고 가능한 네임스페이스 범위로 좁히세요. 공유 클러스터의 보안 태세를 실질적으로 강화할 수 있는 변경입니다.

  • enhancementwash workload env/config/secrets로 설정 관리 방식 전환 검토

    설정과 시크릿 관리가 wash CLI에 직접 통합됐습니다. wasmCloud가 지향해온 워크플로우의 핵심 변화로, 이제 환경변수·설정·시크릿을 워크로드의 일급 관심사로 다룰 수 있습니다. 프로덕션 도입 전에 저장소의 otel-config 예제를 먼저 살펴보고 의도된 패턴을 파악하는 걸 권장합니다.

주요 변경 (5)
  • wash CLI에서 워크로드 환경변수, 설정, 시크릿을 직접 관리하는 기능 추가
  • wasmtime 44.0.2 보안 패치에 이어 45로 업그레이드 — 한 릴리스 사이클에 wasmtime이 두 번 올라감
  • HTTP 응답 상태 코드가 요청 스팬에 기록되어 OTel 트레이스 활용도 향상
  • runtime.wasmcloud.dev apiGroup RBAC을 클러스터 전체가 아닌 네임스페이스 단위로 범위 지정 가능
  • WASI OTel RC2 통합 및 wasip3 카나리 이미지 CI 빌드/게시 시작
원문

CRI-O

Kubernetes Core2026년 6월 3일

CRI-O v1.35.4는 v1.35.3 대비 코드 변경이나 의존성 업데이트가 전혀 없는 패치 릴리스로, 사실상 재빌드 혹은 재태깅 수준입니다.

  • enhancementv1.35.3이 정상 동작 중이라면 업그레이드 불필요

    체인지로그와 의존성 변경이 하나도 없습니다. CI 파이프라인 문제나 아티팩트 서명 교정 목적의 재빌드로 추정됩니다. 현재 v1.35.3을 안정적으로 운영 중이라면 굳이 업그레이드할 이유가 없습니다. 배포 결정 전에 CRI-O GitHub의 릴리스 PR이나 이슈 트래커에서 이 태그가 생성된 배경을 먼저 확인하세요.

  • enhancement배포 전 cosign과 SBOM으로 아티팩트 무결성 검증 습관화

    변경 사항이 없더라도, cosign으로 tarball 서명을 검증하고 bom 툴로 SPDX SBOM을 확인하는 공급망 검증 절차를 점검하는 기회로 삼으세요. 중요한 릴리스가 나왔을 때 이 프로세스가 이미 익숙해져 있어야 합니다.

주요 변경 (4)
  • v1.35.3 대비 코드 변경 없음
  • 의존성 추가·변경·제거 없음
  • amd64, arm64, ppc64le, s390x 아키텍처용 아티팩트 제공
  • cosign 서명 및 SPDX 형식 SBOM 함께 배포
원문

CRI-O

Kubernetes Core2026년 6월 3일

CRI-O v1.36.1은 재시작 후 컨테이너 상태의 ImageRef가 repo@digest에서 이미지 ID 해시로 바뀌는 버그를 수정하고, List* RPC 디버그 로그 과다 출력 문제를 개선한 패치 릴리스입니다.

  • breakingImageRef를 파싱하는 도구가 있다면 즉시 업그레이드 필요

    이 버그로 인해 CRI-O 재시작 후 컨테이너 상태의 ImageRef가 repo@digest 대신 원시 이미지 ID로 바뀌는 현상이 발생했습니다. ImageRef를 파싱하는 어드미션 컨트롤러, 감사 파이프라인, 이미지 정책 도구는 잘못된 형식을 받아 검증 실패나 감사 기록 오류를 낼 수 있습니다. 노드 재부팅이나 CRI-O 업그레이드가 잦은 환경이라면 v1.36.1로 즉시 패치하고, 관련 도구가 repo@digest 형식을 올바르게 처리하는지 확인하세요.

  • enhancement디버그 로그 재활성화 가능 — List* RPC 로그 과다 출력 해소

    ListContainers나 ListPodSandboxes 호출이 빈번한 클러스터에서는 디버그 로그가 과도하게 쌓여 CRI-O 성능에 영향을 줬습니다. 이번 패치로 해당 경로의 로그 출력이 줄어들었습니다. 이 문제를 피하려고 로그 레벨을 낮췄던 환경이라면, 이제 디버그 로그를 다시 켜도 동일한 부담 없이 운영할 수 있습니다.

주요 변경 (4)
  • CRI-O 재시작 후 ImageRef가 repo@digest 형식을 유지하도록 버그 수정 (기존엔 원시 이미지 ID로 변경됨)
  • List* RPC 호출 시 디버그 로그 출력량 감소로 고부하 환경 성능 개선
  • 의존성 변경 없음 — 순수 버그 픽스 릴리스
  • SLSA 출처 증명, OpenVEX, SPDX SBOM 공급망 검증 아티팩트 제공
원문

CRI-O

Kubernetes Core2026년 6월 3일

CRI-O v1.34.9는 동시 StopContainer 호출로 인한 패닉과 빠르게 종료되는 컨테이너의 잘못된 종료 코드 255 보고 문제를 수정한 순수 버그 픽스 릴리스입니다.

  • breaking동시 StopContainer 패닉 위험 — 노드 드레인·빠른 파드 종료 환경은 즉시 업그레이드

    노드 드레인, 배치 워크로드의 빠른 파드 교체, 또는 여러 StopContainer 호출을 병렬로 실행하는 자동화가 있다면 기존 버전에서 CRI-O가 패닉으로 완전히 다운될 수 있습니다. 단순 에러가 아닌 런타임 크래시입니다. 해당 시나리오가 가능한 노드라면 v1.34.9로 즉시 업그레이드하세요.

  • enhancement종료 코드 255 오탐 해소 — 알림 규칙과 재시작 정책 점검 권장

    종료 코드 255는 모니터링 스택에서 런타임 수준 장애로 해석되는 경우가 많고, 불필요한 파드 재시작이나 알림을 유발합니다. 빠르게 종료되는 init 컨테이너, 단기 Job 워크로드에서 255 종료 코드가 발생했다면 이 경쟁 조건에 의한 오탐이었을 가능성이 있습니다. 업그레이드 후 알림 규칙과 CrashLoopBackOff 이력을 확인해 잘못 분류된 장애가 없었는지 살펴보세요.

주요 변경 (3)
  • 이미 닫힌 채널에 동시 StopContainer 호출이 쓰기를 시도해 발생하던 패닉 수정
  • 컨테이너가 빠르게 종료될 때 종료 코드 255를 잘못 보고하던 경쟁 조건 수정
  • 의존성 추가·변경·제거 없음
원문

CRI-O

Kubernetes Core2026년 6월 3일

컨테이너가 빠르게 종료될 때 CRI-O가 종료 코드를 255로 잘못 보고하던 경쟁 조건(race condition) 버그를 수정한 패치 릴리스입니다.

  • breaking종료 코드 255로 실제 컨테이너 장애가 가려졌을 수 있음

    모니터링·알림·재시작 정책이 종료 코드 255를 기준으로 동작한다면, 그간 빠르게 종료된 컨테이너들이 잘못 분류됐을 가능성이 있습니다. 업그레이드 후에는 종료 코드 255를 특정 신호로 처리하는 런북이나 OOMKill/CrashLoopBackOff 워크플로를 점검하세요. 단기 실행 컨테이너의 실제 종료 코드가 이제 올바르게 노출됩니다.

  • enhancement1.33.x 사용자라면 설정 변경 없이 바로 업그레이드 가능

    v1.33.12의 완전한 드롭인 교체 버전입니다. 의존성 변경도, 설정 수정도 필요 없습니다. 노드 롤링 드레인 후 CRI-O 바이너리만 교체하면 됩니다. 배치 잡, init 컨테이너, 단기 실행 워크로드가 많은 노드부터 우선 적용하는 것이 효과적입니다.

주요 변경 (3)
  • 컨테이너 빠른 종료 시 종료 코드 255 오보고 유발하던 경쟁 조건 수정
  • 의존성 변경 없음 — 특정 런타임 엣지 케이스를 겨냥한 순수 버그 픽스
  • amd64, arm64, ppc64le, s390x 모든 아키텍처 빌드에 동일하게 적용
원문

containerd

Kubernetes Core2026년 6월 2일

CVE-2026-46680 보안 패치와 함께 샌드박스 서비스 버그, AppArmor 호환성, OCI USER 스펙 처리 문제를 수정한 패치 릴리스입니다.

  • securityCVE-2026-46680 즉시 패치 적용

    이번 릴리스의 핵심은 CVE-2026-46680 수정입니다. GHSA 어드바이저리에서 공격 범위와 심각도를 먼저 확인하세요. containerd 2.1.x를 운영 중이라면 이번 업그레이드를 최우선 배포 작업으로 처리해야 합니다. 의존성 변경이 없어 업그레이드 절차는 단순합니다.

  • breakingOCI USER 범위 초과 값이 이제 명시적 오류로 실패 — 스펙 사전 점검 필요

    기존에는 OCI 스펙의 USER 값이 유효 UID/GID 범위를 벗어나도 사용자명/그룹 조회로 암묵적으로 처리되어 설정 오류가 숨겨졌습니다. 이제는 명시적 에러가 반환되므로, 숫자형 USER 값을 사용하는 컨테이너가 있다면 업그레이드 후 갑자기 실패할 수 있습니다. 프로덕션 배포 전에 컨테이너 스펙을 반드시 점검하세요.

  • enhancementAppArmor 3.0 미만 환경이나 샌드박스 런타임 사용자는 업그레이드 적극 권장

    AppArmor abi 조건부 설정 수정은 구버전 AppArmor(예: Ubuntu 20.04의 2.x)를 사용하는 환경에서 실질적인 차단 요인이었습니다. 샌드박스 서비스 버그도 이벤트 기반 워크플로와 샌드박스 생성 설정에 직접 영향을 줍니다. Kata Containers 등 샌드박스 기반 런타임을 쓰고 있다면 이번 수정이 특히 중요합니다.

주요 변경 (5)
  • CVE-2026-46680 수정 — 업그레이드 전 어드바이저리에서 영향 범위 확인 필요
  • OCI 스펙에서 범위를 벗어난 USER 값에 대해 이제 명시적 에러 반환 (기존에는 사용자명/그룹 조회로 암묵적 처리)
  • 샌드박스 서비스 버그 수정: Create 필드 미전달 및 이벤트 토픽 오류 해결
  • AppArmor 3.0 미만 버전 호환성 복구 — abi 필드를 조건부로 설정하도록 변경
  • 휘발성 스냅샷터가 'volatile'과 'fsync=volatile' 두 가지 마운트 옵션 형식 모두 지원
원문

Rook

Storage & Data2026년 6월 2일

Rook v1.20은 CSI 드라이버 관리를 Ceph CSI 오퍼레이터로 이관하는 breaking change를 포함하며, 암호화 OSD 자동 리사이즈, Vault Agent SSE-S3 지원, 동시 클러스터 조정 안정화도 함께 제공됩니다.

  • breaking업그레이드 전에 CSI 설정 마이그레이션 경로를 먼저 정리하세요

    기존 클러스터는 업그레이드 후에도 이전 CSI 설정이 그대로 유지되지만, 이후 변경은 반드시 Ceph-CSI OperatorConfig와 Driver CR로 처리해야 합니다. Helm 사용자는 ceph-csi-drivers 차트가 오퍼레이터 설정을 담당하고, 커스텀 이미지는 rook-ceph 차트 values에 남습니다. 업그레이드 전에 현재 CSI 커스터마이징 항목을 미리 정리해두지 않으면, 나중에 설정 변경이 필요할 때 당황하게 됩니다.

  • enhancement커스텀 CRUSH 룰이 있다면 업그레이드 전에 반드시 확인하세요

    이제 mgr 시작 시 미사용 CRUSH 룰이 자동으로 삭제됩니다. 페일오버나 수동 배치용으로 의도적으로 남겨둔 CRUSH 룰이 있다면, 업그레이드 전에 오퍼레이터 configmap에 ROOK_DELETE_UNUSED_CRUSH_RULES=false를 설정하세요. 필요한 순간에 CRUSH 룰이 사라져 있는 상황은 최악의 타이밍에 터집니다.

  • enhancement다중 CephCluster 운영 환경이라면 동시 조정 기능을 활성화하세요

    ROOK_RECONCILE_CONCURRENT_CLUSTERS가 stable로 승격됐습니다. 단일 오퍼레이터로 여러 CephCluster를 관리하는 환경에서는 이 설정을 켜면 조정 병목이 해소됩니다. 기존에는 느린 클러스터 하나가 전체 조정을 막는 문제가 있었는데, 멀티테넌트나 멀티클러스터 구성에서 특히 체감 차이가 큽니다.

주요 변경 (5)
  • Breaking: CSI 설정이 Rook 오퍼레이터 configmap 및 Helm 차트에서 제거됨 — 신규 설치 시 Ceph-CSI OperatorConfig/Driver CR 사용 필수
  • encryptedDevice: true 설정의 호스트 기반 OSD, 디스크 리사이즈 시 자동 확장 지원 (non-PVC 클러스터 한정)
  • CephObjectStore에서 HashiCorp Vault Agent 인증 기반 SSE-S3 서버 측 암호화 지원 추가
  • ROOK_RECONCILE_CONCURRENT_CLUSTERS(다중 클러스터 동시 조정) 기능이 안정(stable) 상태로 승격
  • 미사용 CRUSH 룰이 mgr 시작 후 기본적으로 삭제됨 — 유지하려면 ROOK_DELETE_UNUSED_CRUSH_RULES=false 설정 필요
원문

OpenFGA

Security2026년 6월 2일

v1.17.0은 캐시 키 생성 방식을 TLV 인코딩으로 교체해 해시 플러딩 공격을 차단하고, OpenTelemetry 트레이스 샘플러를 설정 가능하게 만들었습니다.

  • security해시 플러딩 방어를 위해 즉시 업그레이드

    기존 문자열 연결 방식의 캐시 키는 해시 플러딩 공격과 키 충돌 위험에 노출되어 있었습니다. TLV 인코딩과 프로세스별 해시 시딩으로 두 문제를 모두 해결했으며, 설정 변경 없이 버전 업그레이드만으로 적용됩니다. 멀티테넌트 환경이나 외부에 노출된 OpenFGA를 운영 중이라면 이번 릴리스를 우선 적용하세요.

  • enhancementAPI 게이트웨이나 서비스 메시 뒤에서 운영한다면 parent-based 샘플링 설정 권장

    기존에는 OpenFGA가 업스트림의 샘플링 결정을 따르지 못해 스택 전체에서 트레이스가 일관되지 않게 수집되는 문제가 있었습니다. `OPENFGA_TRACE_SAMPLER=parentbased_always_on` 또는 `parentbased_traceidratio`로 설정하면 호출 서비스의 샘플링 결정을 그대로 따릅니다. OpenFGA가 대형 트레이싱 시스템의 다운스트림에 위치한다면, 불필요한 트레이스 노이즈를 줄이고 기존 옵저버빌리티 전략과 일관성을 맞출 수 있습니다.

주요 변경 (5)
  • 캐시 키 생성을 문자열 연결에서 TLV 바이너리 인코딩으로 전환해 충돌 위험 제거
  • 프로세스별 해시 시딩 추가로 해시 플러딩 공격 방어
  • `trace.sampler` / `OPENFGA_TRACE_SAMPLER` / `OTEL_TRACES_SAMPLER`로 트레이스 샘플러 설정 가능
  • parent-based 변형 포함 모든 표준 OTel 샘플링 전략 지원
  • 기본 샘플러는 `traceidratio`로 기존 동작 유지
원문

NATS

Networking & Messaging2026년 6월 2일

v2.14.2는 JetStream 데이터 무결성 문제, 락 해제 버그, 프로토콜 손상 위험을 다수 수정한 안정성 패치입니다. JetStream을 운영 중이라면 즉시 업그레이드를 권장합니다.

  • security프로토콜 손상 경로 차단 — WebSocket 및 JetStream 사용자 필수 확인

    $JS.ACK 주제 재작성과 압축 WebSocket 버퍼 처리에서 각각 발생하던 프로토콜 손상 버그가 수정됐습니다. 잘못된 프레임이 생성되면 스트림 상태나 클라이언트 세션이 오염될 수 있습니다. WebSocket 엔드포인트를 외부에 노출하거나 JetStream ACK에 의존하는 환경이라면 보안 이슈에 준해 업그레이드를 우선 처리하세요.

  • breaking두 건의 락 미해제 버그 — 운영 중단 위험, 즉시 패치 필요

    파일스토어와 컨슈머 코드 경로 각각에서, 특정 오류 조건(쓰기 오류, 시작 시퀀스 오류) 발생 시 락이 영원히 반환되지 않는 버그가 있었습니다. 재시작 없이는 회복되지 않으며, 설명되지 않는 JetStream 정지 현상이 있었다면 이 버그가 원인일 가능성이 높습니다. v2.14.2로 즉시 업그레이드하세요.

  • enhancement주제 수가 많은 스트림의 CPU 급등 문제 자동 해결

    파일스토어의 블록 스킵 체크가 주제 수가 매우 많은 스트림에서 CPU를 무한 점유하는 현상이 있었는데, 업그레이드 후 별도 설정 변경 없이 자동으로 해결됩니다. 이 문제를 피하려고 스트림 설계를 억지로 단순화했다면, 업그레이드 후 원래 의도한 구조로 되돌리는 것을 검토해볼 만합니다.

주요 변경 (5)
  • $JS.ACK 주제 재작성과 압축 WebSocket 버퍼 오용, 두 경로에서 발생하던 프로토콜 손상 수정
  • 파일스토어 락 버그 수정 — 쓰기 오류 발생 시 락이 해제되지 않아 서버가 멈추는 문제 해결
  • 컨슈머 락 버그 수정 — 시작 시퀀스 오류 처리 후 락이 반환되지 않던 문제 해결
  • 주제 수가 극단적으로 많은 스트림에서 블록 스킵 체크가 CPU를 무한 점유하던 문제 수정
  • 캐치업 중 비활성 정지 이후 Raft 피어 추적 오류 및 온라인 노드 제거 후 피어 세트 드리프트 수정
원문

NATS

Networking & Messaging2026년 6월 2일

v2.12.10은 프로토콜 수준의 데이터 손상 위험, JetStream Raft/쿼럼 버그, 고카디널리티 스트림의 CPU 폭주 문제를 수정한 버그픽스 릴리스입니다.

  • securityx/crypto 및 nkeys 즉시 업데이트

    golang.org/x/crypto가 v0.52.0으로, nkeys가 v0.4.16으로 업데이트됐습니다. 두 라이브러리는 NATS 인증 흐름의 암호화 연산을 담당합니다. 클러스터가 외부에 노출되어 있거나 분산 인증을 사용한다면 정기 점검을 기다리지 말고 지금 바로 패치하세요.

  • breakingWebSocket·JetStream 사용자는 프로토콜 손상 수정을 위해 즉시 업그레이드 필요

    압축 WebSocket 클라이언트의 버퍼 오용과 $JS.ACK 주제 재작성, 두 가지 독립적인 프로토콜 손상 버그가 수정됐습니다. 둘 다 메시지 프레이밍을 조용히 망가뜨릴 수 있습니다. WebSocket 클라이언트나 ACK가 있는 JetStream 워크로드를 운영 중이라면 2.12.9 이하를 그대로 두는 건 실질적인 위험입니다. 서버를 먼저 업그레이드한 뒤 클라이언트를 업데이트하세요.

  • enhancement고카디널리티 JetStream 스트림 CPU 폭주 수정 — 설정 검토 병행 필요

    주제 수가 매우 많은 스트림에서 블록 스킵 체크가 CPU 폭주를 일으킬 수 있었는데, 해당 케이스에서 체크가 비활성화됐습니다. JetStream 노드에서 수백만 개의 주제를 가진 스트림 운영 중 원인 불명의 CPU 스파이크가 있었다면 이 버그 때문일 가능성이 높습니다. 업그레이드 후 Counter 스트림과 메시지 스케줄 설정도 검토하세요 — 이전에는 통과됐던 잘못된 설정이 새 제약 조건으로 인해 거부될 수 있습니다.

주요 변경 (5)
  • $JS.ACK 주제 재작성 및 압축 WebSocket 버퍼 오용으로 인한 프로토콜 수준 데이터 손상 수정 — 데이터 안전성 문제
  • 캐치업 중 비활성 지연 후 Raft 피어 추적 오류 수정, 온라인 노드 제거 후 피어 셋 드리프트 수정
  • 게이트웨이 URL이 여러 IP로 해석될 때 쿼럼 계산 오류 수정 — 멀티 데이터센터 환경에 영향
  • 주제 수가 극도로 많은 스트림에서 블록 스킵 체크로 인한 CPU 폭주 문제 제거
  • Go 1.25.10 업그레이드 및 x/crypto, nkeys, jwt/v2 의존성 업데이트
원문
← 최신이전 →
월별 보기