RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

Litmus

Observability오늘2026년 7월 15일

Litmus 3.31.0은 프로브 비교자, GraphQL 메모리 누수, 파일 핸들러, 사용자 인증 등 9가지 주요 버그를 고친 정기 유지보수 릴리스입니다. 파괴적 변경이나 보안 이슈는 없습니다.

주요 변경 (9)
  • 프로브 비교자 타입 초기화 수정으로 비교자 동작 오류 해결
  • GraphQL 구독 리졸버의 메모리 누수 및 데드락 제거
  • FileHandler 오류 응답 후 정상 종료
  • CreateUser 핸들러의 bcrypt 실패 처리 개선
  • GetInfraDetails 리졸버 접근 제어 강화 및 빈 슬라이스 패닉 방지
  • 대기 중인 실험의 UI 상태 동기화 수정
  • 프로브 중복 방지 검사 추가
  • 사용자명 검증 수정
  • Makefile 빌드 경로 수정 및 테스트 커버리지 확대
원문

Envoy

Networking & Messaging어제2026년 7월 14일

Envoy v1.39.0은 keyUsage 강제 필수화, DLB 밸런서 비활성화, TLS inspector 검증 강화, OTel 샘플링 동작 변경 등 여러 주요 변경 사항과, HTTP/2, HTTP/3, ext_authz, ext_proc, OAuth2, DNS 등 여러 하위 시스템에 걸친 약 20건의 medium 등급 CVE 수정을 함께 담은 대규모 릴리스입니다. dynamic modules 확장 포인트와 AI 프로토콜용 스트리밍 JSON 파서 등 비조치성 기능 및 성능 개선도 다수 포함되어 있습니다.

  • security핵심 프로토콜과 확장 기능 전반에 걸친 대규모 CVE 수정

    이번 릴리스는 HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸쳐 약 20건의 CVE를 수정했으며, 릴리스 노트 기준 모두 medium 등급입니다. 대표적으로 HTTP/2 cookie 기반 헤더 제한 우회(CVE-2026-47774), HTTP/3 QPACK 블로킹 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제 시 메모리 고갈(CVE-2026-48044)이 있습니다. 수정 사항은 v1.39.0에 포함됩니다.

  • securityOAuth2 쿠키 암호화가 AES-256-GCM으로 전환(선택적 마이그레이션)

    OAuth2에 CVE-2026-47775 대응을 위한 AES-256-GCM 쿠키 암호화가 추가되었습니다. 마이그레이션은 선택적으로 진행되며, oauth2_use_gcm_encryption을 활성화하고 oauth_legacy_cbc_decrypt 지표를 모니터링한 뒤, 레거시 복호화가 더 이상 관측되지 않으면 oauth2_legacy_cbc_decrypt_compat을 비활성화하는 단계로 이뤄집니다.

  • breaking인증서 keyUsage 강제 적용이 필수화됨

    Envoy는 인증서의 keyUsage 확장을 항상 강제하도록 바뀌었고, enforce_rsa_key_usage 필드는 지원 중단되어 무시됩니다. v1.39.0부터 무조건 적용되므로, 느슨한 검증에 의존하던 인증서는 검증에 실패할 수 있습니다.

  • breakingDLB 커넥션 밸런서가 모든 빌드에서 비활성화됨

    Intel DLB 커넥션 밸런서(envoy.network.connection_balance.dlb)는 소스 아카이브 손상으로 모든 빌드에서 비활성화되었습니다. 이 확장을 사용하는 환경에 해당합니다.

  • breakingTLS inspector가 범위를 벗어난 클라이언트 TLS 버전을 거부

    TLS inspector가 클라이언트 TLS 버전이 1.0에서 1.3 사이인지 검증하며, 범위를 벗어나면 거부합니다. v1.39.0에서는 무조건 적용되지만 envoy.reloadable_features.tls_inspector_enforce_client_tls_version으로 되돌릴 수 있습니다.

  • breakingOTel 트레이싱이 Envoy 자체 샘플링 결정을 우선함

    OpenTelemetry 트레이서가 전파된 트레이스 컨텍스트나 설정된 샘플러가 샘플링을 요청하더라도, overall_sampling을 포함한 Envoy 자체의 요청 단위 샘플링 결정을 우선하도록 바뀌었습니다. 다운스트림이나 컨텍스트 기반 샘플링 결정이 Envoy 설정보다 우선되는 것에 의존하던 환경에 해당하며, 내보내는 스팬 수가 줄어들 수 있습니다.

주요 변경 (8)
  • HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸친 약 20건의 medium 등급 CVE 수정. 대표적으로 CVE-2026-47774(HTTP/2 cookie 헤더 제한 우회), GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS), CVE-2026-48044(Zstd 메모리 고갈)
  • OAuth2에 AES-256-GCM 쿠키 암호화 추가(CVE-2026-47775), 레거시 CBC 복호화에서 선택적 단계 마이그레이션 가능
  • 인증서 keyUsage 강제 적용 필수화(enforce_rsa_key_usage 지원 중단). TLS inspector가 1.0~1.3 범위를 벗어난 클라이언트 TLS 버전을 거부
  • Intel DLB 커넥션 밸런서 확장이 소스 아카이브 손상으로 모든 빌드에서 비활성화
  • OpenTelemetry 트레이서가 overall_sampling을 포함한 Envoy 자체 샘플링 결정을 우선하게 되어, 내보내는 스팬 수가 줄어들 수 있음
  • 통합 DNS 클러스터 구현이 기본값으로 활성화되어, c-ares 리졸버와 qcache를 클러스터 간에 공유할 수 있음
  • HeaderMatcher가 개별로 전달된 헤더 값을 쉼표로 결합한 형태뿐 아니라 개별적으로 매칭하도록 변경(기능 게이트로 되돌릴 수 있음)
  • 비조치 항목으로는 dynamic modules 확장 포인트와 Rust SDK, MCP/A2A/OpenAI/Anthropic용 신규 Wuffs 기반 스트리밍 JSON 파서, 대역폭 공유 및 서브 필터 체인용 신규 HTTP 필터, CNSA/포스트 퀀텀 TLS 정책, io_uring 및 SO_REUSEPORT BPF 성능 개선, 커넥션 풀 재진입 문제와 DNS 리졸버 누수 등 다수의 버그 수정이 포함됨
원문

Backstage

CI/CD & App Delivery어제2026년 7월 14일

Backstage v1.53.0은 SSE MCP 전송 제거, config-loader 타입 검증 강화, OAuth 리다이렉트 URI 검증 강화, OpenAPI 도구 전환(Optic → oasdiff) 등 다수의 주요 변경을 포함한 기능 릴리스입니다. 보안 수정은 없으나 7개의 주요 breaking change가 있으므로 마이그레이션이 필요합니다. 동시에 13개 이상의 버그 수정과 Breadcrumbs 프레임워크 추가, CIMD 구성 안정화 등의 개선사항이 포함되어 있습니다.

  • breakingSSE MCP 전송 제거

    SSE 기반 MCP 전송이 제거되었습니다. `@backstage/plugin-mcp-actions-backend`를 사용 중이라면 스트리밍 엔드포인트 기반 구현으로 마이그레이션하세요.

  • breakingconfig-loader 타입 검증 강화

    TypeScript로 선언된 구성 스키마가 이제 `@backstage/config-loader`에서 임포트된 타입을 검증합니다. 이전에는 검증되지 않던 타입이 로드 실패를 일으킬 수 있으므로, 스키마의 타입 임포트를 확인하세요.

  • breakingOAuth 리다이렉트 URI 검증 강화

    `@backstage/plugin-auth-backend`의 OAuth 리다이렉트 URI 검증이 더 엄격해졌습니다. 와일드카드가 호스트와 경로 경계를 넘지 않으며, `http://localhost:*`는 이제 루트 경로만 매칭합니다. 모든 경로를 허용하려면 `http://localhost:*/*`로 변경하세요. 임베드된 자격증명을 포함한 리다이렉트 URI는 거부됩니다.

  • breakingEntityContextMenuItemBlueprint API 변경

    Catalog 플러그인의 `EntityContextMenuItemBlueprint` API가 변경되었습니다. 렌더링된 MUI 요소 대신 메뉴 항목 데이터를 출력하며, `icon` 타입이 `IconElement`로 변경되었습니다. 해당 API를 사용 중이라면 코드를 업데이트하세요.

  • breaking프록시 에이전트 부트스트랩 제거

    `@backstage/cli-common`에서 `bootstrapEnvProxyAgents`가 제거되었으며 `global-agent` 및 `undici` 의존성이 삭제되었습니다. 수동으로 프록시 에이전트를 부트스트랩하려면 `NODE_USE_ENV_PROXY` 환경 변수를 사용하세요.

  • breakingOpenAPI 도구: Optic에서 oasdiff로 전환

    `@backstage/repo-tools`에서 Optic이 oasdiff로 대체되었습니다. OpenAPI 주요 변경 감지 스크립트가 oasdiff를 사용하도록 업데이트하세요.

  • breakingOpenAPI 스키마 명령 및 함수 제거

    `package schema openapi init`, `repo schema openapi test` 명령과 `wrapInOpenApiTestServer` 함수가 제거되었습니다. 런타임 검증은 `@backstage/backend-openapi-utils/testUtils`의 `wrapServer`로 대체되어 있습니다.

주요 변경 (9)
  • SSE MCP 전송 제거: HTTP 스트리밍 기반 구현으로 마이그레이션 필요
  • config-loader 타입 검증 강화: 무효한 스키마 임포트는 로드 실패
  • OAuth 리다이렉트 URI 검증 강화: 와일드카드 호스트/경로 경계 분리, 자격증명 거부
  • EntityContextMenuItemBlueprint API 변경: 렌더링된 요소에서 데이터 출력으로
  • 프록시 에이전트 부트스트랩 제거: NODE_USE_ENV_PROXY 환경 변수 사용
  • OpenAPI 도구 전환: Optic → oasdiff, 명령 제거 (wrapServer로 대체)
  • TechDocs 메타데이터 루프 버그 수정, Scaffolder 필터 관련 여러 버그 해결
  • Breadcrumbs 프레임워크 추가, TextAreaField 컴포넌트 신규, BACKSTAGE_ENV 쉼표 구분 지원
  • 인증 CIMD 구성 안정화: auth.experimentalClientIdMetadataDocuments → auth.clientIdMetadataDocuments, 토큰 폐기 지원 추가
원문

Flux

CI/CD & App Delivery2026년 7월 13일

Flux v2.9.2는 v2.9.1에서 도입된 회귀를 고친 루틴 패치로, openapi.path가 URL을 가리킬 때 Kustomization 재조정이 실패하던 문제를 해결하고 여러 CRD 설명을 정정했습니다.

주요 변경 (5)
  • v2.9.1 회귀 수정: openapi.path가 URL을 가리킬 때 Kustomization 재조정 실패 문제 해결
  • HelmChart CRD 설명 정정: .status.url이 BucketStatus.Artifact 대신 HelmChartStatus.Artifact를 참조하도록 수정
  • ImageRepository CRD 설명 정정: .status.observedExclusionList가 spec.lastScanResult 대신 status.lastScanResult를 참조하도록 수정
  • ImageUpdateAutomation CRD 설명 정정: .status.observedSourceRevision에서 노출된 Go 구조체 선언 제거
  • fluxcd/pkg 및 toolkit 컴포넌트 의존성 업데이트
원문

Dapr

Orchestration & Management2026년 7월 10일

Dapr v1.16.17은 Scheduler 서비스가 액터 리마인더와 예약 작업 이름을 검증할 때 불필요하게 엄격하던 기준을 완화하는 버그 수정 릴리스입니다. 실제 사용 가능한 문자 범위를 API의 다른 부분과 일치시켰으며, 기존 코드와의 호환성에는 영향이 없습니다.

주요 변경 (3)
  • Scheduler 서비스의 과도하게 엄격한 문자 검증 완화: 액터 리마인더, 예약 작업 이름에서 `|`, `@` 등 문자 허용(DNS-1123 제약 제거)
  • 리마인더 등록 실패 및 오류 메시지 개선: 실제 금지 문자(`/`, `\`, `#`, `?`, 제어 문자, `.`, `..`)만 검증하도록 정정
  • `||`를 포함한 액터 ID의 리마인더 목록 조회 수정
원문

Kyverno

Security2026년 7월 10일

Kyverno v1.18.2는 생성기 정책의 namespace 경계 강제 HIGH 등급 취약점(GHSA-79gf-7frw-68m9)을 수정한 보안 패치입니다. 보안 의존성 업데이트와 여러 버그 수정을 함께 포함하고 있습니다.

  • security생성기 정책 namespace 경계 강제 취약점 수정 (GHSA-79gf-7frw-68m9)

    생성기 정책에서 namespace 경계 강제가 제대로 작동하지 않아 정책이 다른 네임스페이스의 리소스를 생성할 수 있었습니다. v1.18.2로 업그레이드하세요.

  • security보안 의존성 업데이트

    보안 관련 의존성이 업데이트되었습니다. 최신 패치를 적용하세요.

주요 변경 (7)
  • 보안: 생성기 정책의 namespace 경계 강제 취약점 패치 (GHSA-79gf-7frw-68m9)
  • 보안 의존성 업데이트
  • 백그라운드 리포팅이 410 Gone 응답 처리 개선
  • 필수 검증 정책의 이미지 매칭 실패 처리 개선
  • Kyverno CLI가 단일 --crd-path 파일에서 여러 CRD 지정 지원
  • pss-helm 정책 차트의 볼륨 타입 목록에 image 추가
  • 레포트 라벨 프리픽스 명칭 정정
원문

CoreDNS

Kubernetes Core2026년 7월 10일

CoreDNS v1.14.5는 DoH/DoH3 전송, Forward 구성, dnstap/file/secondary/transfer 견고성을 개선한 유지보수 릴리스입니다. TLS 기본값, DoQ 타임아웃 처리, Per-upstream 읽기 타임아웃 설정 등 세 가지 동작 변경이 포함되므로 업그레이드 전에 구성을 확인하세요.

  • breakingTLS 기본값이 Go 표준으로 변경

    Go의 기본 TLS 설정으로 변경됩니다. 기존에 커스텀 TLS 구성에 의존했다면 동작을 확인하세요.

  • breakingDoQ 스트림 읽기에 타임아웃 적용

    DoQ 스트림 읽기가 서버 읽기 타임아웃으로 제한됩니다. DoQ를 사용 중이면 읽기 타임아웃 설정을 검토하세요.

  • breakingForward 플러그인 빈 설정 파일 처리 복구

    Forward 플러그인이 설정 파일이 비어 있을 때 계속 진행하도록 복구되었습니다. 이전에 오류 동작에 의존했다면 설정을 재검토하세요.

주요 변경 (8)
  • TLS 기본값을 Go 표준으로 변경
  • DoQ 스트림 읽기에 서버 읽기 타임아웃 적용
  • Forward 플러그인의 빈 설정 파일 처리 복구 (이전 동작 복원)
  • Forward 플러그인에 DoH 지원 추가
  • Per-upstream 읽기 타임아웃 구성 가능
  • Transfer 플러그인에서 범위가 지정된 IPv6 주소 지원 및 Notify 소스 주소 구성 추가
  • Plugin/dnstap 연결 재접속 안정성 개선, Plugin/file SOA 처리 개선, Plugin/secondary 카탈로그 존 구문 분석 추가
  • 약 13개의 추가 버그 수정: Join 패닉, 캐시 AD 비트, dnstap 데드락, AXFR 패닉, nil 포인터 패닉, 데이터 레이스 등
원문

containerd

Kubernetes Core2026년 7월 10일

containerd v2.3.3은 CRI 샌드박스 처리, NRI, 이미지 배포, EROFS 블록 정렬을 다루는 버그 수정 패치입니다. 보안 취약점이나 주요 API 변경은 없습니다.

주요 변경 (7)
  • CRI가 실행 중이 아닌 샌드박스에 대한 CreateContainer 호출을 거부하도록 개선
  • RunPodSandbox가 훅 실패 시 샌드박스 종료를 보장하여 마운트 누수 방지
  • NRI GetIPs의 nil 포인터 역참조 버그 수정
  • 레지스트리 클라이언트가 403 응답에서 OCI 에러 본문을 노출하도록 개선
  • EROFS 스냅샷터가 모든 플랫폼에서 4K 블록 크기를 일관되게 정렬
  • Windows에서 SystemTemp 환경 변수 설정으로 임시 디렉터리 오버라이드 지원
  • Go 1.26.5 및 runhcs v0.15.0-rc.3로 업데이트
원문

containerd

Kubernetes Core2026년 7월 9일

containerd v2.2.6은 CRI 계층의 포드 샌드박스 생명주기 처리 문제와 포인터 역참조 버그, 이미지 배포 캐시 오염을 다룬 루틴 패치입니다. 운영자 개입이 필요한 변경은 없습니다.

주요 변경 (5)
  • CRI: NRI GetIPs 호출 중 nil 포인터 역참조 수정(포드 샌드박스 종료 및 컨테이너 종료 시)
  • CRI: 실행 중이 아닌 샌드박스에 CreateContainer 호출 거부
  • CRI: RunPodSandbox 훅 실패 시 샌드박스 종료 보장(마운트 누수 방지)
  • 이미지 분배: /blobs 엔드포인트 폴백 제한으로 콘텐츠 스토어 오염 방지
  • Go 1.26.5/1.25.12로 업데이트
원문

containerd

Kubernetes Core2026년 7월 9일

containerd v2.0.11은 이미지 참조 해석 중 콘텐츠 저장소 오염을 유발하던 버그를 고친 정기 패치 릴리스입니다. 주요 변경 사항은 없으며, Go 툴체인만 함께 업데이트됩니다.

주요 변경 (3)
  • 이미지 참조 해석 중 /blobs 엔드포인트 폴백을 제한하여 콘텐츠 저장소 오염 방지
  • Go 툴체인 1.26.5/1.25.12로 업데이트
  • CI의 fog-json 의존성 고정
원문

containerd

Kubernetes Core2026년 7월 9일

containerd v1.7.34는 컨테이너 종료 이벤트가 손실될 수 있던 CRI 버그를 수정한 정기 패치 릴리스입니다. Go 도구 체인과 표준 라이브러리 의존성이 함께 갱신되었으며 운영 관점의 주의 사항은 없습니다.

주요 변경 (3)
  • CRI 버그 수정: 컨테이너 정보 캐싱 전 종료 이벤트가 손실되는 문제 해결
  • Go 1.26.5/1.25.12로 상향
  • golang.org/x/* 의존성 업데이트: crypto(v0.52.0), mod(v0.35.0), net(v0.55.0), sync(v0.20.0), sys(v0.45.0), term(v0.43.0), text(v0.37.0)
원문

Helm

Kubernetes Core2026년 7월 9일

Helm v3.21.3은 정기 패치로, containerd v1 의존성을 제거하여 govulncheck가 지적한 취약점을 해결했습니다.

주요 변경 (2)
  • containerd v1 의존성 제거(govulncheck 취약점 해결)
  • 코드 리뷰 피드백 적용
원문

Helm

Kubernetes Core2026년 7월 9일

Helm v4.2.3의 공식 릴리스 노트가 실질적인 변경 내용 없이 커뮤니티 링크와 변경 로그 자리 표시자만 포함되어 있어 구체적인 업그레이드 정보를 제공할 수 없습니다.

원문

SPIRE

Security2026년 7월 9일

SPIRE v1.15.2는 docker 의존성을 moby로 전환하여 CVE를 해결하고, 위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출을 차단한 보안 패치입니다. 다양한 기능 추가와 대규모 배포 성능 최적화도 포함되어 있습니다.

  • securitydocker→moby 의존성 마이그레이션으로 CVE 해결

    docker/docker 의존성을 moby/moby로 전환하여 여러 CVE를 해결했습니다. v1.15.2로 업그레이드하세요.

  • breaking위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출 차단

    관리자 또는 다운스트림 항목을 사용하는 위임된 ID API 환경에서 JWT-SVID가 더 이상 제공되지 않습니다. 위임된 API를 사용 중이면 업그레이드 후 클라이언트 코드를 검토하세요.

주요 변경 (6)
  • 보안: docker/docker를 moby/moby로 마이그레이션하여 CVE 해결
  • breaking: 위임된 ID API가 관리자/다운스트림 항목에 대한 JWT-SVID 제공 중단
  • 향상: JWT-SVID에 JTI 클레임 포함 옵션, 호출자별 요청 제한(실험), Prometheus 메트릭 엔드포인트 TLS 지원
  • 향상: SPIFFE Broker 엔드포인트/API 신규 도입, x509pop 노드 증명자에서 클라이언트 인증서 IP 검증 추가
  • 성능: 대규모 배포에서 증명된 노드 대량 조회로 데이터베이스 부하 감소, MySQL 항목 조회 쿼리 최적화
  • 그 외 다수 버그 수정 및 기능 개선: Azure IMDS 증명 검증, CA 저널 안정성, 이벤트 캐시, Windows SE_DEBUG_PRIVILEGE, GCP KMS 공개 키 조회
원문

Argo

CI/CD & App Delivery2026년 7월 9일

Argo CD 3.4.5는 SSA 인증 재조정, 동기화 및 UI 회귀, Dex 설정 문제를 포함한 여러 버그를 수정한 정기 패치입니다.

주요 변경 (7)
  • Reposerver가 주 소스 대신 참조된 소스의 깊이를 존중하도록 수정
  • Server-Side Apply 인증 재조정 제거로 잘못된 재조정 동작 방지
  • manifest-generate-paths 사용 시 새 커밋 도중 자동 동기화 건너뜀 수정
  • UI에서 삭제된 리소스가 여전히 있는 것으로 표시되던 문제 수정
  • replace 동기화 옵션이 무시되지 않은 필드를 덮어쓰던 버그 수정
  • Dex 설정 환경 변수 치환 회귀 수정
  • golang.org/x/crypto 0.53.0으로 상향, Ubuntu 기본 이미지 26.04 LTS로 업데이트
원문

Flatcar Container Linux

Provisioning & Runtime2026년 7월 9일

Flatcar stable-4593.2.4는 커널을 6.12.95로 올려 CVE 130건 이상을 한꺼번에 해소하는 보안 패치 릴리스이며, ca-certificates도 3.125로 함께 갱신되었습니다. 보고된 별도의 버그 수정이나 동작 변경은 없습니다.

  • security커널 6.12.95 업데이트, CVE 130건 이상 수정

    Flatcar stable-4593.2.4는 리눅스 커널을 6.12.95로 올려 130개 이상의 CVE를 한꺼번에 수정합니다. 목록에는 CVE-2026-46242, CVE-2026-53332, CVE-2026-53356, CVE-2026-53329 등이 포함되며, 커널 코드 경로 전반에 걸친 문제라 영향 범위가 넓습니다. 정확한 CVSS 등급은 개별 CVE 항목을 확인해야 하지만, 규모상 최우선으로 업그레이드해야 합니다.

주요 변경 (3)
  • 리눅스 커널을 6.12.95로 업데이트하며 CVE-2026-46242, CVE-2026-53332, CVE-2026-53356, CVE-2026-53329를 포함해 130건 이상의 커널 CVE를 수정
  • ca-certificates 패키지를 3.125로 업데이트 (루틴 의존성 갱신)
  • 이번 릴리스에는 커널 보안 수정 외에 별도로 보고된 버그 수정이나 동작 변경 없음
원문

Flatcar Container Linux

Provisioning & Runtime2026년 7월 9일

Flatcar lts-4081.3.9는 Linux 커널을 6.6.144로 올려 130개 이상의 커널 CVE를 한꺼번에 수정한 보안 중심 패치 릴리스입니다. ca-certificates도 3.125로 갱신되었으며, 제거나 API/설정 변경은 없습니다.

  • securityLinux 커널 다중 CVE 일괄 패치(6.6.144)

    커널을 6.6.144로 올리면서 CVE-2026-46242를 포함해 130개 이상의 Linux 커널 CVE를 함께 수정했습니다. 릴리스 노트에는 개별 CVSS 등급이 명시되어 있지 않지만, 커널 코드 실행 및 권한 상승과 관련된 취약점이 다수 포함되어 있어 HIGH로 분류됩니다. 프로덕션 노드는 가급적 빨리 6.6.144 이상으로 갱신하세요.

주요 변경 (3)
  • Linux 커널을 6.6.144로 업데이트하며 CVE-2026-46242 등 130개 이상의 CVE를 패치(HIGH 등급 포함)
  • ca-certificates 패키지를 3.125로 업데이트
  • 제거되거나 변경된 API, 설정, 이름은 없음
원문

TiKV

Storage & Data2026년 7월 9일

TiKV/TiDB v8.5.7은 max_ts 유효성 검증 기본 거부, 옵티마이저 IndexMerge 자동화, TiDB Lightning 웹 인터페이스 제거 등 몇 가지 동작 변경을 포함한 패치이며, 서드파티 의존성 보안 업데이트와 함께 CPU 인지 핫 리전 스케줄링, 부분 인덱스 등 신규 기능과 다수의 성능/버그 수정을 담고 있습니다.

  • securityTiKV 서드파티 의존성 보안 패치

    업그레이드 대상이 명확히 밝혀지지 않은 TiKV 8.5용 서드파티 의존성 다수를 보안 및 안정성 목적으로 업데이트했습니다. 취약 패키지를 쓰고 있었다면 업그레이드로 해결됩니다.

  • breakingmax_ts 유효성 검증 실패 시 기본적으로 거부

    storage.max-ts.action-on-invalid-update의 기본 동작이 로그 기록에서 요청 거부로 바뀝니다. 업그레이드 전 동작 유지가 필요하면 해당 옵션을 log로 명시하세요.

  • breakingTiDB Lightning 웹 인터페이스 제거

    TiDB Lightning 웹 인터페이스가 완전히 제거됐습니다. 앞으로는 tidb-lightning 명령줄 도구와 체크포인트/트러블슈팅용 tidb-lightning-ctl을 사용해야 합니다.

  • breakingIndexMerge 자동 고려 옵션 기본 활성화

    옵티마이저 fix control 52869가 기본으로 활성화되어 대체 인덱스가 있을 때 IndexMerge를 자동으로 고려합니다. 일부 쿼리의 실행 계획이 바뀔 수 있으니 주요 쿼리의 플랜을 점검하세요.

  • breakingNOT NULL 컬럼 NULL 삽입 검증 강화

    INSERT 문에서 NOT NULL 컬럼에 명시적으로 NULL을 쓰는 경우 tidb_enable_strict_not_null_check가 기본값 ON으로 엄격하게 검증합니다. 기존에 이런 패턴에 의존하던 애플리케이션은 오류가 발생할 수 있습니다.

  • breaking백그라운드 리소스 컨트롤 메트릭 집계 방식 변경

    TiKV 백그라운드 리소스 컨트롤 메트릭이 resource_group 레이블 없이 전체 집계되는 전역 레이트 리미터 방식으로 바뀝니다. resource_group별로 필터링하던 대시보드와 알림 규칙을 업데이트해야 합니다.

주요 변경 (8)
  • 보안: TiKV 8.5용 서드파티 의존성 다수 업데이트(개별 CVE 미공개)
  • 동작 변경: max_ts 유효성 검증 실패 시 기본적으로 요청 거부(기존은 로그만 기록)
  • 제거: TiDB Lightning 웹 인터페이스, 이후 CLI 도구(tidb-lightning, tidb-lightning-ctl)만 지원
  • 기본값 변경: 옵티마이저 fix control 52869 활성화로 IndexMerge 자동 고려, 쿼리 플랜 변경 가능성
  • 기본값 변경: 백그라운드 리소스 컨트롤 메트릭이 resource_group 레이블 없이 집계, 대시보드/알림 수정 필요
  • 신규 기능: CPU 인지 핫 리전 스케줄링, 부분 인덱스(partial index), TiCDC 테이블 라우팅, max_user_connections 변수
  • deprecated: tidb_enable_telemetry 및 텔레메트리 기능, PD split-scatter 기본 비활성화 등 다수의 저위험 기본값 변경
  • 버그 수정 다수: TiKV 메모리 증가 및 resolved_ts 메모리 과다 사용, PD 리소스 컨트롤 레이트 리미팅 약화, BR 로그 백업 행, TiCDC Kafka 누수 등
원문

cert-manager

Security2026년 7월 8일

cert-manager 1.21.0은 RBAC와 Helm 기본값을 조이는 세 가지 주요 변경(보안 권한 축소 포함)을 담은 강화 릴리스로, ARI와 Vault AWS IAM 인증 같은 새 기능도 함께 들어왔습니다. Helm values를 커스터마이즈했거나 Challenge/Order를 직접 다루는 도구가 있다면 업그레이드 전에 반드시 변경 사항을 확인해야 합니다.

  • securitycert-manager-edit ClusterRole 권한 축소 보안 수정

    cert-manager-edit 어그리게이트 ClusterRole에서 challenges.acme.cert-manager.io에 대한 create 권한과 orders.acme.cert-manager.io에 대한 create/patch/update 권한이 제거되었습니다(GHSA-8rvj-mm4h-c258). Challenge나 Order 리소스를 직접 생성하는 자동화나 도구가 있다면 별도 RBAC를 부여해야 동작이 유지됩니다.

  • breaking기본 tokenrequest RBAC 제거

    Helm 차트가 더 이상 컨트롤러 ServiceAccount에 대한 serviceaccounts/token: create 권한을 부여하는 기본 Role/RoleBinding을 생성하지 않습니다. serviceAccountRef.name으로 컨트롤러 ServiceAccount를 직접 참조하는 문서화되지 않은 구성을 쓰고 있다면 업그레이드 후 토큰 발급이 실패할 수 있습니다.

  • breakingPrometheus 관련 Helm values 제거

    Helm 값 prometheus.servicemonitor.targetPort, prometheus.servicemonitor.path, prometheus.podmonitor.path가 제거되었습니다. 관련 메트릭 포트도 tcp-prometheus-servicemonitor에서 http-metrics로 이름이 바뀌었습니다. values 오버라이드에 이 키들이 남아 있으면 업그레이드 시 스키마 검증 오류가 발생하므로 values 파일을 미리 정리해야 합니다.

주요 변경 (8)
  • 보안: cert-manager-edit ClusterRole에서 Challenge/Order 생성 권한 제거(GHSA-8rvj-mm4h-c258)
  • 주요 변경: 컨트롤러 ServiceAccount용 기본 tokenrequest RBAC(Role/RoleBinding) 제거
  • 주요 변경: prometheus.servicemonitor/podmonitor 관련 Helm values 제거, 메트릭 포트명이 http-metrics로 변경
  • 신규 기능: ACME Renewal Information(ARI, RFC 9773) 실험 지원, Vault 이슈어의 AWS IAM 인증(IRSA/EKS Pod Identity) 지원
  • 신규 기능: Gateway API용 http01-parentreffallback 및 ignore-tls-listeners 어노테이션, Certificate API의 renewalPolicies 필드 추가
  • 사용 중단: enableGatewayAPI/enableGatewayAPIListenerSet 및 ServerSideApply 피처 게이트가 각각 gatewayAPI.enabled 계열과 SSA 상시 사용으로 대체 예정(당분간 동작은 유지)
  • 버그 수정 다수: renewBeforePercentage 정수 오버플로, 만료된 인증서 재발급 무한 루프, ACME 임시 네트워크 오류 처리, DNS 이슈어 시크릿 사전 검증 등 안정성 개선
  • 기타: 베이스 이미지 Debian 13으로 갱신, 신규 Modern2026 PKCS#12(FIPS 140-3) 프로파일 추가, 더 이상 쓰지 않는 ObjectReference 타입 정리
원문

etcd

Kubernetes Core2026년 7월 8일

etcd v3.7.0은 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 고친 보안 릴리스입니다. 업그레이드 가이드는 호환성 변경 가능성을 언급하지만 세부 내용은 이번 자료에 포함되어 있지 않습니다.

  • securitygRPC 리스너 CRL 검증 우회 수정

    --listen-client-http-urls 플래그를 사용하는 경우 gRPC 리스너에서 CRL(인증서 폐기 목록) 검증이 우회되는 취약점이 있었습니다(GHSA-3wh4-j44w-pg92, HIGH). 폐기된 인증서로도 접근이 허용될 수 있으므로 해당 플래그를 쓰는 클러스터는 v3.7.0으로 업그레이드하세요.

주요 변경 (2)
  • 보안: --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 강제 검증이 우회되는 HIGH 등급 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 업그레이드 가이드에 호환성 변경 가능성이 언급되어 있으나 제공된 자료에는 구체적 내용이 없음
원문

Thanos

Observability2026년 7월 8일

Thanos v0.42.0은 grpc/authz의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)을 고친 보안 릴리스이면서, Receive와 Store의 플래그 제거를 포함한 여러 breaking change와 새로운 TLS/암호 설정 옵션을 함께 담은 혼합 성격의 업데이트입니다.

  • securitygRPC 인가 우회 취약점 패치(CVE-2026-33186, CVSS 9.1)

    조작된 :path 헤더로 grpc/authz 인터셉터의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)이 thanos-community/grpc-go 포크에서 발견되어 이번 버전에서 패치되었습니다. grpc/authz로 경로 기반 접근 제어를 하는 환경은 즉시 업그레이드하세요.

  • breakingReceive: --shipper.ignore-unequal-block-size 제거

    Receive의 --shipper.ignore-unequal-block-size 플래그가 제거되었습니다. TSDB가 shipper의 블록 업로드 완료까지 컴팩션을 지연시켜, 데이터 손실 위험 없이 업로드 중 컴팩션이 가능해진 데 따른 변경입니다. 이 플래그를 사용 중이면 설정에서 제거해야 합니다.

  • breakingStore: --debug.advertise-compatibility-label 제거

    Store의 --debug.advertise-compatibility-label 플래그가 제거되어, 기본적으로 @thanos_compatibility_store_type=store 외부 레이블을 더 이상 광고하지 않습니다. v0.8.0 이전 Thanos Query와의 호환성이 깨지므로, 오래된 Query 컴포넌트와 연동 중이면 업그레이드 순서를 검토하세요.

  • breakingQuery-Frontend: time_taken 필드가 time_taken_ms로 변경

    Query-Frontend의 응답 JSON 필드명이 time_taken에서 time_taken_ms로 바뀌었습니다. 로그 수집기나 이 필드를 파싱하는 도구가 있다면 필드명을 갱신해야 합니다.

주요 변경 (7)
  • 보안: 조작된 :path 헤더로 grpc/authz의 deny 규칙을 우회하는 CVSS 9.1 취약점(CVE-2026-33186) 패치, thanos-community/grpc-go 포크 업데이트로 해결
  • breaking: Receive --shipper.ignore-unequal-block-size 제거(TSDB가 shipper 업로드 완료까지 컴팩션 지연)
  • breaking: Store --debug.advertise-compatibility-label 제거로 구버전 Query(v0.8.0 이전)와 호환성 단절
  • breaking: Query-Frontend JSON 필드 time_taken → time_taken_ms 이름 변경
  • 모든 gRPC 서버에 KeepaliveEnforcementPolicy MinTime 10s 적용(클라이언트 keepalive 간격과 일치)
  • gRPC/Remote-write 서버에 TLS 암호 스위트·커브 설정 플래그 추가, Query에 엔드포인트별 TLS 설정 지원 등 보안 강화 옵션 다수 도입
  • Receive의 탐리버설 방지를 위한 테넌트 ID 검증, 503 재시작 오류 수정 등 다수 버그 수정, 이 외에도 Query-Frontend 패닉 수정과 exemplar 프록시 레이블 처리 등 자잘한 수정 다수
원문

gRPC

Networking & Messaging2026년 7월 8일

gRPC v1.82.1은 파이썬 protobuf 의존성 하한을 7.35.1로 올린 것 외에는 별다른 변경이 없는 routine 패치 릴리스입니다. 다만 protobuf 6.x에 고정된 환경에서는 업그레이드 전 확인이 필요합니다.

  • breakingprotobuf 최소 버전 7.35.1로 상향

    파이썬용 gRPC가 protobuf 최소 버전 요구치를 6.33.5에서 7.35.1로 올렸습니다. protobuf를 6.x 버전대에 고정해둔 프로젝트는 이번 gRPC 업그레이드 시 의존성 충돌이 발생하므로, protobuf도 7.35.1 이상으로 함께 올려야 합니다.

주요 변경 (1)
  • protobuf 의존성 하한선을 6.33.5에서 7.35.1로 상향 (하위 호환성 깨짐)
원문

Tekton

CI/CD & App Delivery2026년 7월 8일

Tekton v1.6.5는 Go 도구체인을 1.25.10으로 올려 포함된 CVE를 수정한 보안 패치입니다. 기능 변경이나 호환성 문제는 없습니다.

  • securityGo 1.25.10 CVE 수정

    Go 1.25.10은 여러 CVE를 수정합니다. Tekton v1.6.5로 업그레이드하여 빌드 환경의 보안을 최신화하세요.

주요 변경 (1)
  • Go 1.25.10으로 상향, 중등급 CVE 수정
원문

Tekton

CI/CD & App Delivery2026년 7월 8일

Tekton v1.9.6은 Go와 golang.org/x/crypto, golang.org/x/net의 버전을 올려 알려진 보안 취약점을 고친 보안 패치입니다. 또한 빌드 위생성 개선으로 kodata의 LICENSE 심볼릭 링크를 실제 파일로 대체했습니다.

  • securityGo 및 암호화·네트워크 라이브러리 CVE 수정

    Tekton v1.9.6은 Go를 1.25.10으로, golang.org/x/crypto를 v0.52.0으로, golang.org/x/net을 v0.55.0으로 올려 의존성의 알려진 취약점을 수정했습니다. v1.9.6으로 업그레이드하면 이 수정이 적용됩니다.

주요 변경 (2)
  • 보안: Go 1.25.10으로 상향, golang.org/x/crypto v0.52.0, golang.org/x/net v0.55.0 적용하여 CVE 대응
  • kodata LICENSE 심볼릭 링크를 실제 파일로 변경하는 빌드 정리
원문

Rook

Storage & Data2026년 7월 7일

Rook v1.20.2는 버그 수정과 소규모 개선에 집중한 routine 패치 릴리스로, Ceph v20.2.2와 ceph-csi-operator v1.0.4로 버전을 올리고 mgr NetworkPolicy를 인그레스 전용으로 제한했습니다. API 제거나 CVE는 포함되어 있지 않습니다.

  • breakingmgr NetworkPolicy를 인그레스 전용으로 제한

    mgr용 NetworkPolicy가 이제 인그레스 트래픽만 허용하도록 제한됩니다. 기존에 mgr로부터의 아웃바운드 통신에 의존하던 커스텀 네트워크 정책이 있다면 업그레이드 후 동작을 확인하세요.

주요 변경 (7)
  • Ceph 버전을 v20.2.2로, ceph-csi-operator를 v1.0.4로 상향
  • mgr NetworkPolicy를 인그레스 전용으로 제한하는 보안 강화
  • 외부 클러스터에서 언마운트 시 VolumeAttachment 리소스가 정상적으로 삭제되도록 수정
  • 노드 라벨/annotation 변경 시 재조정을 트리거하도록 노드 워처 개선, 초기 캐시 동기화 중에는 스킵하도록 조정
  • floating mon 재스케줄 시간을 단축해 mon 페일오버 응답성 개선
  • OSD raw activate 폴백 경로에서 rbd 디바이스 스캔을 제거해 잘못된 디바이스 분류 방지
  • 그 외 소소한 수정: config override 개행 처리, object store realm 액세스 키의 URL-safe 문자열화, Ceph 오퍼랜드 파드용 NetworkPolicy 예시 추가, Ceph 경고 음소거를 위한 API 확장
원문

Flux

CI/CD & App Delivery2026년 7월 7일

Flux v2.9.1은 post-build 변수 치환이 Flux CRD 스키마를 손상시킬 수 있던 중대 버그를 고친 패치 릴리스입니다. SOPS .ini 복호화와 드라이런 병합 패치 오류도 함께 수정되었으며, 새로운 기능 변경이나 보안 취약점은 없습니다.

  • breakingCRD 스키마 손상 버그 수정

    post-build 변수 치환이 활성화된 Kustomization에서 ${...} 패턴이 Flux 자체의 CRD 스키마 필드와 일치하면 CRD가 손상될 수 있었습니다. v2.9.1에서는 `kustomize.toolkit.fluxcd.io/substitute: disabled` 주석으로 Flux CRD를 보호하도록 수정했습니다. post-build 치환을 사용 중이라면 업그레이드하세요.

주요 변경 (3)
  • CRD 스키마 손상 수정: post-build 변수 치환으로 인한 Flux CRD 필드 덮어쓰기 방지
  • SOPS .ini 복호화 오류 수정
  • 드라이런 전략적 병합 패치 오류 수정
원문

OpenTelemetry

Observability2026년 7월 7일

OpenTelemetry Collector v0.156.0은 버그 수정 중심 릴리스로, 운영자에게 직접 영향을 주는 변경이 하나 있습니다. memory_limiter 프로세서가 연속 강제 GC 대신 지수 백오프로 전환되며, 상한을 두 개의 새 설정 필드로 제어할 수 있습니다. 그 외에 otlp_http 영구 오류 처리, 리시버 기동 순서, env 변수 nil 해석, 재시도 설정 유효성 검사도 수정됐습니다.

  • enhancementmemory_limiter GC 백오프, 새 설정 필드로 조정 가능

    memory_limiter 프로세서가 GC를 실행해도 효과가 없을 때(소프트 리밋 초과 상태 유지 + 회수율 5% 미만) 지수 백오프로 GC 호출을 줄입니다. 백오프 상한은 max_gc_interval_when_soft_limited와 max_gc_interval_when_hard_limited로 조정하며, 기본값은 각각 30s입니다. GC 빈도를 직접 조정해온 환경이라면 이 두 필드를 검토하세요.

주요 변경 (7)
  • memory_limiter 프로세서: 비효율적인 GC에 지수 백오프 적용. 상한은 max_gc_interval_when_soft_limited·max_gc_interval_when_hard_limited(기본값 각 30s)로 제어
  • otlp_http 익스포터: 잘린 2xx 응답 바디 파싱 오류를 영구 오류로 처리해 재시도 시 중복 전송 방지
  • pkg/service: 모든 컴포넌트 시작 완료 후 리시버를 기동하도록 수정(OTLP 등 구현 공유 리시버의 레이스 조건 해소)
  • env 프로바이더: ${env:VAR:-} 구문에서 미설정 변수가 nil 대신 빈 문자열로 해석되도록 수정
  • configretry BackOffConfig 필드, Enabled 플래그와 무관하게 항상 유효성 검사
  • memory_limiter 프로세서가 componentstatus 헬스 이벤트를 발행하도록 개선
  • mdatagen 개선: 리소스 속성에 안정성 레벨·시맨틱 컨벤션 참조 추가, go_struct에 field_name 옵션, enum 유효성 검사기 지원, 기본 타입 내보내기 스키마에 명명된 Go 타입 생성
원문

Lima

Kubernetes Core2026년 7월 3일

Lima v2.1.4는 몇 가지 버그 수정과 nerdctl 업데이트, CLI 및 템플릿 소소한 개선을 담은 통상적인 패치 릴리스입니다. 주요 변경이나 보안 수정, 지원 중단 항목은 없습니다.

주요 변경 (5)
  • 버그 수정: xorrisofs 플래그를 xorrisofs 명령에만 추가하도록 수정
  • 버그 수정: macOS에서 hvf를 사용할 수 없을 때 QEMU가 tcg로 대체되도록 수정
  • 의존성: nerdctl을 v2.3.3에서 v2.3.4로 업데이트
  • 템플릿 업데이트, freebsd-15 템플릿이 9p 마운트를 지원
  • 기능 개선: limactl network list --json 출력에 네트워크 이름 포함
원문

Open Policy Agent (OPA)

Security2026년 7월 2일

OPA v1.18.2는 `opa fmt` 포맷터의 회귀 버그를 되돌린 패치입니다. v1.18.0 이후 포맷이 완료된 정책 파일에서도 불필요한 변경이 발생했다면, 이 버전으로 업그레이드하면 해결됩니다.

주요 변경 (1)
  • `opa fmt`에서 단일 항목 컬렉션(배열, 객체, 셋)을 항상 여러 줄로 펼치던 회귀 버그(v1.18.0 도입) 수정: 이미 올바르게 포맷된 정책에 불필요한 diff가 생기던 문제 해소
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.35.5는 두 가지 버그 수정만 담긴 패치 릴리스입니다. 재시작 후 ImageRef가 달라지는 문제와 gomaxprocs hook의 CPU 계산 오류가 수정되었으며, 브레이킹 체인지나 보안 수정, API 변경은 없습니다.

주요 변경 (2)
  • CRI-O 재시작 후 컨테이너 상태의 ImageRef가 repo@digest에서 raw 이미지 ID로 바뀌던 버그 수정
  • gomaxprocs hook이 워크로드 파티셔닝을 무시하도록 변경하고, 요청 CPU 수의 2배를 최소값으로 설정해 Go 스케줄러 스로틀링 완화
원문
이전 →
월별 보기