RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

gRPC

Networking & Messaging2026년 7월 2일

gRPC 1.82.0은 Core, PHP, Python, Ruby 전반의 자잘한 수정을 모은 루틴 릴리스이며 보안 이슈나 파괴적 변경은 없습니다. 눈에 띄는 부분은 xDS의 프로토콜 추가 두 가지(A85 ORCA-to-LRS, A114 가중 라운드로빈)와 다수의 소소한 버그 수정입니다.

주요 변경 (8)
  • CVE, 破壊的 API 제거, deprecation 없음
  • xDS에 ORCA-to-LRS 전파(gRFC A85)와 커스텀 백엔드 메트릭 기반 가중 라운드로빈(A114) 지원 추가
  • 호출 자격 증명이 리전별 액세스 경계 정책 메타데이터를 조회하고 첨부할 수 있게 됨
  • Python aio 수정: -O 플래그 실행 시 CPU 100% 점유 문제 해결, fork된 자식 프로세스에서 채널을 닫지 않고 호출만 취소 가능
  • Ruby에 순수 Ruby 구현 호출 자격 증명 추가, 인터셉터가 의도대로 FIFO 순서로 실행되도록 수정
  • POSIX 소켓 코드에서 파일 디스크립터 0이 잘못 무효로 처리되던 문제 수정, 엔드포인트 종료 시 CFStream 콜백 등록 해제
  • PHP 확장 백포트에 PIE 지원 추가, Python aio call/metadata 모듈에 Pyright·Typeguard 타입 체크 적용
  • 그 외 abseil nullopt assertion을 잘못 발생시키던 RetryFilter 버그도 수정
원문

Harbor

Storage & Data2026년 7월 2일

Harbor v2.15.2는 blob-mount 토큰 검증 강화와 크립토/SMTP 정리를 포함한 보안 패치와, Redis에서 Valkey로의 캐시 백엔드 교체, Angular/Clarity UI 업그레이드 이후 다수 UI 버그 수정을 담은 유지보수 릴리스입니다.

  • securityblob-mount 토큰 검증 강화

    blob-mount 시 소스 프로젝트 검증과 iat 클레임 누락 토큰 거부 로직을 추가했습니다. 크로스 프로젝트 블롭 마운트 시 토큰 위조로 접근 권한이 우회될 수 있던 문제로, v2.15.2로 업그레이드하는 것을 권장합니다.

  • security크립토 사용 정리 및 미사용 SMTP 패키지 제거

    암호화 관련 코드를 정리하고 더 이상 쓰지 않는 SMTP 패키지를 제거했습니다. 직접적인 공격 벡터는 낮지만 공격 표면을 줄이는 조치입니다.

  • breaking캐시 백엔드가 Redis에서 Valkey로 전환

    캐시 백엔드가 Redis에서 Valkey로 교체되었습니다. Redis를 직접 설정하거나 별도 배포한 환경이라면 Valkey 기반 배치로 인프라와 설정을 갱신해야 합니다.

  • breakingYAML 라이브러리 교체(goccy/go-yaml)

    YAML 파싱 라이브러리가 gopkg.in/yaml.v2에서 github.com/goccy/go-yaml로 교체되었습니다. 내부 동작 변경으로 낮은 위험도지만 커스텀 YAML 처리나 확장을 쓰는 경우 동작 차이를 점검하세요.

  • breaking레지스트리 소스 태그를 v2.8.3-harbor.1로 고정

    레지스트리 이미지가 rc.5에서 안정 태그 v2.8.3-harbor.1로 전환되었습니다. 커스텀 레지스트리 이미지를 참조하는 배포라면 태그 참조를 갱신해야 합니다.

주요 변경 (7)
  • 보안: blob-mount 토큰 검증 강화(소스 프로젝트 검증, iat 누락 토큰 거부)
  • 보안: 크립토 사용 정리 및 미사용 SMTP 패키지 제거
  • 캐시 백엔드를 Redis에서 Valkey로 교체
  • YAML 라이브러리를 goccy/go-yaml로, 레지스트리 소스를 v2.8.3-harbor.1로 교체
  • Harbor UI를 Angular 21, Clarity v18, Node.js v22로 업그레이드하며 체크박스, 다크 테마, i18n 등 다수 UI/UX 수정
  • 태그·아티팩트 변경 시 repository update_time이 갱신되지 않던 버그, Cosign tlog 검증 옵션 조정 등 부가 수정
  • 빌드 시스템 개선: openapi-generator-cli 다운로드 URL과 PIP_INDEX_URL 환경변수화, photon 베이스 이미지 재빌드, 2.15 빌드 분리 등 다수 잡음 수정
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.36.2는 gomaxprocs 훅의 CPU 할당 계산 방식을 고치는 일반 패치 릴리스입니다. Go 스케줄러가 스로틀링되는 문제를 줄였습니다. 보안 수정이나 호환성을 깨는 변경 사항은 없습니다.

주요 변경 (2)
  • gomaxprocs 훅이 주입 여부 판단 시 워크로드 파티셔닝을 더 이상 고려하지 않음
  • CPU 할당 계산 방식을 수정해 컨테이너가 요청 CPU 수의 최소 두 배를 받도록 변경, Go 스케줄러 스로틀링 완화
원문

CRI-O

Kubernetes Core2026년 7월 2일

CRI-O v1.34.10은 두 가지 버그를 고친 일반 패치입니다. gomaxprocs CPU 주입 로직 수정과 재시작 후 컨테이너 상태 ImageRef 형식이 달라지던 문제를 처리했으며, 보안·API·설정 변경은 없습니다.

주요 변경 (3)
  • gomaxprocs 훅이 CPU 설정 주입 여부를 결정할 때 워크로드 파티셔닝을 무시하도록 변경
  • gomaxprocs 계산이 요청 CPU 수의 최소 두 배를 보장해 Go 스케줄러 스로틀링 위험을 낮춤
  • CRI-O 재시작 후 컨테이너 상태의 ImageRef가 repo@digest 형식에서 원시 이미지 ID 해시로 바뀌던 버그 수정
원문

etcd

Kubernetes Core2026년 7월 1일

etcd v3.6.13은 --listen-client-http-urls를 설정한 클러스터에서 gRPC 리스너의 CRL 검사가 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 패치입니다. WebSocket bearer 토큰 인증 버그 수정과 v2-deprecation 플래그 옵션 추가도 포함됩니다.

  • securitygRPC 리스너 CRL 검사 우회 패치 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls를 설정한 클러스터에서는 gRPC 리스너가 CRL(인증서 폐기 목록) 검사를 수행하지 않아, 폐기된 클라이언트 인증서로도 인증이 통과될 수 있었습니다. 해당 플래그를 사용하는 환경이라면 v3.6.13으로 업그레이드하세요.

주요 변경 (3)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검사가 우회되던 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 버그 수정: bearer 접두사 토큰을 사용하는 WebSocket 인증 오류 해결
  • 기능 추가: --v2-deprecation 플래그에 write-only-skip-check 옵션을 추가해 v2 콘텐츠 검사 생략 가능
원문

etcd

Kubernetes Core2026년 7월 1일

etcd v3.5.32는 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 릴리스입니다. v2-deprecation 우회 옵션 추가와 버그 수정도 함께 포함되었습니다.

  • securitygRPC 리스너의 CRL 검증 우회 취약점 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls 플래그를 설정한 경우 gRPC 리스너에서 CRL 검증이 작동하지 않아 폐기된 인증서가 허용되었습니다. 해당 플래그와 mTLS, CRL을 함께 사용 중이라면 v3.5.32로 업그레이드하세요.

주요 변경 (6)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검증이 우회되던 문제 수정 (GHSA-3wh4-j44w-pg92)
  • --v2-deprecation 플래그에 write-only-skip-check 옵션 추가로 v2 콘텐츠 검사 우회 가능
  • 서버가 비관리자의 유지보수 상태 요청을 허용하도록 변경
  • etcdutl check v2store 명령이 v2 스냅샷과 WAL 레코드를 모두 검사하도록 개선
  • bearer 형식 토큰을 사용한 WebSocket 인증 버그 수정
  • 토큰 파싱 실패 시 JWT 토큰 내용이 로그에 남지 않도록 처리
원문

Prometheus

Observability2026년 7월 1일

Prometheus v3.13.0은 LTS 릴리스로, HIGH 등급 자격 증명 전달 취약점(CVE-2025-4673·CVE-2023-45289)과 MEDIUM 등급 XSS(CVE-2026-44990) 수정이 핵심이며, 페이지네이션 토큰·경로 해석·PromQL 기간 함수명·라이선스 파일 배포 방식 등 네 가지 파괴적 변경과 다수의 신기능 및 성능 개선이 함께 포함됩니다.

  • securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단

    리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.

  • securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)

    UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.

  • breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경

    룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.

  • breaking--http.config.file 상대 경로 기준 디렉터리 변경

    --http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.

  • breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경

    experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.

  • breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동

    릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.

주요 변경 (8)
  • HIGH 보안: 교차 호스트 리다이렉트 시 자격 증명 전달 중단, CVE-2025-4673·CVE-2023-45289 대응 (prometheus/common v0.69.0)
  • MEDIUM 보안: sanitize-html 업데이트로 UI XSS 취약점 CVE-2026-44990 수정
  • 파괴적 변경: 룰 그룹 페이지네이션 토큰이 SHA-256으로 바뀌어 이전 토큰과 호환되지 않음
  • 파괴적 변경: --http.config.file 내 상대 경로 기준이 부모 디렉터리에서 설정 파일 디렉터리로 변경
  • 파괴적 변경: 기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경 (experimental-duration-expr 플래그 사용 시)
  • 파괴적 변경: npm_licenses.tar.bz2가 tarball/이미지에서 제거되고 바이너리 내 /assets/third-party-licenses.txt로 대체
  • 신기능: 메트릭 이름·레이블 이름·레이블 값에 대한 실험적 API 검색 엔드포인트, AWS RDS 필터링, Scaleway VPC/IPAM 전용 인스턴스 지원, 네이티브 히스토그램 smoothed/anchored rate, 쿼리별 samplesRead 통계, Azure Monitor Workspace 인증서 지원, ghcr.io 이미지 배포
  • 성능: 대소문자 무시 전위 매칭 최대 약 2배 빠른 속도, 청크 쓰기 샘플 오버헤드 약 12-15% 감소, V2 히스토그램 WAL 디코더 할당량 최대 50% 감소(created-timestamp 활성 시 메모리 최대 10% 절감); PromQL 패닉 및 TSDB 손상 다수 수정 포함
원문

Longhorn

Storage & Data2026년 7월 1일

Longhorn v1.11.3은 볼륨 동작, 백업, 인스턴스 관리 전반에 걸친 10여 건의 안정성 문제를 해결한 버그픽스 롤업입니다. CSI external provisioner가 v6.3.0으로 올라가, v1.10.x 또는 v1.11.0에서 업그레이드하려면 Kubernetes v1.34 이상이 선행되어야 합니다.

  • breakingv1.10.x 또는 v1.11.0에서 업그레이드 시 Kubernetes v1.34+ 필요

    CSI external provisioner가 v6.3.0으로 올라가면서 Kubernetes v1.34 이상이 필요합니다. Longhorn v1.10.x 또는 v1.11.0에서 업그레이드할 경우, Longhorn을 먼저 올리기 전에 클러스터의 Kubernetes 버전을 v1.34+로 맞춰야 합니다.

주요 변경 (7)
  • CSI external provisioner v6.3.0으로 상향: v1.10.x 또는 v1.11.0에서 업그레이드 전 Kubernetes v1.34+ 확인 필수
  • iscsid 재시작 후 V1 볼륨이 동작 불가 상태로 남는 문제(PVC 리사이즈 실패 포함) 수정
  • 레플리카 리빌드 중 longhorn-instance-manager에서 nil 포인터 역참조 패닉 수정
  • 반복 trim 작업 실패를 유발하던 데드락, 그리고 볼륨 확장이 멈추는 문제 각각 수정
  • 대상 노드가 ready 상태로 전환 중일 때 마이그레이션 엔진이 삭제되던 문제 수정
  • NetApp 어플라이언스에서 S3 백업 실패, System Backup RecurringJob이 최신 CR을 잘못 삭제하던 문제 수정
  • BackupController 백업 삭제 중 longhorn-manager 패닉, 서포트 번들·웹훅 폴링의 HTTP 응답 바디 누수, 스케일 환경에서 webhook TLS Secret 경합 수정
원문

Istio

Networking & Messaging2026년 7월 1일

Istio 1.28.10은 단일 버그 수정을 담은 일반 패치입니다. krt 컨트롤러에서 Fetch 필터 키가 변경될 때 역방향 인덱스 항목이 누적되던 메모리 누수가 해결되었습니다.

주요 변경 (1)
  • krt 컨트롤러에서 Fetch 필터 키가 바뀔 때(예: 파드를 다른 웨이포인트로 재레이블링) 오래된 역방향 인덱스 항목이 정리되지 않고 남아 메모리가 계속 증가하고 불필요한 재계산이 발생하던 메모리 누수 수정
원문
← 최신
월별 보기