RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

Envoy

Networking & Messaging어제2026년 7월 14일

Envoy v1.39.0은 keyUsage 강제 필수화, DLB 밸런서 비활성화, TLS inspector 검증 강화, OTel 샘플링 동작 변경 등 여러 주요 변경 사항과, HTTP/2, HTTP/3, ext_authz, ext_proc, OAuth2, DNS 등 여러 하위 시스템에 걸친 약 20건의 medium 등급 CVE 수정을 함께 담은 대규모 릴리스입니다. dynamic modules 확장 포인트와 AI 프로토콜용 스트리밍 JSON 파서 등 비조치성 기능 및 성능 개선도 다수 포함되어 있습니다.

  • security핵심 프로토콜과 확장 기능 전반에 걸친 대규모 CVE 수정

    이번 릴리스는 HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸쳐 약 20건의 CVE를 수정했으며, 릴리스 노트 기준 모두 medium 등급입니다. 대표적으로 HTTP/2 cookie 기반 헤더 제한 우회(CVE-2026-47774), HTTP/3 QPACK 블로킹 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제 시 메모리 고갈(CVE-2026-48044)이 있습니다. 수정 사항은 v1.39.0에 포함됩니다.

  • securityOAuth2 쿠키 암호화가 AES-256-GCM으로 전환(선택적 마이그레이션)

    OAuth2에 CVE-2026-47775 대응을 위한 AES-256-GCM 쿠키 암호화가 추가되었습니다. 마이그레이션은 선택적으로 진행되며, oauth2_use_gcm_encryption을 활성화하고 oauth_legacy_cbc_decrypt 지표를 모니터링한 뒤, 레거시 복호화가 더 이상 관측되지 않으면 oauth2_legacy_cbc_decrypt_compat을 비활성화하는 단계로 이뤄집니다.

  • breaking인증서 keyUsage 강제 적용이 필수화됨

    Envoy는 인증서의 keyUsage 확장을 항상 강제하도록 바뀌었고, enforce_rsa_key_usage 필드는 지원 중단되어 무시됩니다. v1.39.0부터 무조건 적용되므로, 느슨한 검증에 의존하던 인증서는 검증에 실패할 수 있습니다.

  • breakingDLB 커넥션 밸런서가 모든 빌드에서 비활성화됨

    Intel DLB 커넥션 밸런서(envoy.network.connection_balance.dlb)는 소스 아카이브 손상으로 모든 빌드에서 비활성화되었습니다. 이 확장을 사용하는 환경에 해당합니다.

  • breakingTLS inspector가 범위를 벗어난 클라이언트 TLS 버전을 거부

    TLS inspector가 클라이언트 TLS 버전이 1.0에서 1.3 사이인지 검증하며, 범위를 벗어나면 거부합니다. v1.39.0에서는 무조건 적용되지만 envoy.reloadable_features.tls_inspector_enforce_client_tls_version으로 되돌릴 수 있습니다.

  • breakingOTel 트레이싱이 Envoy 자체 샘플링 결정을 우선함

    OpenTelemetry 트레이서가 전파된 트레이스 컨텍스트나 설정된 샘플러가 샘플링을 요청하더라도, overall_sampling을 포함한 Envoy 자체의 요청 단위 샘플링 결정을 우선하도록 바뀌었습니다. 다운스트림이나 컨텍스트 기반 샘플링 결정이 Envoy 설정보다 우선되는 것에 의존하던 환경에 해당하며, 내보내는 스팬 수가 줄어들 수 있습니다.

주요 변경 (8)
  • HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸친 약 20건의 medium 등급 CVE 수정. 대표적으로 CVE-2026-47774(HTTP/2 cookie 헤더 제한 우회), GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS), CVE-2026-48044(Zstd 메모리 고갈)
  • OAuth2에 AES-256-GCM 쿠키 암호화 추가(CVE-2026-47775), 레거시 CBC 복호화에서 선택적 단계 마이그레이션 가능
  • 인증서 keyUsage 강제 적용 필수화(enforce_rsa_key_usage 지원 중단). TLS inspector가 1.0~1.3 범위를 벗어난 클라이언트 TLS 버전을 거부
  • Intel DLB 커넥션 밸런서 확장이 소스 아카이브 손상으로 모든 빌드에서 비활성화
  • OpenTelemetry 트레이서가 overall_sampling을 포함한 Envoy 자체 샘플링 결정을 우선하게 되어, 내보내는 스팬 수가 줄어들 수 있음
  • 통합 DNS 클러스터 구현이 기본값으로 활성화되어, c-ares 리졸버와 qcache를 클러스터 간에 공유할 수 있음
  • HeaderMatcher가 개별로 전달된 헤더 값을 쉼표로 결합한 형태뿐 아니라 개별적으로 매칭하도록 변경(기능 게이트로 되돌릴 수 있음)
  • 비조치 항목으로는 dynamic modules 확장 포인트와 Rust SDK, MCP/A2A/OpenAI/Anthropic용 신규 Wuffs 기반 스트리밍 JSON 파서, 대역폭 공유 및 서브 필터 체인용 신규 HTTP 필터, CNSA/포스트 퀀텀 TLS 정책, io_uring 및 SO_REUSEPORT BPF 성능 개선, 커넥션 풀 재진입 문제와 DNS 리졸버 누수 등 다수의 버그 수정이 포함됨
원문

Backstage

CI/CD & App Delivery어제2026년 7월 14일

Backstage v1.53.0은 SSE MCP 전송 제거, config-loader 타입 검증 강화, OAuth 리다이렉트 URI 검증 강화, OpenAPI 도구 전환(Optic → oasdiff) 등 다수의 주요 변경을 포함한 기능 릴리스입니다. 보안 수정은 없으나 7개의 주요 breaking change가 있으므로 마이그레이션이 필요합니다. 동시에 13개 이상의 버그 수정과 Breadcrumbs 프레임워크 추가, CIMD 구성 안정화 등의 개선사항이 포함되어 있습니다.

  • breakingSSE MCP 전송 제거

    SSE 기반 MCP 전송이 제거되었습니다. `@backstage/plugin-mcp-actions-backend`를 사용 중이라면 스트리밍 엔드포인트 기반 구현으로 마이그레이션하세요.

  • breakingconfig-loader 타입 검증 강화

    TypeScript로 선언된 구성 스키마가 이제 `@backstage/config-loader`에서 임포트된 타입을 검증합니다. 이전에는 검증되지 않던 타입이 로드 실패를 일으킬 수 있으므로, 스키마의 타입 임포트를 확인하세요.

  • breakingOAuth 리다이렉트 URI 검증 강화

    `@backstage/plugin-auth-backend`의 OAuth 리다이렉트 URI 검증이 더 엄격해졌습니다. 와일드카드가 호스트와 경로 경계를 넘지 않으며, `http://localhost:*`는 이제 루트 경로만 매칭합니다. 모든 경로를 허용하려면 `http://localhost:*/*`로 변경하세요. 임베드된 자격증명을 포함한 리다이렉트 URI는 거부됩니다.

  • breakingEntityContextMenuItemBlueprint API 변경

    Catalog 플러그인의 `EntityContextMenuItemBlueprint` API가 변경되었습니다. 렌더링된 MUI 요소 대신 메뉴 항목 데이터를 출력하며, `icon` 타입이 `IconElement`로 변경되었습니다. 해당 API를 사용 중이라면 코드를 업데이트하세요.

  • breaking프록시 에이전트 부트스트랩 제거

    `@backstage/cli-common`에서 `bootstrapEnvProxyAgents`가 제거되었으며 `global-agent` 및 `undici` 의존성이 삭제되었습니다. 수동으로 프록시 에이전트를 부트스트랩하려면 `NODE_USE_ENV_PROXY` 환경 변수를 사용하세요.

  • breakingOpenAPI 도구: Optic에서 oasdiff로 전환

    `@backstage/repo-tools`에서 Optic이 oasdiff로 대체되었습니다. OpenAPI 주요 변경 감지 스크립트가 oasdiff를 사용하도록 업데이트하세요.

  • breakingOpenAPI 스키마 명령 및 함수 제거

    `package schema openapi init`, `repo schema openapi test` 명령과 `wrapInOpenApiTestServer` 함수가 제거되었습니다. 런타임 검증은 `@backstage/backend-openapi-utils/testUtils`의 `wrapServer`로 대체되어 있습니다.

주요 변경 (9)
  • SSE MCP 전송 제거: HTTP 스트리밍 기반 구현으로 마이그레이션 필요
  • config-loader 타입 검증 강화: 무효한 스키마 임포트는 로드 실패
  • OAuth 리다이렉트 URI 검증 강화: 와일드카드 호스트/경로 경계 분리, 자격증명 거부
  • EntityContextMenuItemBlueprint API 변경: 렌더링된 요소에서 데이터 출력으로
  • 프록시 에이전트 부트스트랩 제거: NODE_USE_ENV_PROXY 환경 변수 사용
  • OpenAPI 도구 전환: Optic → oasdiff, 명령 제거 (wrapServer로 대체)
  • TechDocs 메타데이터 루프 버그 수정, Scaffolder 필터 관련 여러 버그 해결
  • Breadcrumbs 프레임워크 추가, TextAreaField 컴포넌트 신규, BACKSTAGE_ENV 쉼표 구분 지원
  • 인증 CIMD 구성 안정화: auth.experimentalClientIdMetadataDocuments → auth.clientIdMetadataDocuments, 토큰 폐기 지원 추가
원문

CoreDNS

Kubernetes Core2026년 7월 10일

CoreDNS v1.14.5는 DoH/DoH3 전송, Forward 구성, dnstap/file/secondary/transfer 견고성을 개선한 유지보수 릴리스입니다. TLS 기본값, DoQ 타임아웃 처리, Per-upstream 읽기 타임아웃 설정 등 세 가지 동작 변경이 포함되므로 업그레이드 전에 구성을 확인하세요.

  • breakingTLS 기본값이 Go 표준으로 변경

    Go의 기본 TLS 설정으로 변경됩니다. 기존에 커스텀 TLS 구성에 의존했다면 동작을 확인하세요.

  • breakingDoQ 스트림 읽기에 타임아웃 적용

    DoQ 스트림 읽기가 서버 읽기 타임아웃으로 제한됩니다. DoQ를 사용 중이면 읽기 타임아웃 설정을 검토하세요.

  • breakingForward 플러그인 빈 설정 파일 처리 복구

    Forward 플러그인이 설정 파일이 비어 있을 때 계속 진행하도록 복구되었습니다. 이전에 오류 동작에 의존했다면 설정을 재검토하세요.

주요 변경 (8)
  • TLS 기본값을 Go 표준으로 변경
  • DoQ 스트림 읽기에 서버 읽기 타임아웃 적용
  • Forward 플러그인의 빈 설정 파일 처리 복구 (이전 동작 복원)
  • Forward 플러그인에 DoH 지원 추가
  • Per-upstream 읽기 타임아웃 구성 가능
  • Transfer 플러그인에서 범위가 지정된 IPv6 주소 지원 및 Notify 소스 주소 구성 추가
  • Plugin/dnstap 연결 재접속 안정성 개선, Plugin/file SOA 처리 개선, Plugin/secondary 카탈로그 존 구문 분석 추가
  • 약 13개의 추가 버그 수정: Join 패닉, 캐시 AD 비트, dnstap 데드락, AXFR 패닉, nil 포인터 패닉, 데이터 레이스 등
원문

SPIRE

Security2026년 7월 9일

SPIRE v1.15.2는 docker 의존성을 moby로 전환하여 CVE를 해결하고, 위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출을 차단한 보안 패치입니다. 다양한 기능 추가와 대규모 배포 성능 최적화도 포함되어 있습니다.

  • securitydocker→moby 의존성 마이그레이션으로 CVE 해결

    docker/docker 의존성을 moby/moby로 전환하여 여러 CVE를 해결했습니다. v1.15.2로 업그레이드하세요.

  • breaking위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출 차단

    관리자 또는 다운스트림 항목을 사용하는 위임된 ID API 환경에서 JWT-SVID가 더 이상 제공되지 않습니다. 위임된 API를 사용 중이면 업그레이드 후 클라이언트 코드를 검토하세요.

주요 변경 (6)
  • 보안: docker/docker를 moby/moby로 마이그레이션하여 CVE 해결
  • breaking: 위임된 ID API가 관리자/다운스트림 항목에 대한 JWT-SVID 제공 중단
  • 향상: JWT-SVID에 JTI 클레임 포함 옵션, 호출자별 요청 제한(실험), Prometheus 메트릭 엔드포인트 TLS 지원
  • 향상: SPIFFE Broker 엔드포인트/API 신규 도입, x509pop 노드 증명자에서 클라이언트 인증서 IP 검증 추가
  • 성능: 대규모 배포에서 증명된 노드 대량 조회로 데이터베이스 부하 감소, MySQL 항목 조회 쿼리 최적화
  • 그 외 다수 버그 수정 및 기능 개선: Azure IMDS 증명 검증, CA 저널 안정성, 이벤트 캐시, Windows SE_DEBUG_PRIVILEGE, GCP KMS 공개 키 조회
원문

TiKV

Storage & Data2026년 7월 9일

TiKV/TiDB v8.5.7은 max_ts 유효성 검증 기본 거부, 옵티마이저 IndexMerge 자동화, TiDB Lightning 웹 인터페이스 제거 등 몇 가지 동작 변경을 포함한 패치이며, 서드파티 의존성 보안 업데이트와 함께 CPU 인지 핫 리전 스케줄링, 부분 인덱스 등 신규 기능과 다수의 성능/버그 수정을 담고 있습니다.

  • securityTiKV 서드파티 의존성 보안 패치

    업그레이드 대상이 명확히 밝혀지지 않은 TiKV 8.5용 서드파티 의존성 다수를 보안 및 안정성 목적으로 업데이트했습니다. 취약 패키지를 쓰고 있었다면 업그레이드로 해결됩니다.

  • breakingmax_ts 유효성 검증 실패 시 기본적으로 거부

    storage.max-ts.action-on-invalid-update의 기본 동작이 로그 기록에서 요청 거부로 바뀝니다. 업그레이드 전 동작 유지가 필요하면 해당 옵션을 log로 명시하세요.

  • breakingTiDB Lightning 웹 인터페이스 제거

    TiDB Lightning 웹 인터페이스가 완전히 제거됐습니다. 앞으로는 tidb-lightning 명령줄 도구와 체크포인트/트러블슈팅용 tidb-lightning-ctl을 사용해야 합니다.

  • breakingIndexMerge 자동 고려 옵션 기본 활성화

    옵티마이저 fix control 52869가 기본으로 활성화되어 대체 인덱스가 있을 때 IndexMerge를 자동으로 고려합니다. 일부 쿼리의 실행 계획이 바뀔 수 있으니 주요 쿼리의 플랜을 점검하세요.

  • breakingNOT NULL 컬럼 NULL 삽입 검증 강화

    INSERT 문에서 NOT NULL 컬럼에 명시적으로 NULL을 쓰는 경우 tidb_enable_strict_not_null_check가 기본값 ON으로 엄격하게 검증합니다. 기존에 이런 패턴에 의존하던 애플리케이션은 오류가 발생할 수 있습니다.

  • breaking백그라운드 리소스 컨트롤 메트릭 집계 방식 변경

    TiKV 백그라운드 리소스 컨트롤 메트릭이 resource_group 레이블 없이 전체 집계되는 전역 레이트 리미터 방식으로 바뀝니다. resource_group별로 필터링하던 대시보드와 알림 규칙을 업데이트해야 합니다.

주요 변경 (8)
  • 보안: TiKV 8.5용 서드파티 의존성 다수 업데이트(개별 CVE 미공개)
  • 동작 변경: max_ts 유효성 검증 실패 시 기본적으로 요청 거부(기존은 로그만 기록)
  • 제거: TiDB Lightning 웹 인터페이스, 이후 CLI 도구(tidb-lightning, tidb-lightning-ctl)만 지원
  • 기본값 변경: 옵티마이저 fix control 52869 활성화로 IndexMerge 자동 고려, 쿼리 플랜 변경 가능성
  • 기본값 변경: 백그라운드 리소스 컨트롤 메트릭이 resource_group 레이블 없이 집계, 대시보드/알림 수정 필요
  • 신규 기능: CPU 인지 핫 리전 스케줄링, 부분 인덱스(partial index), TiCDC 테이블 라우팅, max_user_connections 변수
  • deprecated: tidb_enable_telemetry 및 텔레메트리 기능, PD split-scatter 기본 비활성화 등 다수의 저위험 기본값 변경
  • 버그 수정 다수: TiKV 메모리 증가 및 resolved_ts 메모리 과다 사용, PD 리소스 컨트롤 레이트 리미팅 약화, BR 로그 백업 행, TiCDC Kafka 누수 등
원문

cert-manager

Security2026년 7월 8일

cert-manager 1.21.0은 RBAC와 Helm 기본값을 조이는 세 가지 주요 변경(보안 권한 축소 포함)을 담은 강화 릴리스로, ARI와 Vault AWS IAM 인증 같은 새 기능도 함께 들어왔습니다. Helm values를 커스터마이즈했거나 Challenge/Order를 직접 다루는 도구가 있다면 업그레이드 전에 반드시 변경 사항을 확인해야 합니다.

  • securitycert-manager-edit ClusterRole 권한 축소 보안 수정

    cert-manager-edit 어그리게이트 ClusterRole에서 challenges.acme.cert-manager.io에 대한 create 권한과 orders.acme.cert-manager.io에 대한 create/patch/update 권한이 제거되었습니다(GHSA-8rvj-mm4h-c258). Challenge나 Order 리소스를 직접 생성하는 자동화나 도구가 있다면 별도 RBAC를 부여해야 동작이 유지됩니다.

  • breaking기본 tokenrequest RBAC 제거

    Helm 차트가 더 이상 컨트롤러 ServiceAccount에 대한 serviceaccounts/token: create 권한을 부여하는 기본 Role/RoleBinding을 생성하지 않습니다. serviceAccountRef.name으로 컨트롤러 ServiceAccount를 직접 참조하는 문서화되지 않은 구성을 쓰고 있다면 업그레이드 후 토큰 발급이 실패할 수 있습니다.

  • breakingPrometheus 관련 Helm values 제거

    Helm 값 prometheus.servicemonitor.targetPort, prometheus.servicemonitor.path, prometheus.podmonitor.path가 제거되었습니다. 관련 메트릭 포트도 tcp-prometheus-servicemonitor에서 http-metrics로 이름이 바뀌었습니다. values 오버라이드에 이 키들이 남아 있으면 업그레이드 시 스키마 검증 오류가 발생하므로 values 파일을 미리 정리해야 합니다.

주요 변경 (8)
  • 보안: cert-manager-edit ClusterRole에서 Challenge/Order 생성 권한 제거(GHSA-8rvj-mm4h-c258)
  • 주요 변경: 컨트롤러 ServiceAccount용 기본 tokenrequest RBAC(Role/RoleBinding) 제거
  • 주요 변경: prometheus.servicemonitor/podmonitor 관련 Helm values 제거, 메트릭 포트명이 http-metrics로 변경
  • 신규 기능: ACME Renewal Information(ARI, RFC 9773) 실험 지원, Vault 이슈어의 AWS IAM 인증(IRSA/EKS Pod Identity) 지원
  • 신규 기능: Gateway API용 http01-parentreffallback 및 ignore-tls-listeners 어노테이션, Certificate API의 renewalPolicies 필드 추가
  • 사용 중단: enableGatewayAPI/enableGatewayAPIListenerSet 및 ServerSideApply 피처 게이트가 각각 gatewayAPI.enabled 계열과 SSA 상시 사용으로 대체 예정(당분간 동작은 유지)
  • 버그 수정 다수: renewBeforePercentage 정수 오버플로, 만료된 인증서 재발급 무한 루프, ACME 임시 네트워크 오류 처리, DNS 이슈어 시크릿 사전 검증 등 안정성 개선
  • 기타: 베이스 이미지 Debian 13으로 갱신, 신규 Modern2026 PKCS#12(FIPS 140-3) 프로파일 추가, 더 이상 쓰지 않는 ObjectReference 타입 정리
원문

Thanos

Observability2026년 7월 8일

Thanos v0.42.0은 grpc/authz의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)을 고친 보안 릴리스이면서, Receive와 Store의 플래그 제거를 포함한 여러 breaking change와 새로운 TLS/암호 설정 옵션을 함께 담은 혼합 성격의 업데이트입니다.

  • securitygRPC 인가 우회 취약점 패치(CVE-2026-33186, CVSS 9.1)

    조작된 :path 헤더로 grpc/authz 인터셉터의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)이 thanos-community/grpc-go 포크에서 발견되어 이번 버전에서 패치되었습니다. grpc/authz로 경로 기반 접근 제어를 하는 환경은 즉시 업그레이드하세요.

  • breakingReceive: --shipper.ignore-unequal-block-size 제거

    Receive의 --shipper.ignore-unequal-block-size 플래그가 제거되었습니다. TSDB가 shipper의 블록 업로드 완료까지 컴팩션을 지연시켜, 데이터 손실 위험 없이 업로드 중 컴팩션이 가능해진 데 따른 변경입니다. 이 플래그를 사용 중이면 설정에서 제거해야 합니다.

  • breakingStore: --debug.advertise-compatibility-label 제거

    Store의 --debug.advertise-compatibility-label 플래그가 제거되어, 기본적으로 @thanos_compatibility_store_type=store 외부 레이블을 더 이상 광고하지 않습니다. v0.8.0 이전 Thanos Query와의 호환성이 깨지므로, 오래된 Query 컴포넌트와 연동 중이면 업그레이드 순서를 검토하세요.

  • breakingQuery-Frontend: time_taken 필드가 time_taken_ms로 변경

    Query-Frontend의 응답 JSON 필드명이 time_taken에서 time_taken_ms로 바뀌었습니다. 로그 수집기나 이 필드를 파싱하는 도구가 있다면 필드명을 갱신해야 합니다.

주요 변경 (7)
  • 보안: 조작된 :path 헤더로 grpc/authz의 deny 규칙을 우회하는 CVSS 9.1 취약점(CVE-2026-33186) 패치, thanos-community/grpc-go 포크 업데이트로 해결
  • breaking: Receive --shipper.ignore-unequal-block-size 제거(TSDB가 shipper 업로드 완료까지 컴팩션 지연)
  • breaking: Store --debug.advertise-compatibility-label 제거로 구버전 Query(v0.8.0 이전)와 호환성 단절
  • breaking: Query-Frontend JSON 필드 time_taken → time_taken_ms 이름 변경
  • 모든 gRPC 서버에 KeepaliveEnforcementPolicy MinTime 10s 적용(클라이언트 keepalive 간격과 일치)
  • gRPC/Remote-write 서버에 TLS 암호 스위트·커브 설정 플래그 추가, Query에 엔드포인트별 TLS 설정 지원 등 보안 강화 옵션 다수 도입
  • Receive의 탐리버설 방지를 위한 테넌트 ID 검증, 503 재시작 오류 수정 등 다수 버그 수정, 이 외에도 Query-Frontend 패닉 수정과 exemplar 프록시 레이블 처리 등 자잘한 수정 다수
원문

gRPC

Networking & Messaging2026년 7월 8일

gRPC v1.82.1은 파이썬 protobuf 의존성 하한을 7.35.1로 올린 것 외에는 별다른 변경이 없는 routine 패치 릴리스입니다. 다만 protobuf 6.x에 고정된 환경에서는 업그레이드 전 확인이 필요합니다.

  • breakingprotobuf 최소 버전 7.35.1로 상향

    파이썬용 gRPC가 protobuf 최소 버전 요구치를 6.33.5에서 7.35.1로 올렸습니다. protobuf를 6.x 버전대에 고정해둔 프로젝트는 이번 gRPC 업그레이드 시 의존성 충돌이 발생하므로, protobuf도 7.35.1 이상으로 함께 올려야 합니다.

주요 변경 (1)
  • protobuf 의존성 하한선을 6.33.5에서 7.35.1로 상향 (하위 호환성 깨짐)
원문

Flux

CI/CD & App Delivery2026년 7월 7일

Flux v2.9.1은 post-build 변수 치환이 Flux CRD 스키마를 손상시킬 수 있던 중대 버그를 고친 패치 릴리스입니다. SOPS .ini 복호화와 드라이런 병합 패치 오류도 함께 수정되었으며, 새로운 기능 변경이나 보안 취약점은 없습니다.

  • breakingCRD 스키마 손상 버그 수정

    post-build 변수 치환이 활성화된 Kustomization에서 ${...} 패턴이 Flux 자체의 CRD 스키마 필드와 일치하면 CRD가 손상될 수 있었습니다. v2.9.1에서는 `kustomize.toolkit.fluxcd.io/substitute: disabled` 주석으로 Flux CRD를 보호하도록 수정했습니다. post-build 치환을 사용 중이라면 업그레이드하세요.

주요 변경 (3)
  • CRD 스키마 손상 수정: post-build 변수 치환으로 인한 Flux CRD 필드 덮어쓰기 방지
  • SOPS .ini 복호화 오류 수정
  • 드라이런 전략적 병합 패치 오류 수정
원문

Harbor

Storage & Data2026년 7월 2일

Harbor v2.15.2는 blob-mount 토큰 검증 강화와 크립토/SMTP 정리를 포함한 보안 패치와, Redis에서 Valkey로의 캐시 백엔드 교체, Angular/Clarity UI 업그레이드 이후 다수 UI 버그 수정을 담은 유지보수 릴리스입니다.

  • securityblob-mount 토큰 검증 강화

    blob-mount 시 소스 프로젝트 검증과 iat 클레임 누락 토큰 거부 로직을 추가했습니다. 크로스 프로젝트 블롭 마운트 시 토큰 위조로 접근 권한이 우회될 수 있던 문제로, v2.15.2로 업그레이드하는 것을 권장합니다.

  • security크립토 사용 정리 및 미사용 SMTP 패키지 제거

    암호화 관련 코드를 정리하고 더 이상 쓰지 않는 SMTP 패키지를 제거했습니다. 직접적인 공격 벡터는 낮지만 공격 표면을 줄이는 조치입니다.

  • breaking캐시 백엔드가 Redis에서 Valkey로 전환

    캐시 백엔드가 Redis에서 Valkey로 교체되었습니다. Redis를 직접 설정하거나 별도 배포한 환경이라면 Valkey 기반 배치로 인프라와 설정을 갱신해야 합니다.

  • breakingYAML 라이브러리 교체(goccy/go-yaml)

    YAML 파싱 라이브러리가 gopkg.in/yaml.v2에서 github.com/goccy/go-yaml로 교체되었습니다. 내부 동작 변경으로 낮은 위험도지만 커스텀 YAML 처리나 확장을 쓰는 경우 동작 차이를 점검하세요.

  • breaking레지스트리 소스 태그를 v2.8.3-harbor.1로 고정

    레지스트리 이미지가 rc.5에서 안정 태그 v2.8.3-harbor.1로 전환되었습니다. 커스텀 레지스트리 이미지를 참조하는 배포라면 태그 참조를 갱신해야 합니다.

주요 변경 (7)
  • 보안: blob-mount 토큰 검증 강화(소스 프로젝트 검증, iat 누락 토큰 거부)
  • 보안: 크립토 사용 정리 및 미사용 SMTP 패키지 제거
  • 캐시 백엔드를 Redis에서 Valkey로 교체
  • YAML 라이브러리를 goccy/go-yaml로, 레지스트리 소스를 v2.8.3-harbor.1로 교체
  • Harbor UI를 Angular 21, Clarity v18, Node.js v22로 업그레이드하며 체크박스, 다크 테마, i18n 등 다수 UI/UX 수정
  • 태그·아티팩트 변경 시 repository update_time이 갱신되지 않던 버그, Cosign tlog 검증 옵션 조정 등 부가 수정
  • 빌드 시스템 개선: openapi-generator-cli 다운로드 URL과 PIP_INDEX_URL 환경변수화, photon 베이스 이미지 재빌드, 2.15 빌드 분리 등 다수 잡음 수정
원문

Prometheus

Observability2026년 7월 1일

Prometheus v3.13.0은 LTS 릴리스로, HIGH 등급 자격 증명 전달 취약점(CVE-2025-4673·CVE-2023-45289)과 MEDIUM 등급 XSS(CVE-2026-44990) 수정이 핵심이며, 페이지네이션 토큰·경로 해석·PromQL 기간 함수명·라이선스 파일 배포 방식 등 네 가지 파괴적 변경과 다수의 신기능 및 성능 개선이 함께 포함됩니다.

  • securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단

    리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.

  • securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)

    UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.

  • breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경

    룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.

  • breaking--http.config.file 상대 경로 기준 디렉터리 변경

    --http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.

  • breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경

    experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.

  • breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동

    릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.

주요 변경 (8)
  • HIGH 보안: 교차 호스트 리다이렉트 시 자격 증명 전달 중단, CVE-2025-4673·CVE-2023-45289 대응 (prometheus/common v0.69.0)
  • MEDIUM 보안: sanitize-html 업데이트로 UI XSS 취약점 CVE-2026-44990 수정
  • 파괴적 변경: 룰 그룹 페이지네이션 토큰이 SHA-256으로 바뀌어 이전 토큰과 호환되지 않음
  • 파괴적 변경: --http.config.file 내 상대 경로 기준이 부모 디렉터리에서 설정 파일 디렉터리로 변경
  • 파괴적 변경: 기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경 (experimental-duration-expr 플래그 사용 시)
  • 파괴적 변경: npm_licenses.tar.bz2가 tarball/이미지에서 제거되고 바이너리 내 /assets/third-party-licenses.txt로 대체
  • 신기능: 메트릭 이름·레이블 이름·레이블 값에 대한 실험적 API 검색 엔드포인트, AWS RDS 필터링, Scaleway VPC/IPAM 전용 인스턴스 지원, 네이티브 히스토그램 smoothed/anchored rate, 쿼리별 samplesRead 통계, Azure Monitor Workspace 인증서 지원, ghcr.io 이미지 배포
  • 성능: 대소문자 무시 전위 매칭 최대 약 2배 빠른 속도, 청크 쓰기 샘플 오버헤드 약 12-15% 감소, V2 히스토그램 WAL 디코더 할당량 최대 50% 감소(created-timestamp 활성 시 메모리 최대 10% 절감); PromQL 패닉 및 TSDB 손상 다수 수정 포함
원문

Longhorn

Storage & Data2026년 7월 1일

Longhorn v1.11.3은 볼륨 동작, 백업, 인스턴스 관리 전반에 걸친 10여 건의 안정성 문제를 해결한 버그픽스 롤업입니다. CSI external provisioner가 v6.3.0으로 올라가, v1.10.x 또는 v1.11.0에서 업그레이드하려면 Kubernetes v1.34 이상이 선행되어야 합니다.

  • breakingv1.10.x 또는 v1.11.0에서 업그레이드 시 Kubernetes v1.34+ 필요

    CSI external provisioner가 v6.3.0으로 올라가면서 Kubernetes v1.34 이상이 필요합니다. Longhorn v1.10.x 또는 v1.11.0에서 업그레이드할 경우, Longhorn을 먼저 올리기 전에 클러스터의 Kubernetes 버전을 v1.34+로 맞춰야 합니다.

주요 변경 (7)
  • CSI external provisioner v6.3.0으로 상향: v1.10.x 또는 v1.11.0에서 업그레이드 전 Kubernetes v1.34+ 확인 필수
  • iscsid 재시작 후 V1 볼륨이 동작 불가 상태로 남는 문제(PVC 리사이즈 실패 포함) 수정
  • 레플리카 리빌드 중 longhorn-instance-manager에서 nil 포인터 역참조 패닉 수정
  • 반복 trim 작업 실패를 유발하던 데드락, 그리고 볼륨 확장이 멈추는 문제 각각 수정
  • 대상 노드가 ready 상태로 전환 중일 때 마이그레이션 엔진이 삭제되던 문제 수정
  • NetApp 어플라이언스에서 S3 백업 실패, System Backup RecurringJob이 최신 CR을 잘못 삭제하던 문제 수정
  • BackupController 백업 삭제 중 longhorn-manager 패닉, 서포트 번들·웹훅 폴링의 HTTP 응답 바디 누수, 스케일 환경에서 webhook TLS Secret 경합 수정
원문
월별 보기