RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

Envoy

Networking & Messaging어제2026년 7월 14일

Envoy v1.39.0은 keyUsage 강제 필수화, DLB 밸런서 비활성화, TLS inspector 검증 강화, OTel 샘플링 동작 변경 등 여러 주요 변경 사항과, HTTP/2, HTTP/3, ext_authz, ext_proc, OAuth2, DNS 등 여러 하위 시스템에 걸친 약 20건의 medium 등급 CVE 수정을 함께 담은 대규모 릴리스입니다. dynamic modules 확장 포인트와 AI 프로토콜용 스트리밍 JSON 파서 등 비조치성 기능 및 성능 개선도 다수 포함되어 있습니다.

  • security핵심 프로토콜과 확장 기능 전반에 걸친 대규모 CVE 수정

    이번 릴리스는 HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸쳐 약 20건의 CVE를 수정했으며, 릴리스 노트 기준 모두 medium 등급입니다. 대표적으로 HTTP/2 cookie 기반 헤더 제한 우회(CVE-2026-47774), HTTP/3 QPACK 블로킹 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제 시 메모리 고갈(CVE-2026-48044)이 있습니다. 수정 사항은 v1.39.0에 포함됩니다.

  • securityOAuth2 쿠키 암호화가 AES-256-GCM으로 전환(선택적 마이그레이션)

    OAuth2에 CVE-2026-47775 대응을 위한 AES-256-GCM 쿠키 암호화가 추가되었습니다. 마이그레이션은 선택적으로 진행되며, oauth2_use_gcm_encryption을 활성화하고 oauth_legacy_cbc_decrypt 지표를 모니터링한 뒤, 레거시 복호화가 더 이상 관측되지 않으면 oauth2_legacy_cbc_decrypt_compat을 비활성화하는 단계로 이뤄집니다.

  • breaking인증서 keyUsage 강제 적용이 필수화됨

    Envoy는 인증서의 keyUsage 확장을 항상 강제하도록 바뀌었고, enforce_rsa_key_usage 필드는 지원 중단되어 무시됩니다. v1.39.0부터 무조건 적용되므로, 느슨한 검증에 의존하던 인증서는 검증에 실패할 수 있습니다.

  • breakingDLB 커넥션 밸런서가 모든 빌드에서 비활성화됨

    Intel DLB 커넥션 밸런서(envoy.network.connection_balance.dlb)는 소스 아카이브 손상으로 모든 빌드에서 비활성화되었습니다. 이 확장을 사용하는 환경에 해당합니다.

  • breakingTLS inspector가 범위를 벗어난 클라이언트 TLS 버전을 거부

    TLS inspector가 클라이언트 TLS 버전이 1.0에서 1.3 사이인지 검증하며, 범위를 벗어나면 거부합니다. v1.39.0에서는 무조건 적용되지만 envoy.reloadable_features.tls_inspector_enforce_client_tls_version으로 되돌릴 수 있습니다.

  • breakingOTel 트레이싱이 Envoy 자체 샘플링 결정을 우선함

    OpenTelemetry 트레이서가 전파된 트레이스 컨텍스트나 설정된 샘플러가 샘플링을 요청하더라도, overall_sampling을 포함한 Envoy 자체의 요청 단위 샘플링 결정을 우선하도록 바뀌었습니다. 다운스트림이나 컨텍스트 기반 샘플링 결정이 Envoy 설정보다 우선되는 것에 의존하던 환경에 해당하며, 내보내는 스팬 수가 줄어들 수 있습니다.

주요 변경 (8)
  • HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸친 약 20건의 medium 등급 CVE 수정. 대표적으로 CVE-2026-47774(HTTP/2 cookie 헤더 제한 우회), GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS), CVE-2026-48044(Zstd 메모리 고갈)
  • OAuth2에 AES-256-GCM 쿠키 암호화 추가(CVE-2026-47775), 레거시 CBC 복호화에서 선택적 단계 마이그레이션 가능
  • 인증서 keyUsage 강제 적용 필수화(enforce_rsa_key_usage 지원 중단). TLS inspector가 1.0~1.3 범위를 벗어난 클라이언트 TLS 버전을 거부
  • Intel DLB 커넥션 밸런서 확장이 소스 아카이브 손상으로 모든 빌드에서 비활성화
  • OpenTelemetry 트레이서가 overall_sampling을 포함한 Envoy 자체 샘플링 결정을 우선하게 되어, 내보내는 스팬 수가 줄어들 수 있음
  • 통합 DNS 클러스터 구현이 기본값으로 활성화되어, c-ares 리졸버와 qcache를 클러스터 간에 공유할 수 있음
  • HeaderMatcher가 개별로 전달된 헤더 값을 쉼표로 결합한 형태뿐 아니라 개별적으로 매칭하도록 변경(기능 게이트로 되돌릴 수 있음)
  • 비조치 항목으로는 dynamic modules 확장 포인트와 Rust SDK, MCP/A2A/OpenAI/Anthropic용 신규 Wuffs 기반 스트리밍 JSON 파서, 대역폭 공유 및 서브 필터 체인용 신규 HTTP 필터, CNSA/포스트 퀀텀 TLS 정책, io_uring 및 SO_REUSEPORT BPF 성능 개선, 커넥션 풀 재진입 문제와 DNS 리졸버 누수 등 다수의 버그 수정이 포함됨
원문

Kyverno

Security2026년 7월 10일

Kyverno v1.18.2는 생성기 정책의 namespace 경계 강제 HIGH 등급 취약점(GHSA-79gf-7frw-68m9)을 수정한 보안 패치입니다. 보안 의존성 업데이트와 여러 버그 수정을 함께 포함하고 있습니다.

  • security생성기 정책 namespace 경계 강제 취약점 수정 (GHSA-79gf-7frw-68m9)

    생성기 정책에서 namespace 경계 강제가 제대로 작동하지 않아 정책이 다른 네임스페이스의 리소스를 생성할 수 있었습니다. v1.18.2로 업그레이드하세요.

  • security보안 의존성 업데이트

    보안 관련 의존성이 업데이트되었습니다. 최신 패치를 적용하세요.

주요 변경 (7)
  • 보안: 생성기 정책의 namespace 경계 강제 취약점 패치 (GHSA-79gf-7frw-68m9)
  • 보안 의존성 업데이트
  • 백그라운드 리포팅이 410 Gone 응답 처리 개선
  • 필수 검증 정책의 이미지 매칭 실패 처리 개선
  • Kyverno CLI가 단일 --crd-path 파일에서 여러 CRD 지정 지원
  • pss-helm 정책 차트의 볼륨 타입 목록에 image 추가
  • 레포트 라벨 프리픽스 명칭 정정
원문

SPIRE

Security2026년 7월 9일

SPIRE v1.15.2는 docker 의존성을 moby로 전환하여 CVE를 해결하고, 위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출을 차단한 보안 패치입니다. 다양한 기능 추가와 대규모 배포 성능 최적화도 포함되어 있습니다.

  • securitydocker→moby 의존성 마이그레이션으로 CVE 해결

    docker/docker 의존성을 moby/moby로 전환하여 여러 CVE를 해결했습니다. v1.15.2로 업그레이드하세요.

  • breaking위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출 차단

    관리자 또는 다운스트림 항목을 사용하는 위임된 ID API 환경에서 JWT-SVID가 더 이상 제공되지 않습니다. 위임된 API를 사용 중이면 업그레이드 후 클라이언트 코드를 검토하세요.

주요 변경 (6)
  • 보안: docker/docker를 moby/moby로 마이그레이션하여 CVE 해결
  • breaking: 위임된 ID API가 관리자/다운스트림 항목에 대한 JWT-SVID 제공 중단
  • 향상: JWT-SVID에 JTI 클레임 포함 옵션, 호출자별 요청 제한(실험), Prometheus 메트릭 엔드포인트 TLS 지원
  • 향상: SPIFFE Broker 엔드포인트/API 신규 도입, x509pop 노드 증명자에서 클라이언트 인증서 IP 검증 추가
  • 성능: 대규모 배포에서 증명된 노드 대량 조회로 데이터베이스 부하 감소, MySQL 항목 조회 쿼리 최적화
  • 그 외 다수 버그 수정 및 기능 개선: Azure IMDS 증명 검증, CA 저널 안정성, 이벤트 캐시, Windows SE_DEBUG_PRIVILEGE, GCP KMS 공개 키 조회
원문

Flatcar Container Linux

Provisioning & Runtime2026년 7월 9일

Flatcar stable-4593.2.4는 커널을 6.12.95로 올려 CVE 130건 이상을 한꺼번에 해소하는 보안 패치 릴리스이며, ca-certificates도 3.125로 함께 갱신되었습니다. 보고된 별도의 버그 수정이나 동작 변경은 없습니다.

  • security커널 6.12.95 업데이트, CVE 130건 이상 수정

    Flatcar stable-4593.2.4는 리눅스 커널을 6.12.95로 올려 130개 이상의 CVE를 한꺼번에 수정합니다. 목록에는 CVE-2026-46242, CVE-2026-53332, CVE-2026-53356, CVE-2026-53329 등이 포함되며, 커널 코드 경로 전반에 걸친 문제라 영향 범위가 넓습니다. 정확한 CVSS 등급은 개별 CVE 항목을 확인해야 하지만, 규모상 최우선으로 업그레이드해야 합니다.

주요 변경 (3)
  • 리눅스 커널을 6.12.95로 업데이트하며 CVE-2026-46242, CVE-2026-53332, CVE-2026-53356, CVE-2026-53329를 포함해 130건 이상의 커널 CVE를 수정
  • ca-certificates 패키지를 3.125로 업데이트 (루틴 의존성 갱신)
  • 이번 릴리스에는 커널 보안 수정 외에 별도로 보고된 버그 수정이나 동작 변경 없음
원문

Flatcar Container Linux

Provisioning & Runtime2026년 7월 9일

Flatcar lts-4081.3.9는 Linux 커널을 6.6.144로 올려 130개 이상의 커널 CVE를 한꺼번에 수정한 보안 중심 패치 릴리스입니다. ca-certificates도 3.125로 갱신되었으며, 제거나 API/설정 변경은 없습니다.

  • securityLinux 커널 다중 CVE 일괄 패치(6.6.144)

    커널을 6.6.144로 올리면서 CVE-2026-46242를 포함해 130개 이상의 Linux 커널 CVE를 함께 수정했습니다. 릴리스 노트에는 개별 CVSS 등급이 명시되어 있지 않지만, 커널 코드 실행 및 권한 상승과 관련된 취약점이 다수 포함되어 있어 HIGH로 분류됩니다. 프로덕션 노드는 가급적 빨리 6.6.144 이상으로 갱신하세요.

주요 변경 (3)
  • Linux 커널을 6.6.144로 업데이트하며 CVE-2026-46242 등 130개 이상의 CVE를 패치(HIGH 등급 포함)
  • ca-certificates 패키지를 3.125로 업데이트
  • 제거되거나 변경된 API, 설정, 이름은 없음
원문

TiKV

Storage & Data2026년 7월 9일

TiKV/TiDB v8.5.7은 max_ts 유효성 검증 기본 거부, 옵티마이저 IndexMerge 자동화, TiDB Lightning 웹 인터페이스 제거 등 몇 가지 동작 변경을 포함한 패치이며, 서드파티 의존성 보안 업데이트와 함께 CPU 인지 핫 리전 스케줄링, 부분 인덱스 등 신규 기능과 다수의 성능/버그 수정을 담고 있습니다.

  • securityTiKV 서드파티 의존성 보안 패치

    업그레이드 대상이 명확히 밝혀지지 않은 TiKV 8.5용 서드파티 의존성 다수를 보안 및 안정성 목적으로 업데이트했습니다. 취약 패키지를 쓰고 있었다면 업그레이드로 해결됩니다.

  • breakingmax_ts 유효성 검증 실패 시 기본적으로 거부

    storage.max-ts.action-on-invalid-update의 기본 동작이 로그 기록에서 요청 거부로 바뀝니다. 업그레이드 전 동작 유지가 필요하면 해당 옵션을 log로 명시하세요.

  • breakingTiDB Lightning 웹 인터페이스 제거

    TiDB Lightning 웹 인터페이스가 완전히 제거됐습니다. 앞으로는 tidb-lightning 명령줄 도구와 체크포인트/트러블슈팅용 tidb-lightning-ctl을 사용해야 합니다.

  • breakingIndexMerge 자동 고려 옵션 기본 활성화

    옵티마이저 fix control 52869가 기본으로 활성화되어 대체 인덱스가 있을 때 IndexMerge를 자동으로 고려합니다. 일부 쿼리의 실행 계획이 바뀔 수 있으니 주요 쿼리의 플랜을 점검하세요.

  • breakingNOT NULL 컬럼 NULL 삽입 검증 강화

    INSERT 문에서 NOT NULL 컬럼에 명시적으로 NULL을 쓰는 경우 tidb_enable_strict_not_null_check가 기본값 ON으로 엄격하게 검증합니다. 기존에 이런 패턴에 의존하던 애플리케이션은 오류가 발생할 수 있습니다.

  • breaking백그라운드 리소스 컨트롤 메트릭 집계 방식 변경

    TiKV 백그라운드 리소스 컨트롤 메트릭이 resource_group 레이블 없이 전체 집계되는 전역 레이트 리미터 방식으로 바뀝니다. resource_group별로 필터링하던 대시보드와 알림 규칙을 업데이트해야 합니다.

주요 변경 (8)
  • 보안: TiKV 8.5용 서드파티 의존성 다수 업데이트(개별 CVE 미공개)
  • 동작 변경: max_ts 유효성 검증 실패 시 기본적으로 요청 거부(기존은 로그만 기록)
  • 제거: TiDB Lightning 웹 인터페이스, 이후 CLI 도구(tidb-lightning, tidb-lightning-ctl)만 지원
  • 기본값 변경: 옵티마이저 fix control 52869 활성화로 IndexMerge 자동 고려, 쿼리 플랜 변경 가능성
  • 기본값 변경: 백그라운드 리소스 컨트롤 메트릭이 resource_group 레이블 없이 집계, 대시보드/알림 수정 필요
  • 신규 기능: CPU 인지 핫 리전 스케줄링, 부분 인덱스(partial index), TiCDC 테이블 라우팅, max_user_connections 변수
  • deprecated: tidb_enable_telemetry 및 텔레메트리 기능, PD split-scatter 기본 비활성화 등 다수의 저위험 기본값 변경
  • 버그 수정 다수: TiKV 메모리 증가 및 resolved_ts 메모리 과다 사용, PD 리소스 컨트롤 레이트 리미팅 약화, BR 로그 백업 행, TiCDC Kafka 누수 등
원문

cert-manager

Security2026년 7월 8일

cert-manager 1.21.0은 RBAC와 Helm 기본값을 조이는 세 가지 주요 변경(보안 권한 축소 포함)을 담은 강화 릴리스로, ARI와 Vault AWS IAM 인증 같은 새 기능도 함께 들어왔습니다. Helm values를 커스터마이즈했거나 Challenge/Order를 직접 다루는 도구가 있다면 업그레이드 전에 반드시 변경 사항을 확인해야 합니다.

  • securitycert-manager-edit ClusterRole 권한 축소 보안 수정

    cert-manager-edit 어그리게이트 ClusterRole에서 challenges.acme.cert-manager.io에 대한 create 권한과 orders.acme.cert-manager.io에 대한 create/patch/update 권한이 제거되었습니다(GHSA-8rvj-mm4h-c258). Challenge나 Order 리소스를 직접 생성하는 자동화나 도구가 있다면 별도 RBAC를 부여해야 동작이 유지됩니다.

  • breaking기본 tokenrequest RBAC 제거

    Helm 차트가 더 이상 컨트롤러 ServiceAccount에 대한 serviceaccounts/token: create 권한을 부여하는 기본 Role/RoleBinding을 생성하지 않습니다. serviceAccountRef.name으로 컨트롤러 ServiceAccount를 직접 참조하는 문서화되지 않은 구성을 쓰고 있다면 업그레이드 후 토큰 발급이 실패할 수 있습니다.

  • breakingPrometheus 관련 Helm values 제거

    Helm 값 prometheus.servicemonitor.targetPort, prometheus.servicemonitor.path, prometheus.podmonitor.path가 제거되었습니다. 관련 메트릭 포트도 tcp-prometheus-servicemonitor에서 http-metrics로 이름이 바뀌었습니다. values 오버라이드에 이 키들이 남아 있으면 업그레이드 시 스키마 검증 오류가 발생하므로 values 파일을 미리 정리해야 합니다.

주요 변경 (8)
  • 보안: cert-manager-edit ClusterRole에서 Challenge/Order 생성 권한 제거(GHSA-8rvj-mm4h-c258)
  • 주요 변경: 컨트롤러 ServiceAccount용 기본 tokenrequest RBAC(Role/RoleBinding) 제거
  • 주요 변경: prometheus.servicemonitor/podmonitor 관련 Helm values 제거, 메트릭 포트명이 http-metrics로 변경
  • 신규 기능: ACME Renewal Information(ARI, RFC 9773) 실험 지원, Vault 이슈어의 AWS IAM 인증(IRSA/EKS Pod Identity) 지원
  • 신규 기능: Gateway API용 http01-parentreffallback 및 ignore-tls-listeners 어노테이션, Certificate API의 renewalPolicies 필드 추가
  • 사용 중단: enableGatewayAPI/enableGatewayAPIListenerSet 및 ServerSideApply 피처 게이트가 각각 gatewayAPI.enabled 계열과 SSA 상시 사용으로 대체 예정(당분간 동작은 유지)
  • 버그 수정 다수: renewBeforePercentage 정수 오버플로, 만료된 인증서 재발급 무한 루프, ACME 임시 네트워크 오류 처리, DNS 이슈어 시크릿 사전 검증 등 안정성 개선
  • 기타: 베이스 이미지 Debian 13으로 갱신, 신규 Modern2026 PKCS#12(FIPS 140-3) 프로파일 추가, 더 이상 쓰지 않는 ObjectReference 타입 정리
원문

etcd

Kubernetes Core2026년 7월 8일

etcd v3.7.0은 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 고친 보안 릴리스입니다. 업그레이드 가이드는 호환성 변경 가능성을 언급하지만 세부 내용은 이번 자료에 포함되어 있지 않습니다.

  • securitygRPC 리스너 CRL 검증 우회 수정

    --listen-client-http-urls 플래그를 사용하는 경우 gRPC 리스너에서 CRL(인증서 폐기 목록) 검증이 우회되는 취약점이 있었습니다(GHSA-3wh4-j44w-pg92, HIGH). 폐기된 인증서로도 접근이 허용될 수 있으므로 해당 플래그를 쓰는 클러스터는 v3.7.0으로 업그레이드하세요.

주요 변경 (2)
  • 보안: --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 강제 검증이 우회되는 HIGH 등급 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 업그레이드 가이드에 호환성 변경 가능성이 언급되어 있으나 제공된 자료에는 구체적 내용이 없음
원문

Thanos

Observability2026년 7월 8일

Thanos v0.42.0은 grpc/authz의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)을 고친 보안 릴리스이면서, Receive와 Store의 플래그 제거를 포함한 여러 breaking change와 새로운 TLS/암호 설정 옵션을 함께 담은 혼합 성격의 업데이트입니다.

  • securitygRPC 인가 우회 취약점 패치(CVE-2026-33186, CVSS 9.1)

    조작된 :path 헤더로 grpc/authz 인터셉터의 경로 기반 deny 규칙을 우회할 수 있는 CVSS 9.1 취약점(CVE-2026-33186)이 thanos-community/grpc-go 포크에서 발견되어 이번 버전에서 패치되었습니다. grpc/authz로 경로 기반 접근 제어를 하는 환경은 즉시 업그레이드하세요.

  • breakingReceive: --shipper.ignore-unequal-block-size 제거

    Receive의 --shipper.ignore-unequal-block-size 플래그가 제거되었습니다. TSDB가 shipper의 블록 업로드 완료까지 컴팩션을 지연시켜, 데이터 손실 위험 없이 업로드 중 컴팩션이 가능해진 데 따른 변경입니다. 이 플래그를 사용 중이면 설정에서 제거해야 합니다.

  • breakingStore: --debug.advertise-compatibility-label 제거

    Store의 --debug.advertise-compatibility-label 플래그가 제거되어, 기본적으로 @thanos_compatibility_store_type=store 외부 레이블을 더 이상 광고하지 않습니다. v0.8.0 이전 Thanos Query와의 호환성이 깨지므로, 오래된 Query 컴포넌트와 연동 중이면 업그레이드 순서를 검토하세요.

  • breakingQuery-Frontend: time_taken 필드가 time_taken_ms로 변경

    Query-Frontend의 응답 JSON 필드명이 time_taken에서 time_taken_ms로 바뀌었습니다. 로그 수집기나 이 필드를 파싱하는 도구가 있다면 필드명을 갱신해야 합니다.

주요 변경 (7)
  • 보안: 조작된 :path 헤더로 grpc/authz의 deny 규칙을 우회하는 CVSS 9.1 취약점(CVE-2026-33186) 패치, thanos-community/grpc-go 포크 업데이트로 해결
  • breaking: Receive --shipper.ignore-unequal-block-size 제거(TSDB가 shipper 업로드 완료까지 컴팩션 지연)
  • breaking: Store --debug.advertise-compatibility-label 제거로 구버전 Query(v0.8.0 이전)와 호환성 단절
  • breaking: Query-Frontend JSON 필드 time_taken → time_taken_ms 이름 변경
  • 모든 gRPC 서버에 KeepaliveEnforcementPolicy MinTime 10s 적용(클라이언트 keepalive 간격과 일치)
  • gRPC/Remote-write 서버에 TLS 암호 스위트·커브 설정 플래그 추가, Query에 엔드포인트별 TLS 설정 지원 등 보안 강화 옵션 다수 도입
  • Receive의 탐리버설 방지를 위한 테넌트 ID 검증, 503 재시작 오류 수정 등 다수 버그 수정, 이 외에도 Query-Frontend 패닉 수정과 exemplar 프록시 레이블 처리 등 자잘한 수정 다수
원문

Tekton

CI/CD & App Delivery2026년 7월 8일

Tekton v1.6.5는 Go 도구체인을 1.25.10으로 올려 포함된 CVE를 수정한 보안 패치입니다. 기능 변경이나 호환성 문제는 없습니다.

  • securityGo 1.25.10 CVE 수정

    Go 1.25.10은 여러 CVE를 수정합니다. Tekton v1.6.5로 업그레이드하여 빌드 환경의 보안을 최신화하세요.

주요 변경 (1)
  • Go 1.25.10으로 상향, 중등급 CVE 수정
원문

Tekton

CI/CD & App Delivery2026년 7월 8일

Tekton v1.9.6은 Go와 golang.org/x/crypto, golang.org/x/net의 버전을 올려 알려진 보안 취약점을 고친 보안 패치입니다. 또한 빌드 위생성 개선으로 kodata의 LICENSE 심볼릭 링크를 실제 파일로 대체했습니다.

  • securityGo 및 암호화·네트워크 라이브러리 CVE 수정

    Tekton v1.9.6은 Go를 1.25.10으로, golang.org/x/crypto를 v0.52.0으로, golang.org/x/net을 v0.55.0으로 올려 의존성의 알려진 취약점을 수정했습니다. v1.9.6으로 업그레이드하면 이 수정이 적용됩니다.

주요 변경 (2)
  • 보안: Go 1.25.10으로 상향, golang.org/x/crypto v0.52.0, golang.org/x/net v0.55.0 적용하여 CVE 대응
  • kodata LICENSE 심볼릭 링크를 실제 파일로 변경하는 빌드 정리
원문

Rook

Storage & Data2026년 7월 7일

Rook v1.20.2는 버그 수정과 소규모 개선에 집중한 routine 패치 릴리스로, Ceph v20.2.2와 ceph-csi-operator v1.0.4로 버전을 올리고 mgr NetworkPolicy를 인그레스 전용으로 제한했습니다. API 제거나 CVE는 포함되어 있지 않습니다.

  • breakingmgr NetworkPolicy를 인그레스 전용으로 제한

    mgr용 NetworkPolicy가 이제 인그레스 트래픽만 허용하도록 제한됩니다. 기존에 mgr로부터의 아웃바운드 통신에 의존하던 커스텀 네트워크 정책이 있다면 업그레이드 후 동작을 확인하세요.

주요 변경 (7)
  • Ceph 버전을 v20.2.2로, ceph-csi-operator를 v1.0.4로 상향
  • mgr NetworkPolicy를 인그레스 전용으로 제한하는 보안 강화
  • 외부 클러스터에서 언마운트 시 VolumeAttachment 리소스가 정상적으로 삭제되도록 수정
  • 노드 라벨/annotation 변경 시 재조정을 트리거하도록 노드 워처 개선, 초기 캐시 동기화 중에는 스킵하도록 조정
  • floating mon 재스케줄 시간을 단축해 mon 페일오버 응답성 개선
  • OSD raw activate 폴백 경로에서 rbd 디바이스 스캔을 제거해 잘못된 디바이스 분류 방지
  • 그 외 소소한 수정: config override 개행 처리, object store realm 액세스 키의 URL-safe 문자열화, Ceph 오퍼랜드 파드용 NetworkPolicy 예시 추가, Ceph 경고 음소거를 위한 API 확장
원문

Harbor

Storage & Data2026년 7월 2일

Harbor v2.15.2는 blob-mount 토큰 검증 강화와 크립토/SMTP 정리를 포함한 보안 패치와, Redis에서 Valkey로의 캐시 백엔드 교체, Angular/Clarity UI 업그레이드 이후 다수 UI 버그 수정을 담은 유지보수 릴리스입니다.

  • securityblob-mount 토큰 검증 강화

    blob-mount 시 소스 프로젝트 검증과 iat 클레임 누락 토큰 거부 로직을 추가했습니다. 크로스 프로젝트 블롭 마운트 시 토큰 위조로 접근 권한이 우회될 수 있던 문제로, v2.15.2로 업그레이드하는 것을 권장합니다.

  • security크립토 사용 정리 및 미사용 SMTP 패키지 제거

    암호화 관련 코드를 정리하고 더 이상 쓰지 않는 SMTP 패키지를 제거했습니다. 직접적인 공격 벡터는 낮지만 공격 표면을 줄이는 조치입니다.

  • breaking캐시 백엔드가 Redis에서 Valkey로 전환

    캐시 백엔드가 Redis에서 Valkey로 교체되었습니다. Redis를 직접 설정하거나 별도 배포한 환경이라면 Valkey 기반 배치로 인프라와 설정을 갱신해야 합니다.

  • breakingYAML 라이브러리 교체(goccy/go-yaml)

    YAML 파싱 라이브러리가 gopkg.in/yaml.v2에서 github.com/goccy/go-yaml로 교체되었습니다. 내부 동작 변경으로 낮은 위험도지만 커스텀 YAML 처리나 확장을 쓰는 경우 동작 차이를 점검하세요.

  • breaking레지스트리 소스 태그를 v2.8.3-harbor.1로 고정

    레지스트리 이미지가 rc.5에서 안정 태그 v2.8.3-harbor.1로 전환되었습니다. 커스텀 레지스트리 이미지를 참조하는 배포라면 태그 참조를 갱신해야 합니다.

주요 변경 (7)
  • 보안: blob-mount 토큰 검증 강화(소스 프로젝트 검증, iat 누락 토큰 거부)
  • 보안: 크립토 사용 정리 및 미사용 SMTP 패키지 제거
  • 캐시 백엔드를 Redis에서 Valkey로 교체
  • YAML 라이브러리를 goccy/go-yaml로, 레지스트리 소스를 v2.8.3-harbor.1로 교체
  • Harbor UI를 Angular 21, Clarity v18, Node.js v22로 업그레이드하며 체크박스, 다크 테마, i18n 등 다수 UI/UX 수정
  • 태그·아티팩트 변경 시 repository update_time이 갱신되지 않던 버그, Cosign tlog 검증 옵션 조정 등 부가 수정
  • 빌드 시스템 개선: openapi-generator-cli 다운로드 URL과 PIP_INDEX_URL 환경변수화, photon 베이스 이미지 재빌드, 2.15 빌드 분리 등 다수 잡음 수정
원문

etcd

Kubernetes Core2026년 7월 1일

etcd v3.6.13은 --listen-client-http-urls를 설정한 클러스터에서 gRPC 리스너의 CRL 검사가 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 패치입니다. WebSocket bearer 토큰 인증 버그 수정과 v2-deprecation 플래그 옵션 추가도 포함됩니다.

  • securitygRPC 리스너 CRL 검사 우회 패치 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls를 설정한 클러스터에서는 gRPC 리스너가 CRL(인증서 폐기 목록) 검사를 수행하지 않아, 폐기된 클라이언트 인증서로도 인증이 통과될 수 있었습니다. 해당 플래그를 사용하는 환경이라면 v3.6.13으로 업그레이드하세요.

주요 변경 (3)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검사가 우회되던 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 버그 수정: bearer 접두사 토큰을 사용하는 WebSocket 인증 오류 해결
  • 기능 추가: --v2-deprecation 플래그에 write-only-skip-check 옵션을 추가해 v2 콘텐츠 검사 생략 가능
원문

etcd

Kubernetes Core2026년 7월 1일

etcd v3.5.32는 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 릴리스입니다. v2-deprecation 우회 옵션 추가와 버그 수정도 함께 포함되었습니다.

  • securitygRPC 리스너의 CRL 검증 우회 취약점 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls 플래그를 설정한 경우 gRPC 리스너에서 CRL 검증이 작동하지 않아 폐기된 인증서가 허용되었습니다. 해당 플래그와 mTLS, CRL을 함께 사용 중이라면 v3.5.32로 업그레이드하세요.

주요 변경 (6)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검증이 우회되던 문제 수정 (GHSA-3wh4-j44w-pg92)
  • --v2-deprecation 플래그에 write-only-skip-check 옵션 추가로 v2 콘텐츠 검사 우회 가능
  • 서버가 비관리자의 유지보수 상태 요청을 허용하도록 변경
  • etcdutl check v2store 명령이 v2 스냅샷과 WAL 레코드를 모두 검사하도록 개선
  • bearer 형식 토큰을 사용한 WebSocket 인증 버그 수정
  • 토큰 파싱 실패 시 JWT 토큰 내용이 로그에 남지 않도록 처리
원문

Prometheus

Observability2026년 7월 1일

Prometheus v3.13.0은 LTS 릴리스로, HIGH 등급 자격 증명 전달 취약점(CVE-2025-4673·CVE-2023-45289)과 MEDIUM 등급 XSS(CVE-2026-44990) 수정이 핵심이며, 페이지네이션 토큰·경로 해석·PromQL 기간 함수명·라이선스 파일 배포 방식 등 네 가지 파괴적 변경과 다수의 신기능 및 성능 개선이 함께 포함됩니다.

  • securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단

    리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.

  • securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)

    UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.

  • breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경

    룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.

  • breaking--http.config.file 상대 경로 기준 디렉터리 변경

    --http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.

  • breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경

    experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.

  • breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동

    릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.

주요 변경 (8)
  • HIGH 보안: 교차 호스트 리다이렉트 시 자격 증명 전달 중단, CVE-2025-4673·CVE-2023-45289 대응 (prometheus/common v0.69.0)
  • MEDIUM 보안: sanitize-html 업데이트로 UI XSS 취약점 CVE-2026-44990 수정
  • 파괴적 변경: 룰 그룹 페이지네이션 토큰이 SHA-256으로 바뀌어 이전 토큰과 호환되지 않음
  • 파괴적 변경: --http.config.file 내 상대 경로 기준이 부모 디렉터리에서 설정 파일 디렉터리로 변경
  • 파괴적 변경: 기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경 (experimental-duration-expr 플래그 사용 시)
  • 파괴적 변경: npm_licenses.tar.bz2가 tarball/이미지에서 제거되고 바이너리 내 /assets/third-party-licenses.txt로 대체
  • 신기능: 메트릭 이름·레이블 이름·레이블 값에 대한 실험적 API 검색 엔드포인트, AWS RDS 필터링, Scaleway VPC/IPAM 전용 인스턴스 지원, 네이티브 히스토그램 smoothed/anchored rate, 쿼리별 samplesRead 통계, Azure Monitor Workspace 인증서 지원, ghcr.io 이미지 배포
  • 성능: 대소문자 무시 전위 매칭 최대 약 2배 빠른 속도, 청크 쓰기 샘플 오버헤드 약 12-15% 감소, V2 히스토그램 WAL 디코더 할당량 최대 50% 감소(created-timestamp 활성 시 메모리 최대 10% 절감); PromQL 패닉 및 TSDB 손상 다수 수정 포함
원문
월별 보기