RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Fluentd

Observability2026년 6월 25일

Fluentd v1.19.3은 out_http, buffer/in_http, output 태그 처리의 입력 검증을 강화하고 in_monitor_agent와 in_debug_agent의 기본 접근 범위를 좁힌 보안 강화 패치입니다. 나머지는 일반적인 버그 수정과 소소한 의존성/CI 정리입니다.

  • securityout_http, buffer/in_http, output 태그 경로 검증 강화

    v1.19.3에 무조건 적용됩니다. out_http는 동적 엔드포인트의 호스트명을 엄격히 검증하고, buffer와 in_http는 압축 해제된 페이로드 크기에 제한을 두며, output은 태그 값의 경로 경계를 엄격히 검사합니다. 신뢰할 수 없는 입력으로 호스트나 태그, 페이로드 크기를 구성하는 설정이 있다면 점검이 필요합니다.

  • breakingin_monitor_agent와 in_debug_agent 기본 노출 범위 축소

    v1.19.3에 무조건 적용됩니다. in_monitor_agent는 config, retry, debug 정보의 기본 노출 범위를 변경했고, in_debug_agent는 기본적으로 로컬 머신에서만 접속을 허용합니다. 두 에이전트를 외부에서 접근하거나 전체 출력을 외부에 노출해 쓰고 있었다면, 방화벽 규칙이나 명시적 설정으로 필요한 접근 권한을 다시 열어줘야 합니다.

주요 변경 (7)
  • 보안 강화(중간 등급): out_http가 동적 엔드포인트 호스트명을 엄격히 검증합니다.
  • 보안 강화(중간 등급): buffer와 in_http가 압축 해제된 페이로드 크기를 제한해 압축 폭탄류 위험을 막습니다.
  • 보안 강화(중간 등급): output이 태그 값의 경로 경계를 엄격히 검사합니다.
  • 기본 설정 변경: in_monitor_agent가 config, retry, debug 정보의 기본 노출 범위를 줄였습니다.
  • 기본 설정 변경: in_debug_agent가 기본적으로 로컬 머신에서만 접속을 허용합니다.
  • 버그 수정: storage_local의 비ASCII 문자 읽기 인코딩 오류, parser_csv의 빈 줄/파싱 불가 줄 스킵 처리, out_forward가 원격 연결 끊김 후 닫힌 keepalive 소켓을 재사용하지 않도록 수정, buffer 경로에 대괄호가 있어도 정상 재개.
  • 그 외 소소한 변경: Ruby 4.1용 런타임 의존성으로 win32-registry 추가, 에러 메시지 중복 단어 제거, Windows 종료 시 타임아웃 체크 단축, 기본 timekey(1d) 사용 시 경고 추가, 백신 제외 경로 권장 문서화, 각종 CI 수정.
원문

metal3-io

Provisioning & Runtime2026년 6월 25일

metal3-io v0.12.5이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Dragonfly

Storage & Data2026년 6월 25일

Dragonfly v2.5.0은 Hugging Face/ModelScope 모델 다운로드, P2P 인젝터 웹훅, 다운로드 블록리스트, 전면적인 속도 제한을 추가하는 기능 릴리스이며, 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트 제거와 헬스체크의 /healthy 통합이라는 주요 변경도 포함합니다. 다수의 버그 수정과 Nydus 서브프로젝트 개선도 함께 담겼습니다.

  • breakingV1 프리히트 API 엔드포인트 제거

    v2.5.0부터 조건 없이 적용됩니다: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되었습니다. 이 경로를 호출하던 자동화나 연동은 업그레이드 전에 현재 프리히트 API로 옮겨야 합니다.

  • breaking헬스체크 /healthy로 통합

    v2.5.0부터 조건 없이 적용됩니다: 헬스체크가 /healthy 엔드포인트 하나로 통합되었습니다. 기존 헬스체크 경로를 참조하던 로드밸런서, 쿠버네티스 프로브, 모니터링 설정을 수정해야 합니다.

  • enhancement긴급 다운로드 블록리스트

    현재 Manager 콘솔에서 사용 가능합니다: 특정 다운로드를 긴급 차단할 수 있는 블록리스트를 설정할 수 있습니다. 차단된 gRPC 요청은 PermissionDenied, HTTP 프록시 요청은 FORBIDDEN을 반환하며 장애 대응에 활용할 수 있습니다.

  • enhancementgRPC 및 클라이언트 전반 속도 제한

    현재 Manager/Scheduler gRPC 서버와 클라이언트 전반에 적용됩니다: 대역폭, 업/다운로드 요청, 적응형 제한을 포함한 속도 제한이 추가되었습니다. 배포 전에 제한값을 검토해 정상 트래픽이 의도치 않게 제한되지 않도록 확인하세요.

주요 변경 (8)
  • 주요 변경: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되고 헬스체크가 /healthy 하나로 통합되었습니다.
  • 신규: Dragonfly 클라이언트가 Hugging Face와 ModelScope에서 모델 저장소를 직접 내려받을 수 있게 되었습니다. Git LFS 데이터는 P2P로 가속하고 메타데이터는 Git 프로토콜로 가져옵니다.
  • 신규: dragonfly-injector Mutating Admission Webhook이 어노테이션 기반 정책으로 Pod에 P2P 기능을 자동 주입하며, Helm 차트도 이를 지원합니다.
  • 신규: Manager 콘솔에서 블록리스트를 설정해 특정 다운로드를 긴급 차단할 수 있습니다(gRPC는 PermissionDenied, HTTP 프록시는 FORBIDDEN 반환).
  • 신규: Manager/Scheduler gRPC 서버와 클라이언트 측 대역폭·요청 처리 전반에 속도 제한이 추가되어 소스 서비스를 보호합니다.
  • 신규: 로컬 스토리지 작업(목록 조회, 삭제, 프리히트)을 Scheduler와 함께 관리하는 dfctl CLI가 추가되었고, dfdaemon은 containerd의 ns 쿼리 파라미터로 업스트림 레지스트리를 추론할 수 있습니다.
  • 성능 및 안정성 개선: 스케줄링 전 부모 피어 선택 로직 개선, 파일 내보내기/다운로드의 버퍼링 처리, 대용량 전송을 위한 gRPC 스트림 버퍼 튜닝, HTTP 백엔드 개선(HTTP/1.1 적용, HEAD 재시도 로직, 크로스오리진 리다이렉트 시 인증 헤더 제거, 상대경로 307 리다이렉트 캐싱 오류 수정).
  • 그 외 다수의 소소한 수정: 피어 TTL과 concurrent_piece_count 관련 Redis Lua 스크립트 인자 순서 수정, 기본 클러스터 시딩 후 PostgreSQL SERIAL 시퀀스 처리 개선, ExternalRedis TLS 지원 추가, Nydus 서브프로젝트 업데이트(프리페치 최적화 블롭, DAX 백엔드 지원, 빌더/이미지 감지 관련 버그 수정 다수).
원문

Dragonfly

Storage & Data2026년 6월 25일

v2.4.4는 Dragonfly의 일상적인 유지보수 릴리스로, 피어 동시성·메모리 누수·등록 지연 관련 스케줄러 버그 세 가지를 수정하고 의존성을 함께 갱신했습니다. 보안 수정이나 운영자에게 영향을 주는 breaking change는 포함되어 있지 않습니다.

주요 변경 (5)
  • 스케줄러에서 AnnouncePeer 스트림 참조가 정리되지 않아 발생하던 트랜스포트 메모리 누수 수정
  • 프리히트(preheat) 작업 중 피어 동시성 제한이 정상적으로 적용되도록 수정
  • 슈퍼 시드 피어 등록 시 불필요한 지수 백오프 지연을 건너뛰도록 수정
  • containerd 1.7.32→1.7.33, go-redis/v9 9.19.0→9.21.0, mongo-driver 1.17.0→1.17.7, golang.org/x/crypto 0.53.0, retry-go v5 업그레이드 등 의존성 다수 갱신 (actions/checkout, gomega 등 부수 업데이트 포함)
  • 내부 헬퍼 함수 MustParseRange, ParseOneRange, ParseURLMetaRange 제거 (외부 API에는 영향 없는 리팩터링)
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.28.9는 ISTIO-SECURITY-2026-005 권고 아래 Envoy CVE 14건을 묶어 수정한 보안 릴리스로, 최고 심각도 HIGH 항목은 HTTP/3 DoS, 압축 해제 메모리 고갈, JSON 파싱 depth 제한입니다.

  • securityEnvoy CVE 14건 일괄 수정, 최고 심각도 HIGH

    ISTIO-SECURITY-2026-005 권고에 Envoy CVE 14건이 포함되어 있으며 최고 심각도는 HIGH입니다. 대상 CVE는 GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS), CVE-2026-48044(Zstd 메모리 고갈), CVE-2026-48042(JSON 파싱 depth), CVE-2026-48743(HTTP/3 content-length 검증)입니다. 해당 버전을 사용 중이면 1.28.9로 업그레이드하세요.

  • securityext_authz use-after-free (조건부)

    CVE-2026-47205는 라우트별 서비스 오버라이드가 활성화된 상태에서 다운스트림 연결이 인가 확인 도중 리셋될 때 ext_authz 필터에서 use-after-free 크래시를 유발합니다. 해당 설정을 쓰는 경우 우선 검토하세요.

  • breakingJSON nesting depth 제한 도입

    CVE-2026-48042로 JSON 파서의 nesting depth 기본값이 1000으로 제한됩니다. 더 깊은 nesting이 필요하면 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 10K까지 완화할 수 있으나, 이는 원래의 DoS 취약점을 다시 열 수 있습니다.

주요 변경 (8)
  • ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건 수정, 최고 심각도 HIGH
  • HIGH: HTTP/3 QPACK blocked decoding으로 인한 DoS (GHSA-p7c7-7c47-pwch)
  • HIGH: MaxInflateRatio 검사 지연으로 인한 Zstd 압축 해제 메모리 고갈 (CVE-2026-48044)
  • HIGH: JSON 파서 nesting depth 기본 1000으로 제한, envoy.reloadable_features.limit_json_parser_nesting_depth로 조정 가능 (CVE-2026-48042)
  • HIGH: HTTP/3 headers-only content-length 검증 수정, envoy.reloadable_features.quic_validate_headers_only_content_length로 제어 (CVE-2026-48743)
  • MEDIUM 다수: 연결 리셋 시 ext_authz use-after-free, direct response 라우트에서 gRPC stats 필터 크래시, NUL 바이트 포함 SAN 검증 우회, OAuth2 필터 AES-256-CBC 쿠키 복호화 패딩 오라클(AES-256-GCM 지원 추가)
  • 추가 MEDIUM 수정: TLV 길이 불일치, ext_proc 예상치 못한 응답 처리, HTTP 303 내부 리다이렉트 문제, DNS 쿼리 이름 길이 검사, TcpStatsdSink 버퍼 오버플로, 필터 해제 후 토큰 콜백 호출
  • 보안 패치와 함께 안정성 개선을 위한 일반 버그 수정도 포함
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.29.5는 ISTIO-SECURITY-2026-005에 해당하는 Envoy CVE 14건을 수정한 보안 릴리스로, HIGH 심각도 DoS·크래시·use-after-free 취약점 다수가 포함됩니다. 게이트웨이 리비전 레이블 변경 시 트래픽 중단, ambient ipset 헬스 프로브 누락, krt 메모리 누수, 멀티클러스터 컨트롤러 패닉도 함께 수정되었습니다.

  • securityEnvoy CVE 14건 수정(최대 심각도 HIGH) — ISTIO-SECURITY-2026-005

    ISTIO-SECURITY-2026-005에 묶인 Envoy CVE 14건이 1.29.5에서 모두 수정되었습니다. 심각도 HIGH 항목으로는 HTTP/3 QPACK 디코딩 DoS(GHSA-p7c7-7c47-pwch), MaxInflateRatio를 우회하는 압축 페이로드 과팽창(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), QUIC content-length 유효성 검사 문제(CVE-2026-48743), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692)가 있습니다. 1.29.x 운영 환경 전체를 1.29.5로 즉시 업그레이드하세요.

  • securityOAuth2 필터 AES-256-CBC 패딩 오라클(CVE-2026-47775)

    OAuth2 필터에서 AES-256-CBC 쿠키 암호화를 사용 중이라면 즉시 업그레이드해야 합니다. 이번 패치에서 padding oracle이 수정되었고, AES-256-GCM이 gcm. 알고리즘 마커와 함께 새로 지원됩니다. 업그레이드 후 AES-256-CBC에서 AES-256-GCM으로의 전환을 계획하세요.

  • securityext_authz 라우트별 오버라이드에서 use-after-free(CVE-2026-47205)

    ext_authz에서 라우트별 서비스 오버라이드를 사용하는 경우, 인가 요청이 진행 중일 때 다운스트림 연결이 리셋되면 use-after-free 크래시가 발생할 수 있었습니다(CVE-2026-47205). 1.29.5로 업그레이드하면 해당 크래시 경로가 제거됩니다.

  • breakingJSON 중첩 깊이 상한 1000으로 축소(CVE-2026-48042)

    JSON 파서 중첩 깊이 기본값이 10000에서 1000으로 낮아졌습니다. 더 깊은 중첩이 필요하다면 런타임 플래그 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 임시 복원할 수 있으나, 깊은 중첩 의존성을 제거하는 방향으로 전환을 준비하세요.

주요 변경 (7)
  • ISTIO-SECURITY-2026-005로 묶인 Envoy CVE 14건 수정(최대 HIGH): HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), 압축 페이로드 과팽창(CVE-2026-48044), REQUESTED_SERVER_NAME 포매터 크래시(CVE-2026-47220), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692), QUIC 헤더 유효성 검사(CVE-2026-48743) 등
  • OAuth2 필터 padding oracle 수정(CVE-2026-47775), AES-256-GCM 신규 지원 — AES-256-CBC 사용 환경은 전환 필요
  • JSON 파서 중첩 깊이 기본값 1000으로 변경(기존 10000); envoy.reloadable_features.limit_json_parser_nesting_depth=false로 임시 복원 가능(CVE-2026-48042)
  • ext_authz 라우트별 서비스 오버라이드 use-after-free 수정(CVE-2026-47205), ext_proc 예기치 않은 응답 처리 및 gRPC 통계 필터 UAF/크래시도 함께 수정
  • Kubernetes Gateway 또는 ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단 수정 — 이전 컨트롤 플레인이 게이트웨이 파드에 빈 xDS 설정을 푸시하던 문제 해결
  • 노드 또는 kubelet 재시작 후 ambient 등록 파드가 호스트 헬스 프로브 ipset에서 누락되어 kubelet 프로브가 ztunnel로 전달되고 거부되던 문제 수정
  • krt 컨트롤러의 역방향 인덱스 잔류로 인한 메모리 누수 수정, 멀티클러스터 시크릿 컨트롤러의 채널 중복 close 패닉 수정, 1.29.2 이전 사이드카 설정 생성 버그 수정
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.30.2는 보안과 버그 수정을 함께 담은 패치 릴리스로, ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건(QPACK 기반 HTTP/3 DoS가 high 등급, 나머지는 medium~high)을 수정했고 pilot-agent 메트릭 병합 방식 변경과 AuthorizationPolicy 트러스트 도메인 필드 추가 등 운영자가 챙겨야 할 변경도 포함합니다.

  • securityISTIO-SECURITY-2026-005, Envoy CVE 14건 수정 (일부 high 등급)

    모든 1.30.x 배포에 적용됩니다. QPACK 블록 디코딩을 이용한 HTTP/3 스택 DoS를 수정했고, JSON 파서의 중첩 깊이를 1000으로 제한했습니다(envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정한 경우에만 기존 10K 한도로 완화 가능). 헤더만 있는 요청/응답의 content-length 검증도 envoy.reloadable_features.quic_validate_headers_only_content_length 플래그로 강화되었습니다. 1.30.2로 업그레이드하세요.

  • securityext_authz, ext_proc, gRPC stats, OAuth2 필터의 use-after-free/크래시 수정 다수

    ext_authz에서 per-route 서비스 오버라이드가 활성화된 상태로 인증 확인 중 다운스트림 연결이 끊기는 경우(CVE-2026-47205), 또는 ext_proc, gRPC stats, OAuth2 필터를 사용하는 경우에 해당됩니다. use-after-free와 패딩 오라클 문제가 수정되었고, OAuth2 필터는 gcm. 마커를 통한 AES-256-GCM 쿠키 암호화도 지원합니다.

  • breakingpilot-agent 메트릭 병합이 protobuf content type을 거부함

    pilot-agent 메트릭 병합(PILOT_AGENT_MERGE_ENVOY_STATS)을 사용하는 배포에 적용됩니다. 허용되는 content type이 text/plain과 application/openmetrics-text로 제한되어, protobuf 기반으로 병합된 메트릭을 수집하던 구성은 깨질 수 있습니다. 업그레이드 전 스크래핑 설정을 확인하세요.

  • enhancementAuthorizationPolicy에 트러스트 도메인 매칭 기능 추가

    mTLS 트러스트 도메인 기반 접근 제어가 필요한 AuthorizationPolicy 작성자에게 적용됩니다. Source에 추가된 trustDomains, notTrustDomains 필드로 피어 인증서의 트러스트 도메인을 기준으로 요청을 매칭하거나 제외할 수 있습니다.

주요 변경 (8)
  • ISTIO-SECURITY-2026-005에서 Envoy CVE 14건을 수정했으며 최고 등급은 high입니다. 가장 눈에 띄는 것은 HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제기의 메모리 소진(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), JSON 중첩 깊이를 1000으로 제한한 항목(CVE-2026-48042)입니다
  • ext_authz(연결 리셋 중 per-route 오버라이드), ext_proc, gRPC stats 필터, 비동기 토큰 콜백 경로에서 use-after-free/크래시가 수정되었습니다
  • OAuth2 필터는 AES-256-CBC 쿠키 복호화의 패딩 오라클 문제를 해결했고 AES-256-GCM 지원을 추가했습니다
  • pilot-agent 메트릭 병합이 허용 content type을 text/plain과 application/openmetrics-text로 제한하면서 protobuf 지원이 빠졌고, 병합 동작을 제어하는 PILOT_AGENT_MERGE_ENVOY_STATS 환경 변수가 새로 추가되었습니다
  • AuthorizationPolicy의 Source에 trustDomains, notTrustDomains 필드가 추가되어 트러스트 도메인 기반 요청 매칭이 가능해졌습니다
  • Kubernetes Gateway/ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단과, WasmPlugin의 TrafficExtension 변환으로 인한 중복·과다 xDS 푸시 문제를 수정했습니다
  • 앰비언트 모드에서는 노드/kubelet 재시작 후 파드가 호스트 헬스 프로브 ipset에서 빠져 kubelet 프로브가 ztunnel로 리다이렉트되어 거부되던 문제를 수정했습니다
  • 그 외 소소한 수정 여러 건: Gateway API CRD가 최소 버전보다 낮을 때의 로그를 warn 레벨로 변경, 1.29.2 이전 사이드카 설정 생성 수정, krt 컨트롤러의 오래된 역인덱스 항목으로 인한 메모리 누수 수정
원문

Vitess

Storage & Data2026년 6월 25일

Vitess v24.0.2는 gRPC 인증 타이밍과 twopcz 값 이스케이프 관련 보안 강화 수정 2건에, 백업/복구, VReplication, vtgate, VTOrc, 커넥션 풀링 전반의 버그 수정을 더한 패치 릴리스입니다. 브레이킹 API나 설정 변경은 명시되지 않았습니다.

  • security보안 강화 수정 2건: gRPC 인증 타이밍, twopcz 반사값 처리

    static gRPC 인증 플러그인의 비밀번호 비교에서 발생하던 타이밍 사이드채널과 twopcz 핸들러의 반사값 이스케이프 누락을 수정했습니다. 두 건 모두 조건 없이 적용되므로, gRPC static auth를 쓰거나 twopcz 엔드포인트를 노출하는 환경이라면 v24.0.2로 업그레이드를 권장합니다.

주요 변경 (7)
  • servenv: static gRPC 인증 플러그인이 이제 상수 시간 비밀번호 비교를 사용해 타이밍 사이드채널을 막았습니다.
  • tabletserver: twopcz 핸들러가 반사되는 폼 값을 이스케이프 처리해 반사형 인젝션 가능성을 제거했습니다.
  • smartconnpool 다건 수정: MaxLifetime 지터, reopen 후 refresh worker 유지, idle reopen 정지, close 데드락, Setting 보존, closed pool에서의 SetCapacity 거부 처리.
  • VTOrc: PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 사이의 데드락을 해결했고, errant GTID 해소 시 게이지 값을 초기화합니다.
  • VReplication/vtgate: reshard 수렴 시 vstream StopOnReshard가 멈추는 문제, 교체된 태블릿의 취소된 연결 확인에서 오는 오래된 healthcheck 업데이트, binlog 디코딩 시 DECIMAL JSON 선행 0 처리를 수정했습니다.
  • vtgate: Filter 스트리밍 경로가 ToBoolean()을 사용해 정확한 결과를 내도록 고쳤고, OLAP/스트리밍 모드의 prepared statement에 전용 플랜을 적용합니다.
  • 그 외 소소한 수정 6건 정도: mysqlctl 원격 종료 타임아웃 전파, 백업 중 lastErr 초기화, discovery의 keyspaceState 누수, etcd2topo 락 정리 RPC 범위 제한, vttablet Stream의 스키마 덮어쓰기 문제.
원문

Vitess

Storage & Data2026년 6월 25일

v23.0.5는 버그 수정 중심의 패치 릴리스로, 보안 수준 강화 2건(심각도 medium)이 포함됩니다. 연결 풀링, 쿼리 플래닝, VReplication, VTOrc, 토폴로지, 백업/복구 전반에 걸쳐 수정이 이뤄졌으며 API, 설정, 기본값 변경은 없습니다.

  • security정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교

    정적 gRPC 인증 플러그인이 이제 비밀번호 비교에 일정 시간(constant-time) 알고리즘을 사용합니다. 정적 gRPC 인증을 쓰는 모든 배포에 적용됩니다.

  • securitytwopcz 핸들러의 반사 입력 이스케이프 처리

    twopcz 디버그 핸들러가 폼 입력값을 이스케이프 처리하여 반사형 입력 삽입을 차단합니다. twopcz 핸들러 엔드포인트에 접근 가능한 배포에 적용됩니다.

주요 변경 (7)
  • 보안 수정 2건(심각도 medium): 정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교, twopcz 핸들러의 반사 입력 이스케이프.
  • smartconnpool 연결 생명주기 버그 다수 수정: 만료된 대기자에 반환된 연결이 전달되는 문제, MaxLifetime 지터, reopen 후 refresh 워커 소실, 유휴 reopen 중단, close 데드락, 닫힌 풀에서 SetCapacity 거부 처리.
  • VTOrc의 forgetAliases 캐시 초기화 데이터 레이스, PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 간 데드락, errant GTID 해소 후 CurrentErrantGTIDCount 게이지가 초기화되지 않는 버그를 각각 수정.
  • VReplication 바이너리로그에서 DECIMAL JSON 값(예: 0.1)의 선행 0 보존 및 불필요한 선행 0 제거 처리가 이전 수정에서 누락된 케이스까지 완전히 적용.
  • VTGate 플래너가 DML IN/NOT IN 서브쿼리를 ListArg 플레이스홀더로 올바르게 대체하도록 수정; Filter 스트리밍 경로의 ToBoolean() 오류 수정 및 OLAP/스트리밍 모드 prepared statement 전용 플랜 생성 추가.
  • vstream StopOnReshard의 reshard 수렴 시 행 현상 수정, 교체된 태블릿의 취소된 연결 확인에서 발생하는 오래된 헬스체크 업데이트 제거.
  • 그 외: mysqlctl 원격 종료 타임아웃 전파 오류, Discovery keyspaceState 누수, etcd2topo 잠금 획득 정리 RPC 무한 증가, vttablet Stream의 비-키스페이스 필드 스키마 덮어쓰기 버그 수정.
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.38.3은 보안 전용 릴리스로, 15개 CVE와 상위 의존성 wasmtime의 CVE 1건을 수정합니다. 그 중 TLS SAN NUL 바이트 인증 우회(CVE-2026-47778)와 HTTP/3→HTTP/1 요청 스머글링(CVE-2026-48743) 두 건이 Critical로, 나머지 13건은 크래시·DoS·힙 오버플로·데이터 유출 등을 포함하는 High 등급입니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 포함되면 비교 시 문자열이 잘려 인증서 기반 인증을 우회할 수 있습니다. 조건 없이 v1.38.3으로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3 → HTTP/1 요청 스머글링 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청이 HTTP/1 백엔드로 스머글링될 수 있습니다. HTTP/3을 HTTP/1로 프록시하는 배포 환경은 모두 영향을 받으며, v1.38.3으로 업그레이드해야 합니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 "skipped" TLV를 그대로 내보내 공격자가 제어하는 데이터 최대 65 KB가 업스트림 애플리케이션 스트림으로 유입됩니다. v1.38.3으로 업그레이드해야 합니다.

  • breakingIntel DLB 연결 밸런서 확장 제거됨

    컨트리뷰션 확장 envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서)가 소스 아카이브 손상으로 v1.38.3에서 Bazel 빌드 레이어 전체에서 비활성화됐습니다. 이 확장에 의존하던 배포 환경은 다른 연결 밸런서로 전환해야 합니다.

  • breakingTLS 인증서 Brotli 압축 기본값 비활성화로 변경

    런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli가 기본값 비활성화로 변경됐습니다. 비활성화 상태에서는 QUIC이 zlib 전용 인증서 압축을 사용하고, TCP TLS는 인증서 압축을 수행하지 않습니다. Brotli 압축에 의존하던 경우 업그레이드 후 해당 플래그를 명시적으로 다시 활성화해야 합니다.

주요 변경 (8)
  • CRITICAL: TLS SAN NUL 바이트 잘림으로 인증서 인증 우회 가능 (CVE-2026-47778, 전체 15개 CVE 중 최고 심각도)
  • CRITICAL: Content-Length가 있는 헤더 전용 HTTP/3 요청을 통한 HTTP/1 요청 스머글링 (CVE-2026-48743)
  • HIGH: PROXY Protocol v2가 업스트림 스트림으로 최대 65 KB 유출 (CVE-2026-47692); OAuth2 PKCE 패딩 오라클 (CVE-2026-47775) 및 스트림 종료 후 비동기 토큰 완료 시 UAF/크래시 (CVE-2026-48090)
  • HIGH: authz 퍼-라우트 (CVE-2026-47205), 라우터 내부 리다이렉트 (CVE-2026-47221), REQUESTED_SERVER_NAME (CVE-2026-47220), Connect→direct_response의 grpc_stats 필터 (CVE-2026-47204), ext_proc 단일 gRPC 메시지 응답 (CVE-2026-47207)에서 크래시 수정
  • HIGH: zstd RLE 집 밤 DoS (CVE-2026-48044), JSON 깊은 중첩 소멸자 스택 오버플로 (CVE-2026-48042), DNS UDP 필터 비정상 종료 (CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로 (CVE-2026-48706), HTTP/3 QPACK 블록 디코딩 DoS (GHSA-p7c7-7c47-pwch)
  • CVE-2026-47261 해결을 위해 wasmtime 의존성 업그레이드 (중간 심각도)
  • 소스 아카이브 손상으로 Intel DLB 컨트리뷰션 확장(envoy.network.connection_balance.dlb) 전체 빌드에서 비활성화
  • 런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli 기본값이 비활성화로 변경됨 — TCP TLS 인증서 압축이 중단되고 QUIC은 zlib 전용으로 복귀
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.37.5는 보안 전용 릴리스로, Envoy 자체 CVE/GHSA 15건과 upstream 의존성 CVE 1건을 수정합니다. 심각도는 Critical까지 올라가며, HTTP/3→HTTP/1 요청 밀수, TLS SAN 인증 우회, PROXY Protocol v2 업스트림 스트림 유출 등 Critical 3건이 특히 주목됩니다. v1.37.x 배포라면 지체 없이 업그레이드해야 합니다.

  • securityCritical: HTTP/3 → HTTP/1 요청 밀수 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청으로 HTTP/1 업스트림에 요청을 밀수할 수 있습니다. HTTP/3을 종료하고 HTTP/1 백엔드로 프록시하는 모든 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityCritical: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 삽입된 인증서는 비교 시 그 지점에서 잘려 의도하지 않은 패턴에 매칭됩니다. TLS SAN 검증으로 인증 결정을 내리는 배포에서 인증 우회가 발생합니다. 즉시 업그레이드하세요.

  • securityCritical: PROXY Protocol v2 TLV 업스트림 스트림 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 건너뛰어야 할 TLV를 그대로 출력해, 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림에 유입됩니다. 업스트림 방향으로 PROXY Protocol v2 헤더를 생성하는 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityHigh: OAuth2 필터 패딩 오라클 및 UAF (CVE-2026-47775, CVE-2026-48090)

    CVE-2026-47775 (GHSA-396h-jpq4-vc7p)는 PKCE 코드 검증자 패딩 오라클 취약점이고, CVE-2026-48090 (GHSA-3cj2-c63f-q26f)는 스트림 해제 후 비동기 토큰 완료 시 UAF 위험입니다. 둘 다 envoy.filters.http.oauth2를 사용하는 배포에 적용됩니다.

  • securityHigh: HTTP/3 QPACK 블로킹 디코딩 DoS (GHSA-p7c7-7c47-pwch)

    HTTP/3 QPACK 블로킹 디코딩(GHSA-p7c7-7c47-pwch)을 악용해 HTTP/3 스택을 DoS 상태로 만들 수 있습니다. HTTP/3을 서비스하는 모든 배포에 적용됩니다.

  • securityHigh: grpc_stats 필터 세그폴트 (CVE-2026-47204)

    CVE-2026-47204 (GHSA-3jxh-8p6x-7pf6): Connect 프로토콜 요청이 direct_response 라우트로 전달될 때 grpc_stats 필터가 세그폴트를 일으킵니다. envoy.filters.http.grpc_stats를 사용하는 배포에 적용됩니다.

  • breakingIntel DLB 연결 밸런서 contrib 익스텐션 빌드 시 비활성화

    envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서) contrib 익스텐션이 소스 아카이브 손상으로 인해 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화되었습니다. 이 익스텐션을 사용하는 배포는 소스 문제가 해결될 때까지 로컬 우회 방법이나 대체 밸런싱 전략을 사용해야 합니다.

주요 변경 (5)
  • Critical CVE 3건 수정: HTTP/3→HTTP/1 요청 밀수(CVE-2026-48743), TLS SAN NUL 바이트 인증 우회(CVE-2026-47778), PROXY Protocol v2 업스트림 스트림 65 KB 유출(CVE-2026-47692).
  • High 심각도 CVE 9건 추가 수정: OAuth2 패딩 오라클·UAF(CVE-2026-47775, CVE-2026-48090), HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), grpc_stats 세그폴트(CVE-2026-47204), DNS UDP 필터 비정상 종료(CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706), 깊은 JSON 중첩 스택 오버플로(CVE-2026-48042), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), REQUESTED_SERVER_NAME 크래시(CVE-2026-47220), ext_proc gRPC 응답 크래시(CVE-2026-47207), authz 퍼라우트 크래시(CVE-2026-47205).
  • zstd 압축 해제 RLE 집 밤 DoS(CVE-2026-48044, High) 수정. zstd 필터를 사용하는 배포에 적용됩니다.
  • wasmtime 의존성 업그레이드로 CVE-2026-47261 해결.
  • envoy.network.connection_balance.dlb(Intel DLB) contrib 익스텐션이 소스 아카이브 손상으로 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화됨. 릴리스 노트에 로컬 우회 방법이 안내되어 있습니다.
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.36.9는 보안 패치만 포함된 릴리스로, TLS SAN 처리, HTTP/3, PROXY 프로토콜, JSON 파싱, OAuth2, ext_proc, grpc_stats, zstd, DNS, statsd에 걸쳐 15개 CVE(2개 critical, 나머지 high/medium)를 수정합니다. TLS SAN 인증 우회와 HTTP/3 요청 스머글링은 광범위하게 악용될 수 있으므로 즉시 업그레이드해야 합니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778 / GHSA-f8x4-rw5x-f3r7)

    TLS SAN에 NUL 바이트가 포함된 경우 SAN이 잘려 인증서 기반 인증 검사를 우회할 수 있습니다. 모든 배포에 영향을 미치므로 즉시 v1.36.9로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3-to-HTTP/1 요청 스머글링 (CVE-2026-48743 / GHSA-8phg-2h2q-jgxf)

    nonzero Content-Length를 가진 headers-only HTTP/3 요청이 HTTP/1 백엔드로 밀수될 수 있습니다. HTTP/3를 HTTP/1 백엔드로 프록시하는 환경에 영향을 줍니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692 / GHSA-wh36-hm39-mm3r)

    PROXY Protocol v2 헤더 생성기가 TLV를 잘못 방출해 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림으로 흘러들어갑니다. PROXY Protocol v2 헤더 생성기를 사용하는 환경에 해당합니다.

  • securityHIGH: 깊은 중첩 JSON으로 인한 스택 오버플로 (CVE-2026-48042 / GHSA-f24p-rxw2-g6pv)

    중첩 깊이가 매우 큰 JSON 입력이 들어오면 객체 소멸자에서 스택 오버플로가 발생해 프록시가 크래시됩니다. 모든 배포에 영향을 줍니다.

  • securityHIGH: wasmtime 의존성 CVE (CVE-2026-47261)

    CVE-2026-47261 해결을 위해 wasmtime 의존성이 업데이트되었습니다. Wasm 확장을 사용하는 모든 배포에 적용됩니다.

  • breakingDLB 커넥션 밸런서 확장 비활성화 (기능 제거)

    contrib Intel DLB 커넥션 밸런서 확장(envoy.network.connection_balance.dlb)이 소스 아카이브 문제로 인해 모든 플랫폼의 Bazel 빌드에서 비활성화되었습니다. 이 확장을 사용하던 빌드는 조용히 기능을 잃게 됩니다.

주요 변경 (8)
  • CRITICAL (2개): TLS SAN NUL 바이트 잘림으로 인한 인증 우회(CVE-2026-47778)와, headers-only HTTP/3 요청의 nonzero Content-Length를 이용한 HTTP/1 백엔드 요청 스머글링(CVE-2026-48743).
  • HIGH: PROXY Protocol v2 헤더 생성기가 skipped TLV를 잘못 방출해 공격자 제어 데이터 최대 65 KB가 업스트림 스트림으로 유출(CVE-2026-47692).
  • HIGH: 깊은 중첩 JSON 소멸자에서 스택 오버플로 발생, 전 배포 영향(CVE-2026-48042).
  • HIGH: 여러 필터의 크래시 및 보안 문제 수정 -- ext_proc 단일 gRPC 메시지 응답(CVE-2026-47207), grpc_stats가 direct_response 라우트에 Connect 프로토콜 요청 시 세그폴트(CVE-2026-47204), authz 퍼 라우트 크래시(CVE-2026-47205), 라우터 내부 리다이렉트 크래시(CVE-2026-47221).
  • HIGH: OAuth2 필터 두 가지 수정 -- PKCE 코드 검증자 패딩 오라클(CVE-2026-47775)과 스트림 해제 후 지연된 비동기 토큰 완료로 인한 UAF 위험(CVE-2026-48090).
  • HIGH: zstd RLE zip-bomb 압축 증폭(CVE-2026-48044), DNS UDP 필터 비정상 종료(CVE-2026-48497), HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706).
  • CVE-2026-47261 해결을 위한 wasmtime 의존성 업데이트(HIGH, 모든 배포 적용).
  • 소스 아카이브 문제로 contrib envoy.network.connection_balance.dlb(Intel DLB) 확장이 모든 빌드에서 비활성화.
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.35.13은 CVE 13건을 수정한 주요 보안 릴리스로, 그중 2건은 critical입니다. 업스트림 스트림에 최대 65KB가 유출되는 PROXY 프로토콜 v2 TLV 유출 결함과, 인증서 기반 인증을 우회할 수 있는 TLS SAN NUL 절단 결함이 포함됩니다. 소스 아카이브 문제로 contrib Intel DLB 커넥션 밸런서 확장도 비활성화됐습니다.

  • securityPROXY 프로토콜 v2 TLV 유출 (CVE-2026-47692)

    PROXY 프로토콜 v2 헤더 생성을 사용하는 모든 v1.35.13 배포에 해당합니다. CVE-2026-47692는 공격자가 조작한 "skipped" TLV로 인해 업스트림 애플리케이션 스트림에 최대 65KB가 유출되는 취약점입니다. 이 기능을 쓴다면 즉시 업그레이드하세요.

  • securityTLS SAN NUL 절단으로 인한 인증 우회 (CVE-2026-47778)

    SAN 기반으로 클라이언트 인증서를 검증하는 배포에 해당합니다. CVE-2026-47778은 TLS SAN에 삽입된 NUL 바이트로 인해 파싱된 이름이 잘려서, 의도하지 않은 호스트명과 일치하며 인증을 우회할 수 있는 취약점입니다. 즉시 업그레이드하세요.

  • security핵심 필터와 HTTP/3에 걸친 추가 CVE 11건

    ext_proc, 라우터 내부 리다이렉트, OAuth2(패딩 오라클과 비동기 토큰 완료 지연으로 인한 use-after-free 두 건), zstd 압축 해제, grpc_stats, JSON 파싱, DNS 필터, HTTP/3(content-length 검증 미비와 별도의 QPACK 기반 DoS), TcpStatsdSync 등에서 추가로 11건의 높은 심각도 CVE가 수정됐습니다. 각각 특정 필터나 코덱에 얽힌 크래시, DoS, 메모리 안전성 문제입니다. 전체 수정을 적용하려면 업그레이드하고, 사용 중인 필터를 확인해 우선순위를 정하세요.

  • securitywasmtime 의존성 업데이트로 CVE-2026-47261 수정

    com_github_wasmtime 의존성을 올려 별도의 wasmtime CVE(CVE-2026-47261)를 수정했습니다. Wasm 필터를 사용하는 배포에 해당합니다.

  • breakingIntel DLB 커넥션 밸런서 확장 비활성화

    contrib 확장 envoy.network.connection_balance.dlb(Intel DLB 커넥션 밸런서)가 소스 아카이브 문제로 모든 빌드와 플랫폼에서 Bazel 빌드 레벨에서 비활성화됐습니다. 이 확장을 활성화해 빌드하던 곳은 다른 커넥션 밸런서로 전환해야 합니다.

주요 변경 (7)
  • 이번 릴리스에서 CVE 13건이 수정됐고 그중 2건은 심각도 critical입니다: PROXY 프로토콜 v2 TLV 유출(CVE-2026-47692, 업스트림 스트림으로 최대 65KB 유출)과 TLS SAN NUL 절단으로 인한 인증 우회(CVE-2026-47778).
  • 핵심 요청 처리 경로에서 다수의 높은 심각도 결함이 수정됐습니다: ext_proc 단일 메시지 응답 처리(CVE-2026-47207), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), direct_response 라우트로의 Connect 프로토콜 요청 시 grpc_stats 세그폴트(CVE-2026-47204), 깊게 중첩된 JSON 소멸 시 스택 오버플로(CVE-2026-48042).
  • OAuth2 필터에서 서로 다른 두 건이 수정됐습니다: 코드 검증자 패딩 오라클(CVE-2026-47775), 스트림 종료 후 비동기 토큰 완료 지연으로 인한 use-after-free(CVE-2026-48090).
  • HTTP/3 스택이 두 가지 문제에서 강화됐습니다: 헤더만 있는 요청/응답의 content-length 미검증(CVE-2026-48743), QPACK 블록 디코딩을 악용한 DoS.
  • 그 외 높은 심각도 수정: zstd RLE 압축 해제 시 zip bomb(CVE-2026-48044), 긴 쿼리 이름으로 인한 DNS 필터 크래시(CVE-2026-48497), 큰 stats 이름으로 인한 TcpStatsdSync 버퍼 오버플로(CVE-2026-48706).
  • 업스트림 wasmtime 의존성을 올려 Wasm 필터의 CVE-2026-47261을 해결했습니다.
  • contrib 확장 envoy.network.connection_balance.dlb(Intel DLB)가 소스 아카이브 문제로 모든 빌드에서 Bazel 레벨에서 비활성화됐습니다.
원문

Buildpacks

CI/CD & App Delivery2026년 6월 24일

pack v0.40.7은 레지스트리 메시지 텍스트 수정, 내부 의존성 정리, 추천 빌더 변경을 담은 routine patch입니다. 운영자가 대응할 breaking이나 보안 변경사항은 없습니다.

주요 변경 (3)
  • yank 레지스트리 이슈 본문 텍스트 수정: `yank = true` 추가 및 코드 블록 처리로 가독성 개선
  • github.com/docker/docker에 대한 직접 의존성 제거
  • CLI가 추천 빌더로 `heroku/builder:24` 대신 `heroku/builder:26`을 제안
원문

OpenTelemetry

Observability2026년 6월 24일

v0.155.0은 운영자 입장에서 대응이 필요한 릴리스입니다. 안정화됐던 feature gate 7개가 제거되고, memory_limiter 메트릭 이름이 바뀌었으며, 설정/서비스 API 2개가 스냅샷 기반으로 대체 예정입니다. 나머지는 mdatagen과 새로 옮겨온 schemagen CLI 관련 도구 작업입니다.

  • breaking안정화된 feature gate 7개 제거

    confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 --feature-gates 플래그나 설정에 남아있다면 해당됩니다. v0.155.0에서 이 게이트들이 완전히 제거되어 참조가 남아있으면 시작 자체가 실패합니다. 업그레이드 전에 CLI 인자와 설정에서 모두 제거하세요.

  • breakingmemory_limiter 메트릭 이름에 접두사 추가

    memory_limiter 프로세서의 otelcol_processor_* 메트릭을 대시보드나 알림 규칙에서 사용 중이라면 해당됩니다. 다른 프로세서와 구분하기 위해 otelcol_processor_memory_limiter_* 로 이름이 바뀌었습니다. 대시보드와 알림 규칙, 메트릭 쿼리를 새 이름으로 수정해야 합니다.

  • breakingmdatagen의 reaggregation_enabled 설정 제거

    mdatagen metadata.yaml에서 reaggregation_enabled를 쓰던 커스텀 컴포넌트가 해당됩니다. 이 설정이 제거되고 이제 항상 메트릭별 재집계 설정이 생성됩니다. 기존 파일에 필드가 남아있어도 값은 무시되므로, 생성된 결과가 기대와 일치하는지 확인하세요.

  • breakingConfig watcher API deprecated, 스냅샷 기반으로 전환 권고

    service.Settings.CollectorConf나 extensioncapabilities.ConfigWatcher를 쓰는 익스텐션이나 코어 코드가 해당됩니다. 각각 service.Settings.ConfigSnapshot과 extensioncapabilities.ConfigSnapshotWatcher로 대체되며 deprecated 처리됐습니다. 즉시 강제되진 않지만 스냅샷 기반 API로 이전을 준비하세요.

주요 변경 (8)
  • 안정화됐던 feature gate 7개가 완전히 제거됨: confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting. 이제 이 게이트들을 참조하면 실패합니다.
  • memory_limiter 프로세서 메트릭 이름이 otelcol_processor_memory_limiter_* 접두사로 바뀌어 기존 대시보드와 알림이 깨집니다.
  • mdatagen의 reaggregation_enabled 메타데이터 설정이 제거되고, 이제 메트릭별 재집계 설정이 무조건 생성됩니다(기존 파일은 허용되지만 값은 무시됨).
  • service.Settings.CollectorConf와 extensioncapabilities.ConfigWatcher가 deprecated되고 ConfigSnapshot, ConfigSnapshotWatcher로 대체됨.
  • schemagen CLI가 opentelemetry-collector-contrib에서 이 저장소의 cmd/schemagen으로 이전됐고, 수작업 스키마 조각을 병합하는 overlayFile, 커스텀 Go 패키지 패턴을 지정하는 -p 플래그, component|package 강제 지정용 -m 플래그가 추가되고 외부 패키지 대상 모드 감지 버그도 수정됨.
  • mdatagen이 버전별 메트릭을 지원해 새 시맨틱 컨벤션으로 메트릭 이름/타입/속성 이전을 도와주며, 마지막 feature gate 제거 시 남던 잔여 파일 문제와 생성된 식별자의 약어 대문자화 오류도 고쳐짐.
  • pdata JSONUnmarshaler에 DisallowUnknownFields 옵션(기본값 false)이 추가되어, 켜면 알려지지 않은 OTLP JSON 필드를 에러로 처리할 수 있음(단, 활성화 시 하위 호환성은 떨어짐).
  • 미들웨어 설정(pkg/config/configmiddleware)이 스키마 기반 정의로 이전됨.
원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v2.3.3은 OCI 패키지 서명 검증의 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94)을 수정하고, namespaced XR에서 `crossplane render`가 잘못된 namespace를 주입하던 버그를 고칩니다.

  • securityOCI 서명 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94) — 즉시 업그레이드 필요

    이 취약점은 악의적인 OCI 레지스트리가 서명 검증을 통과한 뒤 서명되지 않은 패키지 콘텐츠를 제공할 수 있는 문제입니다. OCI 레지스트리에서 패키지를 설치하는 모든 Crossplane 환경에 해당됩니다. v2.3.3으로 업그레이드하고, 취약한 버전에서 설치된 패키지는 재설치를 검토하세요. 기술 세부사항은 crossplane-runtime v2.3.3 어드바이저리를 확인하세요.

  • securitygolang.org/x/net, x/sys CVE 패치 — 소스 빌드 환경 확인 필요

    Crossplane을 소스에서 빌드하거나 자체 provider/function에서 이 라이브러리를 vendor로 관리하는 팀은 의존성 버전을 v2.3.3 기준으로 맞춰야 합니다. 공식 이미지를 사용 중이라면 v2.3.3 이미지에 이미 패치된 버전이 포함되어 있습니다.

  • breakingnamespaced XR에서 crossplane render의 namespace 주입 동작 변경

    CI 파이프라인이나 로컬 테스트에서 `crossplane render`를 namespaced XR 대상으로 실행한다면, 이제 injected resource ref에 namespace가 붙지 않습니다. 실제 reconciler 동작에 맞춘 수정이지만, 기존 render 테스트 결과가 달라질 수 있습니다. 업그레이드 후 render 테스트를 다시 돌려 예상치 못한 차이가 없는지 확인하세요.

주요 변경 (4)
  • OCI 패키지 서명 검증 TOCTOU 취약점 수정 — crossplane-runtime v2.3.3 통해 반영 (GHSA-mf7q-r4rv-jv94)
  • namespaced XR의 resource ref에 namespace가 잘못 설정되던 `crossplane render` 버그 수정 — KCL 바인딩 등 strict schema 함수가 깨지는 문제 해결
  • Go 툴체인을 1.25.11로 업그레이드
  • apis 모듈 내 golang.org/x/net 및 golang.org/x/sys를 CVE 패치 버전으로 업데이트
원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v2.2.3은 패키지 서명 검증의 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)을 패치하고, Go 툴체인과 의존성 보안 업데이트를 포함한 패치 릴리스입니다.

  • security태그 기반 패키지 설치를 사용한다면 즉시 v2.2.3으로 업그레이드

    Crossplane 패키지를 태그로 설치하고 직접 통제하지 않는 레지스트리를 사용하는 경우, 이 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)에 노출됩니다. 악의적인 레지스트리가 서명 검증 단계에는 올바른 이미지를, 실제 설치 단계에는 서명되지 않은 다른 이미지를 반환할 수 있었습니다. v2.2.3으로 즉시 업그레이드하세요. 추가 방어 수단으로, 패키지 설치 시 태그 대신 다이제스트 참조로 전환하는 것도 고려할 만합니다.

  • securityGo 1.25.11 및 golang.org/x/net v0.55.0 업스트림 보안 패치 반영

    Go 툴체인과 net 패키지 업데이트는 업스트림 보안 수정을 포함합니다. v2.2.3으로 업그레이드하는 것 외에 별도 조치는 필요 없지만, 컨테이너 이미지 CVE 스캔을 운영 중이라면 이전 버전 이미지에서 관련 취약점이 탐지될 수 있으므로 v2.2.3을 컴플라이언스 스캔 기준 이미지로 삼으세요.

주요 변경 (4)
  • TOCTOU 취약점(GHSA-wfqx-gjrf-g28r) 수정: 태그 참조를 다이제스트로 한 번만 변환해 서명 검증과 이미지 풀에 동일하게 사용
  • Go 툴체인 1.25.11로 업그레이드
  • golang.org/x/net v0.55.0으로 업데이트
  • crossplane-runtime v2.2.3으로 업데이트
원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v2.1.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v1.20.10이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

OpenKruise

CI/CD & App Delivery2026년 6월 21일

OpenKruise v1.9.0은 워크로드 기능을 여럿 추가하고, ImagePullJob CPU 급등·SidecarSet 패닉 등 프로덕션에서 실제로 문제가 됐던 버그들을 다수 수정했습니다.

  • breakingmaxUnavailable/maxSurge 문자열 값, 이제 webhook에서 거부됨

    maxUnavailable: '5'처럼 정수를 따옴표로 감싼 문자열 형식은 이제 admission webhook에서 거부됩니다. CloneSet 스펙이나 Helm 차트에서 이런 방식으로 값을 지정하고 있다면 업그레이드 후 배포가 막힙니다. v1.9.0 업그레이드 전에 관련 매니페스트를 미리 점검하세요.

  • enhancementImagePullJob CPU 스파이크 수정 — 대규모 클러스터라면 업그레이드 우선 검토

    reconcile이 연쇄적으로 증폭되면서 controller-manager CPU가 급등하는 버그가 있었습니다. 원인 불명의 CPU 압박을 겪고 있었다면 이 버그일 가능성이 높습니다. v1.9.0으로 올리면 별도 설정 변경 없이 해결됩니다.

  • enhancementCloneSet progressDeadlineSeconds·OnDelete 전략 활용 검토

    CloneSet에 progressDeadlineSeconds가 추가되어 롤아웃이 멈췄을 때 자동으로 감지할 수 있습니다. 지금까지는 외부 모니터링 없이는 stuck 상태를 잡기 어려웠는데 이 필드로 해결됩니다. OnDelete 전략은 수동 업그레이드 제어가 필요한 팀에 유용합니다. CloneSet으로 카나리·단계적 배포를 운영 중이라면 두 옵션 모두 검토해 볼 만합니다.

주요 변경 (5)
  • ImagePullJob: 연쇄 reconcile 증폭으로 인한 CPU 스파이크 수정, 노드별 동시성 제어 추가 — 대규모 이미지 풀 환경에서 특히 중요
  • SidecarSet: Pod 삭제 시 패닉 및 null pointer 접근 버그 수정, 컨테이너 순서 주입·shareVolumeDevicePolicy 지원 추가
  • CloneSet: progressDeadlineSeconds·OnDelete 업데이트 전략 추가, CloneSetEventHandlerOptimization 활성 시 라이프사이클 훅 누락 버그 수정
  • UnitedDeployment: ReserveUnschedulablePods 기능 추가 — 스케줄 불가 Pod를 교체하지 않고 유지
  • PodUnavailableBudget이 Pod RESIZE 액션을 보호 — in-place 수직 스케일링 사용 시 유용
원문

Helm

Kubernetes Core2026년 6월 20일

Helm v3.21.2는 Kubernetes v1.36 클라이언트 라이브러리를 업데이트합니다. Kubernetes v1.36 클러스터와의 호환성을 유지하기 위한 정기 패치이므로 업그레이드하세요.

  • enhancementKubernetes v1.36을 운영 중이면 v3.21.2로 업그레이드

    Helm v3.21.2는 Kubernetes 클라이언트 라이브러리(client-go)를 v1.36 API에 맞춰 업데이트했습니다. 이미 Kubernetes v1.36 클러스터를 운영한다면 Helm을 v3.21.2로 업그레이드해 완전한 호환성을 확보하고 클라이언트-서버 버전 차이로 인한 문제를 피하세요. 이전 Kubernetes 버전을 사용 중인 팀은 즉시 업그레이드할 필요는 없지만, 일관성 유지 차원에서 권장합니다.

주요 변경 (3)
  • Kubernetes 클라이언트 라이브러리를 v1.36으로 업데이트
  • Helm 3.22.0이 Helm 3의 마지막 기능 릴리스가 될 예정
  • 3.21.3은 버그 수정만 포함
원문

Lima

Kubernetes Core2026년 6월 19일

Lima v2.1.3은 보안 패치 중심 릴리스입니다. QEMU VM 내 권한 상승(CVE-2026-53657)과 containerd 다수 CVE를 수정했으니 즉시 업그레이드해야 합니다.

  • securityQEMU 권한 상승(CVE-2026-53657) 즉시 패치

    QEMU 기반 Lima VM에서 비특권 사용자가 게스트 에이전트 소켓을 통해 VM 내 root를 획득할 수 있는 취약점입니다. 여러 사용자가 VM을 공유하거나 신뢰할 수 없는 워크로드를 실행 중이라면 우선순위가 높습니다. v2.1.3으로 업그레이드하고 영향받는 VM을 재시작하세요.

  • securitynerdctl v2.3.3에 포함된 containerd CVE 5건 패치 필요

    containerd v2.3.2에서 CVE 5건이 수정됐고, 이번 Lima 릴리스에 nerdctl v2.3.3으로 번들됩니다. Lima VM에서 컨테이너 워크로드를 실행 중이라면 기존 버전의 containerd가 노출된 상태입니다. Lima를 업그레이드한 뒤 VM을 재시작하거나 재생성해 새 nerdctl 바이너리가 반영되도록 하세요.

  • breaking비Linux 게스트에서 containerd.user 기본값 변경 확인 필요

    macOS, Windows 게스트에서 containerd.user=true가 더 이상 자동으로 설정되지 않습니다. 명시적 설정 없이 rootless containerd를 사용하던 환경이라면 업그레이드 후 VM 설정을 확인하고, 필요하면 containerd.user=true를 명시적으로 지정하세요.

주요 변경 (5)
  • CVE-2026-53657 수정: QEMU 게스트 에이전트 소켓을 통해 VM 내 임의 사용자가 root 권한 획득 가능했던 문제 해결
  • nerdctl을 v2.3.3으로 업데이트, 내부적으로 containerd v2.3.2를 포함해 CVE-2026-50195 등 5개 CVE 패치
  • 기본 템플릿 이미지가 ubuntu-25.10에서 ubuntu-26.04로 변경
  • 비Linux 게스트(macOS, Windows)에서 containerd.user가 더 이상 기본값 true로 설정되지 않음
  • copytool auto 모드에서 원본과 대상이 모두 원격일 경우 scp로 폴백
원문

containerd

Kubernetes Core2026년 6월 19일

containerd v2.1.9은 CVE 5건을 수정한 보안 패치 릴리스입니다. containerd 2.1.x를 운영 중이라면 즉시 업그레이드 계획을 세우세요.

  • securityCVE 5건 패치 — containerd 2.1.x 즉시 업그레이드

    이번 릴리스에서 containerd 자체 CVE 5건을 수정했습니다. 어드바이저리가 아직 공개되지 않아 심각도를 확인할 수 없지만, 패치 릴리스 하나에 CVE가 5건이면 빠르게 대응해야 합니다. Kubernetes 노드 이미지, 관리형 노드 그룹, bare-metal CRI 환경 모두 이번 주 안에 업그레이드 일정을 잡으세요.

  • securityrunc v1.3.6 확인 — containerd 업그레이드만으로는 부족할 수 있음

    이번 릴리스에 포함된 runc 바이너리는 v1.3.6입니다. runc를 containerd와 별도로 관리하는 환경(Kubernetes 노드에서 흔한 구성)이라면, containerd를 올려도 runc는 그대로입니다. 별도 설치된 runc가 v1.3.6 이상인지 직접 확인하세요.

  • enhancement체크포인트 복원 로직 강화 — CRIU 사용 환경은 복원 동작 검증 필요

    CRI 체크포인트/복원과 관련해 세 가지가 바뀌었습니다. 예상치 못한 아카이브 내용을 거부하고, 복원된 체크포인트의 재태깅을 건너뛰며, CDI 어노테이션을 필터링합니다. CRIU 기반 라이브 마이그레이션을 쓰는 팀은 업그레이드 후 복원 워크플로우를 반드시 테스트해 기존 동작에 영향이 없는지 확인하세요.

주요 변경 (5)
  • CVE 5건 패치: CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262
  • runc v1.3.6으로 업데이트
  • Go 런타임 1.26.4 / 1.25.11로 업데이트
  • CRI 체크포인트 복원 시 CDI 어노테이션 필터링 추가
  • openBoundedUserFile에서 사용자 DB 파일 읽기 크기 제한 적용
원문

containerd

Kubernetes Core2026년 6월 19일

containerd 1.7.33은 containerd 자체 CVE 2건과 go-jose CVE 1건을 패치하고, runc를 v1.3.6으로, Go 런타임을 업데이트했습니다. 업그레이드 이유는 보안 패치가 전부입니다.

  • securityCVE 3건 수정 — 1.7.33으로 바로 업그레이드

    containerd 본체에서 CVE-2026-53488과 CVE-2026-47262, go-jose에서 CVE-2026-34986이 수정됐습니다. 세부 내용은 GitHub 보안 어드바이저리를 확인하세요. containerd 1.7.x를 운영 중이라면 이전 패치 버전에 머물 이유가 없으므로 즉시 업그레이드하는 것이 좋습니다.

  • security이미지 config에서 예약 레이블 전파 차단

    이미지 config에 포함된 reserved label이 외부로 전파되지 않도록 수정됐습니다. 레이블 기반 접근 제어나 정책 적용을 운영 중이라면 업그레이드 후 동작을 검증하고, CVE-2026-47262 어드바이저리에서 영향 범위를 확인하세요.

  • enhancementrunc v1.3.6 반영 확인 필요

    containerd에 번들된 runc가 v1.3.6으로 올라갔습니다. runc를 별도로 관리하는 환경이라면 설치된 버전이 v1.3.6 이상인지 확인해 containerd와 버전을 맞추세요.

주요 변경 (5)
  • containerd 코어 CVE-2026-53488, CVE-2026-47262 패치
  • go-jose CVE-2026-34986 대응으로 go-jose/v3 v3.0.5로 업그레이드
  • runc 바이너리 v1.3.6으로 업데이트
  • Go 런타임 1.26.4 / 1.25.11로 업데이트
  • openBoundedUserFile에서 사용자 DB 파일 읽기 크기 제한 추가(하드닝)
원문

containerd

Kubernetes Core2026년 6월 19일

containerd v2.0.10은 CVE-2026-53488, CVE-2026-47262 두 건의 취약점을 수정하고 runc를 v1.3.6으로 올렸습니다. 2.0.x를 운영 중이라면 즉시 업그레이드하세요.

  • securityCVE 두 건 수정 — 즉시 업그레이드

    CVE-2026-53488과 CVE-2026-47262가 이번 릴리스에서 함께 수정됐습니다. 각 어드바이저리(GHSA-xhf5-7wjv-pqxp, GHSA-jpcc-p29g-p8mq)에서 영향 범위를 확인하세요. containerd 2.0.x를 운영 중인 노드는 노출 여부를 따지기 전에 v2.0.10으로 먼저 올리는 것이 맞습니다. 런타임 레벨 취약점이라 영향 범위가 넓을 수 있습니다.

  • securityrunc v1.3.6으로 업데이트

    containerd에 포함된 runc 바이너리가 v1.3.6으로 올라갔습니다. v1.3.4, v1.3.5의 수정 사항도 포함됩니다. runc를 패키지 매니저 등으로 별도 관리하는 경우, containerd 업그레이드와 별개로 runc 버전도 v1.3.6에 맞춰 확인하세요.

  • enhancement이미지 config의 reserved 레이블 전파 차단

    컨테이너 실행 시 containerd의 reserved 레이블이 이미지 config에서 더 이상 전파되지 않습니다. 실행 중인 컨테이너의 레이블을 읽는 자동화 도구를 운영 중이라면, 업그레이드 후 동작을 확인하세요. 조용한 동작 변경이라 레이블 기반 로직에 영향을 줄 수 있습니다.

주요 변경 (5)
  • CVE-2026-53488 패치 (GHSA-xhf5-7wjv-pqxp 참고)
  • CVE-2026-47262 패치 (GHSA-jpcc-p29g-p8mq 참고)
  • runc v1.3.6으로 업데이트
  • Go 런타임 1.26.4/1.25.11로 업데이트
  • 사용자 DB 파일 읽기에 상한 적용, 이미지 config의 reserved 레이블 전파 차단
원문

containerd

Kubernetes Core2026년 6월 19일

containerd 2.3.2는 CVE 5건을 포함한 보안 패치와 런타임 안정성 수정이 핵심입니다. 2.3.x를 운영 중이라면 즉시 업그레이드하세요.

  • securityCVE 5건 패치 — 2.3.x 노드 즉시 업그레이드 필요

    이번 릴리스에서 containerd 코어 관련 CVE가 한 번에 5건 패치됐습니다. 어드바이저리가 아직 전부 공개되지 않았지만, 한 패치 릴리스에 5건이 몰린 만큼 노출 범위가 작지 않습니다. 2.3.x를 운영 중인 팀은 다음 정기 점검을 기다리지 말고 containerd 바이너리를 2.3.2로, runc는 v1.4.3으로 함께 업그레이드하세요. 노드 프로비저닝 파이프라인도 버전을 맞춰 업데이트하세요.

  • enhancement이미지 풀 시 일시적 네트워크 오류 재시도 지원

    마지막으로 설정된 레지스트리 호스트에서 일시적 네트워크 오류가 발생할 때 자동으로 재시도하도록 resolver가 수정됐습니다. 별도 설정 변경 없이 적용되며, 네트워크 불안정 환경에서 간헐적 이미지 풀 실패를 겪었다면 이 패치로 개선될 수 있습니다.

  • enhancement느린 컨테이너 생성 시 RPC 타임아웃 실패 수정

    runc shim이 runc create 호출 전체를 서비스 락을 잡은 채로 실행하면서, 컨테이너 생성이 느릴 때 동시 RPC 타임아웃이 발생해 시작에 실패하는 문제가 있었습니다. 부하가 걸린 상태에서 컨테이너가 시작되지 않거나 멈추는 증상을 겪었다면 이번 패치로 해결될 가능성이 높습니다.

주요 변경 (5)
  • CVE 5건 패치 (CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262) — 상세 내용은 GitHub Security Advisories 참고
  • runc v1.4.3, Go 1.26.4로 업데이트
  • golang.org/x/crypto v0.49.0 → v0.53.0 및 기타 golang.org/x 의존성 일괄 업데이트
  • Windows 환경에서 shim 로그 읽기 시 발생하던 데이터 레이스 수정
  • 컨테이너 생성이 느릴 때 동시 RPC 타임아웃으로 시작 실패하던 문제 수정
원문

containerd

Kubernetes Core2026년 6월 19일

containerd 2.2.5는 5개의 CVE를 수정하고 runc를 v1.3.6, Go를 1.26.4/1.25.11로 올린 보안 중심 패치 릴리스입니다. 2.2.x를 운영 중이라면 빠른 업그레이드가 필요합니다.

  • securityCVE 5건 패치 — 2.2.x 노드 즉시 업그레이드 필요

    이번 릴리스는 containerd 자체에서 발견된 CVE 5건을 수정합니다. 각 취약점 상세 내용은 공개된 보안 어드바이저리를 참고하세요. 2.2.x를 운영 중인 클러스터는 2.2.5로 업그레이드해야 합니다. runc도 v1.3.6으로 올라갔으므로, 배포 전에 runc 릴리스 노트도 함께 확인하세요.

  • securitygolang.org/x/crypto 등 x/ 라이브러리 대폭 업데이트 — 커스텀 플러그인 빌드 시 재빌드 필요

    golang.org/x/crypto가 v0.45.0에서 v0.53.0으로, golang.org/x/net이 v0.47.0에서 v0.55.0으로 올라갔습니다. containerd를 벤더링하거나 라이브러리를 직접 참조해 플러그인을 빌드하고 있다면, 의존성을 다시 vendor하고 재빌드하세요. crypto 범위 내에는 여러 보안 수정이 포함되어 있습니다.

  • enhancement체크포인트/복원 사용 시 이번 릴리스 우선 적용 권장

    CRI 체크포인트 복원 관련 버그 3건이 한꺼번에 수정됐습니다. CDI 어노테이션이 복원 시 제대로 필터링되고, 복원된 체크포인트가 잘못 재태깅되는 문제가 없어졌으며, 비정상적인 아카이브 콘텐츠에 대한 처리도 강화됐습니다. 프로덕션에서 컨테이너 체크포인트/복원을 쓰고 있다면 업그레이드 우선순위를 높이세요.

주요 변경 (5)
  • CVE 5건 패치: CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262
  • runc 바이너리를 v1.3.6으로 업데이트
  • Go 런타임을 1.26.4/1.25.11로 업데이트
  • golang.org/x/crypto v0.45.0 → v0.53.0 등 x/ 계열 의존성 전체 업데이트
  • CRI 체크포인트 복원 안정성 개선: CDI 어노테이션 필터링, 재태깅 버그 수정, 비정상 아카이브 처리 강화
원문

Linkerd

Networking & Messaging2026년 6월 19일

Linkerd edge-26.6.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Argo

CI/CD & App Delivery2026년 6월 18일

Argo CD 3.4.4는 헬스 체크, RBAC, diff, 템플릿 렌더링 안정성 개선에 초점을 맞춘 패치 릴리스입니다. 다중 네임스페이스 구성이나 Dex 인증을 사용한다면 업그레이드하세요.

  • breaking다중 네임스페이스 RBAC 회귀 수정

    이전 릴리스에서 다중 네임스페이스 아키텍처의 프로젝트 범위 리소스에 대한 RBAC 제어가 깨졌습니다. 이 패치가 정상 동작을 복구합니다. 여러 네임스페이스에 걸쳐 프로젝트 수준 RBAC 제한을 사용 중이라면 업그레이드 후 접근 제어가 올바르게 작동하는지 확인하세요. 특히 프로젝트 범위 리소스 가시성을 점검하세요.

  • enhancement헬스 체크 안정성 개선

    PromotionStrategy 헬스 체크가 no-op 재생성 후 잘못된 Progressing 상태를 보고하여 배포를 차단했습니다. 이제 고쳐졌습니다. PromotionStrategy를 사용 중이면 업그레이드하여 수동 개입이 필요한 고착 상태를 피하세요.

  • enhancement서버측 diff 회귀 복구

    최근 변경으로 새 객체에 대한 서버측 diff가 깨져 에러가 발생했습니다. 이 패치가 diff 기능을 복구합니다. 배포 파이프라인에서 서버측 diff를 의존 중이라면(특히 새 리소스의 경우) 이 업데이트를 적용하여 정상 동작을 되돌리세요.

주요 변경 (5)
  • PromotionStrategy 헬스 체크 회귀 수정 - Progressing 상태에 갇히던 리소스 복구
  • 다중 네임스페이스 배포에서 프로젝트 범위 RBAC 회귀 수정
  • 새 객체에 대한 diff 에러 수정
  • 달러 기호가 포함된 Dex 비밀번호 파싱 수정
  • ApplicationSet RenderGeneratorParams의 cross-generator Values 템플릿 해석 수정
원문

Argo

CI/CD & App Delivery2026년 6월 18일

Argo CD v3.3.12는 동기화 상태 추적, 클러스터 옵저버 락, 설정 파싱, Git 저장소 깊이 처리를 수정한 유지보수 릴리스입니다. Breaking 변경은 없습니다.

  • securityDex 인증에서 특수문자를 포함한 암호 처리

    Dex 암호 파싱 시 달러 기호가 포함된 암호를 처리하지 못해 사용자 로그인이 차단될 수 있었습니다. Dex OIDC를 사용하고 최근 특수문자가 포함된 암호를 설정했거나 변경했다면 v3.3.12로 즉시 업그레이드하여 접근을 복구하세요. 업그레이드 후 Dex 로그인을 테스트하세요.

  • enhancementArgo Rollouts 사용 시 PromotionStrategy 상태 고정 해결

    Argo Rollouts를 사용하고 PromotionStrategy를 쓰는 경우, 설정 리로드 후 변경이 없더라도 애플리케이션이 Progressing 상태에 남아 있을 수 있었습니다. v3.3.12로 업데이트하여 이 문제를 해결하세요. 업그레이드 후 애플리케이션 상태가 정상화되었는지 확인하세요.

주요 변경 (5)
  • 공(no-op) 리하이드레이션 이후 PromotionStrategy 상태가 Progressing에서 해제됨
  • 클러스터 인포머에 락 추가로 동시 접근 문제 방지
  • 달러 기호를 포함한 Dex 암호 파싱 수정
  • 변경 감지 및 fetch 작업에서 Git 저장소 깊이 설정 반영
  • 정규화에서 실시간 상태 제외로 정확도 개선
원문

Helm

Kubernetes Core2026년 6월 18일

Helm v4.2.2는 WaitForDelete의 조기 종료 수정사항을 되돌렸습니다. 상태 감시 레이스 컨디션을 해결하기 위한 한 줄짜리 패치입니다.

  • breakingWaitForDelete 레이스 컨디션 재도입—테스트 스위트 행(hang) 현상 복귀 가능성

    이전에 수정된 WaitForDelete의 레이스 컨디션(상태 감시자가 워치를 조기에 취소하는 문제)이 v4.2.2에서 되돌려졌습니다. Helm 테스트 스위트를 광범위하게 실행하거나 WaitForDelete 동작에 의존 중이라면 업그레이드 후 간헐적인 행(hang) 또는 타임아웃이 다시 나타날 수 있습니다. 업그레이드 후 테스트 실행에서 불안정성을 모니터링하세요. 향후 패치에서 적절한 수정이 나올 가능성이 높으므로, v4.2.2에 오래 머물지 마세요.

주요 변경 (2)
  • WaitForDelete의 조기 종료 수정사항을 되돌림—전체 테스트 스위트 실행 중 간헐적 실패 유발
  • 상태 감시자가 워치를 조기에 취소하는 레이스 컨디션 재도입
원문

Prometheus

Observability2026년 6월 18일

Prometheus v3.5.4는 보안 패치 릴리스입니다. STACKIT SD의 시크릿 노출 버그를 고쳤고, Go 및 UI 의존성 여러 개에서 CVE를 패치했습니다. 빠른 업그레이드가 필요합니다.

  • securitySTACKIT SD 사용 중이라면 자격증명 즉시 교체

    /-/config 엔드포인트가 STACKIT SD 시크릿을 평문으로 노출하고 있었습니다. STACKIT SD를 쓰는 인스턴스에서 /-/config가 관리자 외에 접근 가능했다면 해당 자격증명이 유출됐다고 보고 즉시 교체해야 합니다. v3.5.4로 업그레이드한 뒤 /-/config 엔드포인트에 인증을 적용하세요.

  • securityGo CVE 세 건 패치 — 노출된 인스턴스라면 즉시 업그레이드

    GO-2026-5026, GO-2026-4918, GO-2026-4985가 golang.org/x/net v0.55.0, OpenTelemetry v1.43.0 업그레이드로 수정됩니다. 외부 트래픽을 받는 Prometheus 인스턴스를 운영 중이라면 다음 정기 점검 때까지 미루지 말고 이번 패치를 먼저 적용하세요.

  • enhancementghcr.io에서도 이미지 직접 pull 가능

    Prometheus 컨테이너 이미지가 이제 ghcr.io/prometheus/prometheus에도 게시됩니다. Docker Hub 속도 제한이나 접근 문제가 있는 환경이라면 이미지 소스를 ghcr.io로 전환하는 것을 검토하세요.

주요 변경 (4)
  • STACKIT SD가 /-/config 엔드포인트를 통해 시크릿을 평문으로 노출하던 문제 수정 (GHSA-39j6-789q-qxvh)
  • golang.org/x/net 및 OpenTelemetry 버전 업그레이드로 GO-2026-5026, GO-2026-4918, GO-2026-4985 패치
  • react-router-dom, vite, vitest, postcss 등 UI 의존성 보안 업데이트
  • 컨테이너 이미지가 ghcr.io에도 게시되기 시작
원문

Strimzi

Networking & Messaging2026년 6월 17일

Strimzi 1.0.1은 CVE 두 건을 패치하고, Entity Operator의 cross-namespace 감시 기능을 기본 비활성화로 변경했습니다. v1 CRD만 지원하는 정책은 1.0.0에서 이어집니다.

  • securityCVE 두 건 수정 — 빠른 업그레이드 권장

    CVE-2026-55225와 CVE-2026-55226이 1.0.1에서 수정됐습니다. 패치 릴리스 한 번에 CVE 두 건이 포함된 만큼, 정기 유지보수 시점을 기다리지 말고 업그레이드를 우선시하는 게 낫습니다. 세부 내용은 Strimzi 보안 어드바이저리를 확인하세요.

  • breakingwatchedNamespace 사용 중이라면 환경 변수 설정 필수

    Kafka CR의 Entity Operator 섹션에 watchedNamespace를 Kafka 클러스터와 다른 네임스페이스로 설정해 두었다면, 업그레이드 후 Topic/User Operator가 해당 네임스페이스를 감시하지 않습니다. Cluster Operator 디플로이먼트에 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED=true를 추가해야 합니다. 설정 누락 시 토픽·유저 reconciliation이 조용히 멈추므로, 모든 네임스페이스의 Kafka CR을 미리 확인하세요.

  • breaking업그레이드 전 CRD를 반드시 v1로 변환

    1.0.1은 v1 CRD만 인식합니다. 1.0.0으로의 마이그레이션 때 변환을 건너뛰었거나 구버전에서 직접 올린다면, 오퍼레이터 매니페스트를 적용하기 전에 Strimzi 1.0.1 배포 가이드의 CRD 변환 절차를 먼저 실행하세요. 변환 없이 오퍼레이터를 배포하면 reconciliation이 실패합니다.

주요 변경 (4)
  • v1beta2, v1beta1, v1alpha1 CRD API 버전이 모두 제거됨 — 업그레이드 전 CRD 변환 필수
  • CVE-2026-55225, CVE-2026-55226 두 건 패치
  • Entity Operator cross-namespace 감시 기능이 기본 비활성화로 변경됨
  • 새 환경 변수 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED로 해당 기능을 명시적으로 켜야 함
원문

Litmus

Observability2026년 6월 17일

Litmus 3.30.0이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

wasmCloud

Orchestration & Management2026년 6월 17일

wasmCloud 2.4.0은 WorkloadDeployments 자동 스케일링을 추가하고, 아키텍처 지원을 확대하며(s390x), wash CLI와 호스트 플러그인 API를 개선합니다. 대체로 운영상 이점이 있는 점진적 개선입니다.

  • enhancement변동 트래픽을 다루는 WorkloadDeployment는 자동 스케일링 활성화하기

    wasmCloud 2.4.0에서 WorkloadDeployments 자동 스케일링을 지원합니다. 현재 고정 레플리카 개수로 운영하면서 피크 시간이나 배치 처리 윈도우처럼 수요가 변동한다면, 자동 스케일링을 활성화하여 수동 조정과 유휴 비용을 줄일 수 있습니다. Helm 차트나 YAML 매니페스트에서 자동 스케일링 설정을 검토하고, 프로덕션 배포 전에 스테이징 환경에서 임계값을 테스트하세요.

  • enhancements390x나 다른 비x86 시스템에 배포하는 경우 wash CLI 업데이트하기

    wash가 이제 s390x-unknown-linux-gnu용으로 빌드됩니다. IBM 메인프레임이나 s390x 시스템을 운영 중이라면, 에뮬레이션이나 우회책 없이 wash를 네이티브로 빌드하고 실행할 수 있습니다. 릴리스 애셋에서 새 바이너리를 받아 호스트 설정과 호환되는지 확인하세요.

  • enhancement컨테이너 헬스 체크 설정을 검토하여 NATS 연결 상태 활용하기

    컨테이너 헬스 체크가 이제 별도 프로브 대신 NATS 연결 상태를 사용합니다. 장애 감지가 단순해집니다. 컨테이너가 NATS 연결을 잃으면 더 빠르게 unhealthy로 표시됩니다. 특히 지연 시간이 크거나 네트워크가 혼잡하여 NATS 재연결이 오래 걸릴 수 있는 환경에서는 헬스 체크 임계값과 타임아웃을 확인하세요.

주요 변경 (5)
  • WorkloadDeployments 자동 스케일링으로 수동 크기 조정 대신 수요 기반 스케일링 가능.
  • wash CLI가 s390x-unknown-linux-gnu 빌드를 지원하여 하드웨어 플랫폼 범위 확대.
  • wash-runtime 리팩터링으로 호스트 플러그인 API 사용성 개선.
  • 컨테이너 헬스 체크가 NATS 연결 상태 기반으로 작동하여 더 정확한 장애 감지.
  • 단일 워크로드가 여러 주제에서 수신할 수 있는 다중 구독 워크로드 지원.
원문

OpenFGA

Security2026년 6월 17일

v1.18.0은 OIDC 인증 우회와 preshared key 타이밍 취약점 두 가지 보안 버그를 수정합니다. MySQL 사용자는 스키마 마이그레이션으로 인해 업그레이드 전 유지보수 시간을 반드시 확보해야 합니다.

  • securityOIDC audience 우회 취약점 — 업그레이드 전 설정 확인 필수

    authn.oidc.audience를 설정하지 않으면 JWT audience 검증이 무음으로 건너뛰어졌고, 신뢰된 issuer가 발급한 모든 토큰이 수락됐습니다. 업그레이드 후에는 issuer와 audience가 모두 없으면 서버가 기동하지 않습니다. 배포 설정에 authn.oidc.audience가 명시돼 있는지 미리 확인하세요.

  • securityPreshared key 타이밍 사이드채널 수정 — 키 교체 고려

    기존 map lookup 기반 preshared key 검증은 응답 시간 차이로 유효한 키 바이트를 추측할 수 있었습니다. 이제 constant-time 비교로 수정됐습니다. 즉각적인 조치는 불필요하지만, 이 키가 신뢰할 수 없는 네트워크 경로에 오랫동안 노출됐다면 키를 교체하는 것이 좋습니다.

  • breakingMySQL 사용자: 서버 기동 시 auto-migration 실행 금지

    마이그레이션 008은 tuple 및 changelog 테이블에 공유 락을 획득합니다. 데이터가 많은 프로덕션 환경에서는 Write 작업이 장시간 차단될 수 있습니다. collation_migrations.md 운영 가이드를 먼저 읽고, 유지보수 시간을 잡아 마이그레이션을 수동으로 실행하세요. auto-migration 옵션은 반드시 끄세요.

주요 변경 (4)
  • MySQL 스키마 마이그레이션 008: 식별자 비교를 대소문자 구분(case-sensitive)으로 변경, tuple·changelog 테이블에 공유 락(shared lock) 획득
  • Preshared key 인증에 constant-time 비교 도입 — 이전 map lookup 방식의 타이밍 사이드채널 차단
  • OIDC 설정 검증 강화: authn.oidc.issuer 또는 authn.oidc.audience 누락 시 서버 기동 거부, 기존의 JWT audience 조용한 우회 방지
  • MySQL 식별자 비교 동작이 Postgres·SQLite와 동일하게 대소문자 구분으로 통일
원문

Rook

Storage & Data2026년 6월 17일

Rook v1.20.1은 Ceph 연산자 안정성에 중점을 둔 패치 릴리스입니다. Ceph CSI 드라이버 호환성, OSD 메이저 버전 관리, CSI-addons 기본 비활성화로 예기치 않은 동작을 줄였습니다.

  • breakingCSI-addons 기본 비활성화 — 클러스터 종속성 확인 필수

    v1.20.1에서 CSI-addons(스냅샷, 클론, 확장 기능)이 기본적으로 비활성화됩니다. 워크로드가 이 기능에 의존 중이면 Ceph 클러스터 spec에서 명시적으로 활성화해야 합니다. 활성화하지 않으면 RWX 볼륨 스냅샷과 클론이 실패합니다. 업그레이드 전에 Helm 값과 연산자 설정을 검토하고 필요시 addons를 활성화하세요.

  • enhancement노드 라벨로 OSD 디바이스 클래스 할당 — 수동 맵핑 대체

    각 노드마다 디바이스 클래스를 하드코딩하는 대신 Kubernetes 노드 라벨(예: `disk-type: ssd`)을 사용하여 OSD를 자동으로 분류할 수 있습니다. 혼합 하드웨어 클러스터 확장이 간단해집니다. 노드 라벨을 적용한 후 Ceph 클러스터 spec에서 참조하여 노드별 설정 편차를 피하세요.

  • enhancementCeph 메이저 업그레이드 후 require-osd-release 자동 설정

    Ceph 메이저 버전 업그레이드(예: Quincy에서 Reef로) 후 Rook이 `require-osd-release`를 자동으로 설정하여 구 OSD가 클러스터 준비 전에 다시 합류하는 것을 방지합니다. 업그레이드 전에 모든 OSD를 함께 업데이트할 수 있는지 확인하세요. 일부 OSD를 구 버전으로 고정했다면 고정을 해제할 때까지 합류가 차단됩니다.

주요 변경 (5)
  • Helm 차트에 Rook 호환 Ceph CSI 드라이버 값 추가됨
  • Ceph 메이저 업그레이드 후 OSD require-osd-release 자동 설정으로 버전 불일치 방지
  • CSI-addons는 기본적으로 비활성화되어 의도하지 않은 기능 활성화 방지
  • 노드 라벨을 이용한 OSD 디바이스 클래스 할당 지원으로 수동 설정 단순화
  • 사용하지 않는 MDS, RGW pod disruption budget 자동 삭제로 클러스터 운영 차단 회피
원문

Rook

Storage & Data2026년 6월 17일

Rook v1.19.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Backstage

CI/CD & App Delivery2026년 6월 17일

v1.52.0은 discovery API 기본값 변경, immediate stitching 제거, BUI union 타입 변경 등 세 가지 breaking change와 함께 PostgreSQL 카탈로그 성능 개선 및 다수의 안정성 수정이 포함됩니다.

  • breakingdiscovery.endpoints 마이그레이션 및 immediate stitching 설정 제거

    업그레이드 전에 두 가지 설정을 점검하세요. 첫째, `discovery.endpoints`에 내부 전용 문자열 타겟을 쓰고 있다면 객체 형태로 바꾸고 내부 URL은 `target.internal`에, 브라우저가 접근 가능한 URL은 `target.external`에 넣어야 합니다. 그렇지 않으면 프론트엔드가 내부 주소에 직접 요청을 보냅니다. 둘째, 설정 파일에서 `catalog.stitchingStrategy.mode: 'immediate'`를 삭제하세요. 이미 무시되지만 deprecation 경고가 발생합니다. 둘 다 설정 파일 수정으로 해결됩니다.

  • breakingComboboxProps / SelectProps 타입 확장 코드 업그레이드 전 수정 필요

    `ComboboxProps`와 `SelectProps`가 union 타입으로 바뀌었습니다. 두 타입을 `extends`로 확장한 인터페이스가 있으면 타입 에러가 납니다 — 타입 교차(intersection)로 바꾸세요. `.bui-SelectPopover`의 직계 자식으로 리스트 내용을 선택하던 CSS 셀렉터도 확인이 필요합니다. 런타임 폴백 없이 컴파일 단계에서 바로 실패합니다.

  • enhancementPostgreSQL 카탈로그 쿼리 성능 개선 — 마이그레이션만 실행하면 적용

    이번 릴리즈에 PostgreSQL 전용 쿼리 플래너 개선이 여러 건 포함됩니다. search 테이블에 다중 컬럼 통계 추가, 불필요한 레거시 인덱스 제거, vacuum 임계값 조정, count/list 쿼리 분리가 마이그레이션으로 자동 적용됩니다. 엔티티 수가 많은 환경에서 카탈로그 목록 조회가 10~40배 느렸다면 이 업그레이드가 직접적인 해결책입니다. 별도 설정 변경 없이 마이그레이션 실행만으로 적용됩니다. MySQL/SQLite 환경에는 해당되지 않습니다.

주요 변경 (7)
  • @backstage/plugin-app의 기본 discovery API가 FrontendHostDiscovery로 변경 — discovery.endpoints의 내부 전용 문자열 타겟을 객체 형태로 마이그레이션 필요
  • catalog.stitchingStrategy.mode: 'immediate' 제거 — 설정이 남아 있으면 경고 로그가 출력됨
  • ComboboxProps·SelectProps가 union 타입으로 변경 — 인터페이스 상속 코드 수정 필요
  • PostgreSQL 대상 카탈로그 백엔드 쿼리 플래너 개선 다수 포함 (다중 컬럼 통계, 레거시 인덱스 제거, count 쿼리 분리)
  • @backstage/connections 실험적 패키지 추가 — 기존 integrations의 장기 대체제 예정, 현재는 프로덕션 사용 금지
  • react-syntax-highlighter·@dagrejs/dagre 지연 로딩 전환으로 @backstage/core-components 초기 모듈 로드 약 10 MB 절감
  • 새로 생성되는 앱에 Yarn 4.13.0 및 npmMinimalAgeGate: 3d 설정이 기본 적용
원문

KubeVirt

Orchestration & Management2026년 6월 17일

KubeVirt v1.8.4는 virt-handler의 gRPC 연결 누수 버그 수정, CVE-2026-35469 패치, 누락된 메트릭·알림 추가를 담은 패치 릴리스입니다.

  • securityCVE-2026-35469 패치: v1.8.4로 즉시 업그레이드

    moby/spdystream 의존성에서 CVE-2026-35469(GHSA-pc3f-x583-g7j2)가 발견됐습니다. v1.8.4 이전 버전을 운영 중이라면 바로 업그레이드하세요. 내부 취약점 스캐너 결과에서 해당 CVE를 확인하고, 업그레이드 전후로 탐지 여부를 비교해두면 좋습니다.

  • breakinggRPC 연결 누수 수정 후 virt-handler 리소스 사용량 변화 확인

    GetLauncherClient의 연결 누수로 VMI 생성이 빈번한 클러스터에서는 메모리와 고루틴이 계속 쌓였습니다. 업그레이드 후 virt-handler 메모리 사용량이 눈에 띄게 줄어들 수 있으니, 누수 상태를 기준으로 설정했던 메모리 제한이나 알림 임계값이 있다면 재검토하세요.

  • enhancement새 메트릭·알림 추가 — 대시보드와 runbook 업데이트 필요

    virt 컴포넌트에서 빠져 있던 메트릭, recording rule, 알림이 추가됐습니다. 기존 Prometheus·Alertmanager 설정과 비교해 새로 추가된 항목을 확인하고, 필요한 알림을 runbook에 반영하세요.

주요 변경 (4)
  • CVE-2026-35469 대응: moby/spdystream v0.5.0 → v0.5.1 업그레이드 (GHSA-pc3f-x583-g7j2)
  • virt-handler GetLauncherClient의 gRPC 연결 누수 수정 — 동일 VMI에 여러 컨트롤러가 경쟁할 때 메모리·소켓·고루틴이 무제한 증가하던 문제
  • virt 컴포넌트의 누락된 메트릭, recording rule, 알림 추가
  • node-labeller에 --expand-cpu-features 및 --supported-cpu-features 플래그 적용
원문
← 최신이전 →