RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Cilium

Networking & Messaging2026년 6월 16일

Cilium v1.19.5는 정책 적용 버그, Gateway API 패닉, 로드밸런서 오동작 등을 수정한 버그픽스 중심 패치입니다. CVE는 없지만 업그레이드 전 확인이 필요한 항목이 있습니다.

  • breaking업그레이드 전 `l2podAnnouncements.interface` Helm 값 교체 필수

    `l2podAnnouncements.interface` Helm 키가 제거되었습니다. 이 키는 에이전트가 더 이상 읽지 않는 configmap 항목을 써서, L2 pod announcements가 활성화된 클러스터에서 crash-loop를 유발합니다. 업그레이드 전에 Helm values 파일에서 이 키를 찾아 `l2podAnnouncements.interfacePattern`으로 교체하세요. 교체하지 않으면 업그레이드 후 에이전트가 기동되지 않습니다.

  • breakingNamespaceSelector를 쓰는 CiliumEgressGatewayPolicy 동작 재확인 필요

    CiliumEgressGatewayPolicy의 NamespaceSelector 필드가 손상되어 해당 규칙이 실제로 적용되지 않는 버그가 있었습니다. 1.19.5로 업그레이드한 후에는 NamespaceSelector를 사용하는 이그레스 정책이 실제로 트래픽을 차단하는지 확인하세요. 이전까지 허용되던 트래픽이 수정 후 차단될 수 있습니다.

  • enhancementselectorless ipBlock 정책 사용 중이라면 동작 변화 확인

    와일드카드 네임스페이스 셀렉터가 pod selector 없는 ipBlock 규칙을 우회하던 버그가 수정되었습니다. 명시적 네임스페이스 셀렉터 없이 ipBlock만 쓰는 CiliumNetworkPolicy가 있다면 업그레이드 후 정책 적용 결과가 바뀔 수 있으니 실제 트래픽 패턴을 점검하세요.

주요 변경 (5)
  • selectorless ipBlock 규칙에서 와일드카드 네임스페이스가 정책을 우회하던 버그 수정
  • `l2podAnnouncements.interface` Helm 값 제거 — `interfacePattern`으로 마이그레이션하지 않으면 업그레이드 후 crash-loop 발생
  • CiliumEgressGatewayPolicy의 NamespaceSelector가 손상되어 이그레스 정책이 조용히 무력화되던 버그 수정
  • ClusterIP/LoadBalancer VIP가 노드 로컬 IP와 겹칠 때 노드 연결이 끊기던 버그 수정
  • 수천 개 서비스가 백엔드를 공유하는 환경에서 성능 저하 없이 동작하도록 로드밸런싱 내부 구조 리팩터링
원문

Cilium

Networking & Messaging2026년 6월 16일

Cilium 1.18.11은 메모리 누수, 소켓 처리 충돌, Gateway API 라우팅 버그를 고치는 패치 릴리스입니다. 호환성을 깨는 변경이 없으므로 1.18.x를 운영 중인 팀이 안전하게 적용할 수 있습니다.

  • security소켓 처리 에이전트 크래시가 보이면 패치 적용

    Cilium 1.18.11은 filterAndDestroySockets의 nil 포인터 역참조를 고칩니다. 에이전트 파드가 갑자기 재시작되거나 소켓 필터링 관련 panic 로그가 보이면 즉시 업그레이드하세요. 1.18.10 이하를 운영 중이라면 이 안정성 문제를 만날 수 있습니다.

  • breaking업그레이드 후 Cilium 관리 대상이 아닌 인터페이스의 MTU 설정 검증

    1.18.11은 MTU 처리를 변경해 Cilium이 관리하지 않는 인터페이스를 건너뜁니다. 인프라가 Cilium으로 외부 인터페이스(예: 호스트 관리 veth 쌍)의 MTU를 조정하는 데 의존한다면 스테이징 환경에서 먼저 테스트하세요. Cilium 소유 인터페이스를 altname으로 표시해야 MTU가 수정됩니다.

  • enhancementKubernetes Gateway API에 TLS 라우트를 사용하면 적용 권장

    이 패치는 Gateway API 지원의 두 가지 버그를 고칩니다: TLSRoute passthrough의 가중치 백엔드 라우팅과 혼합 리스너 처리. Gateway API를 TLS 종료 또는 passthrough로 운영하면 이 업그레이드로 조용한 라우팅 실패를 없앨 수 있습니다. 설정 변경은 필요 없으며 기존 Gateway API 리소스를 스테이징 클러스터에서 먼저 테스트하세요.

주요 변경 (5)
  • 큰 StateDB 트랜잭션에서 watch 채널 해시맵 재사용 시 발생하는 메모리 누수 해결
  • Gateway API TLSRoute passthrough 리스너에서 가중치가 있는 백엔드 트래픽 분할 수정
  • 소켓 필터링 코드의 nil 포인터 역참조 수정으로 에이전트 크래시 방지
  • MTU 변경 동작을 Cilium이 관리하는 인터페이스에만 적용하도록 수정
  • troubleshoot 명령어의 kvstore 및 clustermesh 진단 정보 확대
원문

Cilium

Networking & Messaging2026년 6월 16일

Cilium v1.17.17은 멀티풀 환경에서 CiliumNode 재시도 로직을 고치고 troubleshoot 명령어 출력을 개선한 패치 릴리스입니다. 호환성을 깨는 변경은 없습니다.

  • enhancement멀티풀 배포 환경에서 업그레이드 후 테스트

    Cilium v1.17.17에서는 CiliumNode 조회 재시도 메커니즘을 고쳤습니다. 멀티풀 IP 할당(클러스터당 여러 리소스 풀)을 운영 중이면, 업그레이드 후 파드 스케줄링과 IP 할당을 점검하세요.

  • enhancement개선된 troubleshoot 출력으로 클러스터 진단하기

    Troubleshoot kvstore와 clustermesh 명령어가 이제 더 자세한 진단 정보를 표시합니다. kvstore나 clustermesh 연결 문제를 조사할 때, 업그레이드 후 이 명령어들을 다시 실행해 더 풍부한 출력으로 원인을 빠르게 파악하세요.

  • enhancementEnvoy v1.37.x 업데이트 후 동작 확인

    번들된 Envoy 프록시가 v1.37.x로 올라갔습니다. Envoy v1.37.x 릴리스 노트에서 HTTP/2, 로드 밸런싱, 관찰성 영역의 동작 변화를 검토하세요. Envoy 1.36.x의 특정 동작에 의존 중이 아니면 조치 불필요합니다.

주요 변경 (4)
  • 멀티풀 환경에서 CiliumNode Get 에러 재시도가 정상 작동하도록 수정
  • Troubleshoot kvstore와 clustermesh 명령어에서 진단 정보 추가 제공
  • Envoy 프록시를 v1.37.x로 업데이트, Helm 차트의 레지스트리 접두사 오버라이드 지원
  • Go 패키지, Kubernetes 유틸리티, Ubuntu 기본 이미지 의존성 갱신
원문

Flatcar Container Linux

Provisioning & Runtime2026년 6월 16일

Flatcar stable-4593.2.3은 Linux 6.12.93으로 업데이트하면서 커널 CVE 8개를 패치하고 NVMe/TCP 지원을 추가했습니다.

  • security커널 CVE 8개 — 노드 교체 일정 잡으세요

    이번 릴리스에서 Linux 커널 CVE 8개를 한꺼번에 수정했습니다. 2026- 접두사 CVE ID라 NVD에 아직 상세 정보가 없지만, 커널 CVE가 여러 개 묶인 경우 다음 정기 점검까지 기다리지 않는 편이 좋습니다. Flatcar 노드를 베어메탈이나 클라우드 VM으로 운영 중이라면 노드 drain → 교체 사이클을 조기에 진행하세요.

  • enhancementNVMe/TCP 지원 추가 — NVMe-oF 스토리지 연결 가능

    nvme-tcp 커널 모듈이 기본 포함되어 NVMe over Fabrics TCP 연결을 별도 커널 빌드 없이 쓸 수 있습니다. SPDK 기반 백엔드나 분리형 스토리지 어레이를 사용하는 팀이라면 스테이징에서 nvme-tcp 모듈 로드를 먼저 확인한 뒤 프로덕션에 적용하세요.

주요 변경 (3)
  • Linux 커널 CVE 8개 패치 (CVE-2026-46323, -46315, -46275, -46244, -46243, -46322, -46321, -46316)
  • 커널 버전 6.12.93으로 업데이트 (6.12.92 변경 사항 포함)
  • NVMe over Fabrics(NVMe-oF) 스토리지 연결을 위한 NVMe/TCP 지원 추가
원문

Dapr

Orchestration & Management2026년 6월 16일

Dapr v1.18.1은 워크플로우 엔진 버그 수정에 집중된 패치 릴리스로, 타이머 리마인더 누수, 설정 리로드 후 사이드카 불능 상태, 워크플로우 영구 중단 등 5가지 문제를 수정합니다.

  • breakingHelm 설치 사용자: 워크플로우 동시성 제한이 이전까지 무시됐습니다

    Helm으로 Dapr을 설치하면서 Configuration 리소스에 globalMaxConcurrentWorkflowInvocations, globalMaxConcurrentActivityInvocations 또는 per-name 제한 필드를 설정했다면, 해당 설정이 실제로는 적용되지 않았습니다. 1.18.1로 업그레이드하면 CRD 스키마가 올바르게 수정되어 제한이 실제로 적용되기 시작합니다. 값이 지나치게 보수적으로 설정돼 있으면 처리량이 갑자기 줄어들 수 있으므로, 프로덕션 업그레이드 전에 설정값을 반드시 검토하세요.

  • enhancement에이전트형·루프 워크플로우를 운영한다면 업그레이드 필수

    이번 릴리스에서 수정된 버그 3개가 ContinueAsNew 루프나 동일 이벤트 이름을 반복 대기하는 패턴에 직접 영향을 줍니다. 이런 패턴은 에이전트형 워크플로우에서 흔히 쓰입니다. 리마인더 누수는 워크플로우 수명 동안 계속 쌓이고, ContinueAsNew 교착 상태는 타임아웃 없이 영구 중단을 유발합니다. 루프 워크플로우가 RUNNING에서 멈추거나 이유 없이 깨어나는 현상이 관측된다면 1.18.1로 업그레이드하세요.

  • enhancement워크플로우 사이드카의 설정 핫 리로드가 이제 정상 동작합니다

    이 수정 이전에는 워크플로우 워커를 호스팅하는 사이드카에서 SIGHUP으로 설정 리로드를 수행하면 사이드카가 영구적으로 망가질 수 있었습니다 — 포트 50001이 연결을 거부하고 파드를 재시작하는 것 외에 복구 방법이 없었습니다. 워크플로우를 호스팅하는 배포에서 설정 핫 리로드를 사용한다면 1.18.1 업그레이드를 필수로 처리하세요.

주요 변경 (5)
  • 동일한 외부 이벤트 이름을 루프에서 반복 대기할 때 타이머 리마인더가 누수되던 문제 수정
  • 설정 핫 리로드(SIGHUP) 시 워크플로우 사이드카가 영구적으로 불능 상태에 빠지던 문제 수정 — 스트리밍 워커가 종료 시 정상적으로 닫힘
  • 실제 변경이 없는 Kubernetes 오퍼레이터 리싱크 이벤트에 사이드카가 불필요하게 재시작하던 문제 수정
  • ContinueAsNew 경계를 넘어 완료된 차일드 워크플로우 때문에 부모 워크플로우가 RUNNING 상태로 영구 중단되던 문제 수정
  • Helm 차트의 Configuration CRD에 v1.18.0에서 추가된 워크플로우/액티비티 동시성 제한 필드 누락 수정
원문

Linkerd

Networking & Messaging2026년 6월 16일

Linkerd edge-26.6.2는 정책 및 프로필 검증 버그를 고치고, 외부 워크로드에 네임스페이스 제한을 강화하며, Envoy 프록시 v2.357.0으로 업그레이드합니다.

  • security프로필 검증이 이제 nil 설정 거부

    프로필 검증의 nil 체크는 잘못된 설정으로 인한 크래시 경로를 닫습니다. 즉시 조치는 필요 없지만, 프로필을 프로그래밍 방식으로 생성한다면 적용 전에 항상 유효한 구조임을 확인하세요.

  • breaking네임스페이스 제한 외부 워크로드가 라우팅에 영향

    외부 워크로드와 엔드포인트가 이제 네임스페이스 경계를 준수합니다. Linkerd 설정에서 외부 워크로드 간 네임스페이스 호출을 하고 있다면, 업그레이드 후 라우팅이 정상 작동하는지 확인하세요. 기존 크로스 네임스페이스 접근에 의존하는 정책을 수정하세요.

  • enhancement통합 failure accrual로 로드 밸런싱 세부 조정

    통합 failure accrual 및 response-penalty 로드 biasing으로 프록시가 느리거나 실패한 엔드포인트를 처리하는 방식을 더 세밀하게 제어할 수 있습니다. 먼저 카나리 네임스페이스에서 테스트한 후 failure 임계값과 penalty 가중치를 SLO에 맞게 조정하세요. Linkerd 문서에서 새 정책 옵션을 확인하세요.

주요 변경 (5)
  • 정책 검증: 부적절한 AuthN 정책 체크 제거; 아웃바운드 인덱스 규칙 오타 수정.
  • 프로필 검증: nil 체크 추가로 검증 중 크래시 방지.
  • 네임스페이스 격리: 외부 워크로드와 엔드포인트가 네임스페이스 경계 준수하여 크로스 네임스페이스 누출 방지.
  • 로드 밸런싱: 정책 엔진에서 통합 failure accrual 및 response-penalty biasing 구현.
  • 프록시 업그레이드: Envoy v2.357.0, Go 1.25.11 빌드 사용.
원문

Dapr

Orchestration & Management2026년 6월 15일

Dapr 1.17.10은 pubsub publish 작업에서 resiliency retry policy의 `matching` 규칙이 무시되던 버그를 수정합니다. pubsub와 resiliency retry를 함께 사용 중이면 업그레이드해 의도한 재시도 동작을 강제하세요.

  • breakingPubsub publish 오류의 재시도 동작 변경

    pubsub outbound retry 대상으로 `matching` 규칙이 있는 resiliency policy를 설정했다면, publish 오류가 올바르게 분류되어 terminal 오류(예: 401 Unauthorized, 404 Not Found)는 더 이상 maxRetries를 소진하지 않고 즉시 멈춥니다. resiliency 정책 설정을 검토하세요. 기존 동작(항상 publish 재시도)에 의존했다면 retry policy를 조정하거나 `matching` 제약을 제거하세요.

  • enhancementPubsub에 resiliency policy 의도 강제 적용

    pubsub publish 대상으로 명시적인 `matching` 코드를 가진 resiliency policy를 설정했다면 1.17.10으로 업그레이드하세요. 정책이 의도한 대로 작동합니다. Service invocation, output binding 등 다른 작업과 같은 수준으로 pubsub publish가 retry `matching`을 존중하게 됩니다. 코드 변경은 불필요하며 투명한 수정입니다.

주요 변경 (3)
  • Pubsub Publish와 BulkPublish 작업에서 resiliency retry `matching` (httpStatusCodes/gRPCStatusCodes)이 이제 적용됨
  • Publish 오류가 gRPC status를 포함하면 resiliency.CodeError로 감싸져 다른 policy runner와 같은 동작 수행
  • Terminal pubsub 오류(유효하지 않은 topic, 권한 거부)가 maxRetries를 모두 소진하지 않고 즉시 실패하도록 변경
원문

Dapr

Orchestration & Management2026년 6월 15일

Dapr 1.16.16은 1.18→1.16 다운그레이드 후 발생하는 Sentry 인증서 서명 실패와 Helm StatefulSet 스토리지 충돌 두 가지 버그를 수정합니다.

  • breaking1.16.16으로 다운그레이드할 때 Helm 플래그를 반드시 확인하세요

    helm upgrade 시 --reset-values를 사용하고 원래 설치 때 넣었던 값을 명시적으로 다시 전달하세요. --reuse-values는 절대 사용하지 마세요. 1.17/1.18 차트의 computed default가 그대로 넘어오는데, 특히 placement의 disseminateTimeout=8s가 1.16 바이너리에서 허용 범위(1s~3s)를 벗어나 시작 시 실패합니다. 스케줄러 StatefulSet을 미리 삭제하지 않은 경우, --set dapr_scheduler.cluster.storageSize=<현재 값>을 추가하거나 --cascade=orphan으로 StatefulSet을 삭제한 뒤 진행하세요.

  • breaking1.18에서 1.16으로 롤백한 클러스터는 Sentry 크래시를 겪고 있을 가능성이 높습니다

    Dapr 1.18에서 1.16.x 초기 버전으로 롤백했다면, trust bundle의 Ed25519 키와 ECDSA CSR 타입 불일치로 Sentry가 시작 시 크래시되고 있을 겁니다. 1.16.16으로 업그레이드하면 해결되며, 인증서를 수동으로 교체할 필요는 없습니다.

주요 변경 (4)
  • 신뢰 번들이 신버전(Ed25519)으로 생성된 경우에도 Sentry가 ECDSA CSR을 정상적으로 서명하도록 수정
  • 인증서 템플릿에서 CSR의 SignatureAlgorithm을 복사하던 로직 제거 — 이제 Go x509 라이브러리가 발급자 키에서 알고리즘을 자동 추론
  • Helm 차트에 storageSize 템플릿 헬퍼를 백포팅하여, 다운그레이드 시 실제 StatefulSet 값을 읽어 immutable 필드 충돌 방지
  • 신규 설치는 기존과 동일하게 .Values.cluster.storageSize(기본 1Gi)로 폴백
원문

KServe

AI & ML2026년 6월 14일

KServe v0.19.0은 LLMInferenceService의 관측 가능성, 오토스케일링, 라우팅 기능을 크게 강화한 릴리스입니다. CVE 패치 2건도 포함됩니다.

  • securityCVE 두 건, 업그레이드 전 반드시 확인

    v0.19.0은 vLLM/Pillow CVE와 CVE-2026-21226(azure-core)을 수정합니다. vLLM 런타임이나 azure-core 의존성이 있는 환경이라면 v0.19.0으로 업그레이드하거나, 당장 업그레이드가 어렵다면 azure-core>=1.38.0을 수동으로 고정하세요. 커스텀 서버 이미지에 포함된 Pillow 버전도 확인하세요.

  • breaking라우터 splitter off-by-one 수정으로 트래픽 분배 비율 변경

    pickupRoute의 난수 범위 계산에 off-by-one 오류가 있었고 이번에 수정됐습니다. 업그레이드 후 splitter 가중치가 올바르게 계산되므로, 기존 버그에 맞춰 가중치를 조정해두었다면 실제 트래픽 분배가 달라질 수 있습니다. 운영 환경 적용 전에 스테이징에서 분할 설정을 검증하세요.

  • enhancementLLMISvc 오토스케일링 상태 모니터링 연동 권장

    HPA/KEDA 스케일링 조건이 LLMISvc status에 노출되고, 준비 상태 전환 시 k8s 이벤트가 발생합니다. LLMInferenceService를 운영 중이라면 이 조건들을 모니터링 대시보드와 알람에 추가하세요. kserve-install.sh의 --scaling 플래그를 쓰면 신규 설치 시 오토스케일링 설정이 간단해집니다.

주요 변경 (7)
  • CVE 패치: vLLM/Pillow 취약점 수정, azure-core>=1.38.0 고정으로 CVE-2026-21226 대응
  • LLMISvc에 HPA/KEDA 스케일링 상태를 서비스 조건으로 노출, kserve-install.sh에 --scaling 플래그 추가
  • LLMISvc 관측 가능성 강화: 준비 상태 전환 시 k8s 이벤트 발생, 라우팅 토폴로지와 워크로드 참조를 status에 기록
  • InferenceService Standard 모드에 REST/gRPC 이중 프로토콜 라우팅 추가
  • 라우터 splitter의 pickupRoute 범위 계산 off-by-one 버그 수정 — 트래픽 분할 정확도에 직접 영향
  • LLMInferenceService에 LocalModelCache 지원 추가, PVC 접근 문제 해결을 위한 NodeSelector 수정
  • llm-d v0.6 컴포넌트 업그레이드를 위한 마이그레이션 로직 추가
원문

Helm

Kubernetes Core2026년 6월 12일

Helm v4.2.1는 동시 작업 중 발생하는 데이터 경쟁 상태를 고치고, 명령 출력 경로를 수정하며, 버전 범위 제약 파싱 문제를 해결합니다.

  • breaking업그레이드 후 출력 파싱 로직 검토하기

    Helm 명령 성공 메시지가 stderr 대신 stdout으로 출력되도록 바뀌었습니다. CI/CD 파이프라인, 모니터링, 셸 스크립트에서 Helm 출력을 스트림별로 리다이렉트하거나 필터링한다면 예상 외로 동작할 수 있습니다. grep, tee, 출력 캡처 로직을 확인하세요. 대부분의 스크립트는 그대로 작동하지만, 스트림 의존도가 높은 로직은 재검토가 필요합니다.

  • enhancement버전 범위 제약을 제약 없이 사용하기

    Helm 4에서 프리릴리스 버전이나 공백이 없는 범위 제약(예: 'v1.0.0||v1.1.0')을 거부하거나 경고하던 문제가 해결됐습니다. 범위 제약을 피하거나 고정 버전으로 대체한 팀이라면 이제 제약 기반 선택을 도입할 수 있고, 이는 대규모 배포에서 의존성 관리를 단순화합니다.

  • enhancement동시 작업 안정성을 위해 업그레이드하기

    동시 goroutine 실행 중 여러 경쟁 상태(upgrade+rollback, install+uninstall이 같은 클라이언트 대상, WaitForDelete 타이밍)가 모두 고쳐졌습니다. 고속 동시 Helm 작업(멀티 차트 배포, 병렬 재조정 루프, 대규모 테스트 스위트)을 운영한다면 업그레이드해서 간헐적 실패를 제거하세요. CI 파이프라인에서 불안정한 테스트 결과를 보고 있다면 특히 중요합니다.

주요 변경 (5)
  • 같은 FailingKubeClient 인스턴스에서 동시에 upgrade+rollback, install+uninstall을 실행할 때 GetWaiterWithOptions의 데이터 경쟁 상태 제거
  • Helm 명령 출력 경로 수정: 성공 메시지가 stderr이 아니라 stdout으로 출력됨
  • Helm 4에서 버전 범위 제약 파싱 오류 해결 (프리릴리스 버전, || 연산자의 공백 누락 등)
  • WaitForDelete 경쟁 상태 패치: 상태 감시자가 watch를 너무 일찍 취소하던 문제 제거
  • 의존성 업데이트: cli-utils 1.2.1, controller-runtime 0.24.1, k8s 1.36.1, golang.org/x/net v0.55.0 (GO-2026-5026)
원문

Helm

Kubernetes Core2026년 6월 12일

Helm v3.21.1은 템플릿 작업 중 nil 포인터 패닉을 고치고 의존성을 업데이트합니다. 안정성 개선 패치입니다.

  • securityGo 보안 패치 GO-2026-5026 적용

    golang.org/x/net이 v0.55.0으로 올라가 GO-2026-5026을 고칩니다. 이는 공급망 의존성이며 Helm API에 직접 노출되지 않습니다. 보안 검사 도구가 net 취약점을 플래그하면 업그레이드하세요. Helm을 정상적으로 사용하는 경우라면 별도 조치는 필요하지 않습니다.

  • breakingClientOnly 템플릿 작업이 이제 정상 에러를 반환합니다

    클러스터 없이 helm template 명령을 실행하는 환경(ClientOnly 모드)에서 nil 포인터 패닉이 발생하던 문제가 고쳐졌습니다. 이제 올바른 템플릿 에러를 반환합니다. 패닉을 잡아서 처리하는 자동화가 있다면 에러 처리를 타입이 있는 템플릿 에러로 업데이트하고 템플릿 워크플로를 테스트하세요.

  • enhancement레지스트리 인증이 HTTP 폴백 시 유지됩니다

    oras-go v2.6.1 덕분에 레지스트리 작업이 HTTPS에서 plain HTTP로 폴백할 때 인증 정보를 유지합니다. HTTP 전용 엔드포인트를 가진 프라이빗 레지스트리를 사용한다면 안정성이 개선됩니다. 설정 변경은 필요 없으며 자동으로 적용됩니다.

주요 변경 (3)
  • ClientOnly 모드에서 helm template 실행 시 nil 포인터 패닉 수정
  • oras-go v2.6.1 업데이트로 plain-HTTP 폴백 시 레지스트리 인증 정보 유지
  • Go 1.26 및 golang.org/x/net v0.55.0으로 업그레이드하여 GO-2026-5026 대응
원문

Kubernetes

Kubernetes Core2026년 6월 12일

Kubernetes v1.36.2는 Dynamic Resource Allocation 스케줄러, CSI 볼륨 재퍼블리싱, 엔드포인트 컨트롤러의 치명적 버그를 고치고 Go 1.26.4로 빌드한 패치 릴리스입니다.

  • security바이너리 non-UTF8 Secret 데이터가 컨테이너 환경 변수에서 정상 처리됨

    Kubernetes 1.34 이상에서 바이너리 non-UTF8 데이터를 포함하는 Secret API 객체로부터 환경 변수를 설정하는 컨테이너가 제대로 읽을 수 없는 리그레션이 있었습니다. 1.36.2에서 수정되었습니다. 환경 변수에 텍스트가 아닌 Secret 데이터를 사용하는 워크로드가 있다면 업그레이드하여 디코딩 오류나 묵시적 실패를 예방하세요.

  • breakingDRA 디바이스 할당 버그, 멀티 디바이스 워크로드 영향

    Kubernetes 1.36.0–1.36.1에서 스케줄러가 SharedCounters를 사용하는 드라이버와 멀티 할당 가능 디바이스를 함께 쓸 때 상호 배타적 디바이스 파티션을 여러 Pod에 할당하는 버그가 있습니다. 워크로드 실패, 디바이스 충돌, 크래시, 데이터 손실을 초래할 수 있습니다. DRA를 멀티 할당 가능 디바이스(특히 GPU나 공유 카운터를 사용하는 커스텀 액셀러레이터)로 운영 중이면 1.36.2로 즉시 업그레이드하세요. 최근 Pod 스케줄링 결정을 검토하여 충돌이 없는지 확인하세요.

  • enhancementCSI 볼륨 재퍼블리싱 실패가 마운트 상태를 손상시키지 않음

    Kubelet이 주기적 NodePublishVolume 호출(requiresRepublish=true로 트리거됨)이 실패할 때 CSI 마운트 디렉터리를 잘못 삭제하여 Pod에 레거시 볼륨 콘텐츠가 남는 문제가 있었습니다. 1.36.2에서 수정됩니다. requiresRepublish=true인 CSI 드라이버를 운영 중이면 이 패치가 일시적 네트워크 또는 스토리지 오류로 인한 데이터 일관성 위험을 제거합니다. 업그레이드하여 잠재적 데이터 문제를 예방하세요.

주요 변경 (7)
  • Go 1.26.4로 빌드하여 런타임 안정성 개선
  • DRA 스케줄러에서 상호 배타적 디바이스 파티션을 여러 Pod에 할당하는 버그 수정 (워크로드 실패 또는 데이터 손실 위험)
  • DRA ResourceClaim의 allocationMode: All이 공유 카운터 디바이스를 선택할 때 kube-scheduler 패닉 수정
  • CSI NodePublishVolume 주기적 호출 실패 시 kubelet이 마운트 디렉터리를 잘못 삭제하는 버그 수정 (레거시 볼륨 콘텐츠 남음)
  • 중단된(suspended) Job의 spec 수정이 JobSuspended 조건 미설정 시 거부되는 리그레션 수정
  • IPFamilies 필드가 비어있는 서비스에서 엔드포인트 컨트롤러 패닉 수정
  • Secret API 객체의 바이너리 non-UTF8 데이터로부터 설정된 컨테이너 환경 변수 처리 수정
원문

Kubernetes

Kubernetes Core2026년 6월 12일

Kubernetes v1.35.6은 다중 노드 DRA 클레임 스케줄링, CSI 볼륨 재발행, 엔드포인트 처리의 심각한 버그를 수정하고 Go 1.25.11로 업그레이드했습니다.

  • securitySecret 바이너리 데이터의 환경 변수 처리 버그 수정

    1.34+ 버전의 바이너리 데이터(인증서, base64 인코딩된 키 등)를 포함한 Secret에서 환경 변수를 주입하지 못하는 버그가 있었습니다. Secret을 환경 변수로 주입 중이고 그 Secret에 바이너리 데이터가 있다면 v1.35.6으로 업그레이드하세요. 데이터베이스 자격증명이나 키를 Secret 환경 변수로 실행 중이면 버그가 조용히 주입을 깨뜨렸을 수 있으니 빨리 테스트하세요.

  • breaking빌드 파이프라인의 Go 런타임을 1.25.11로 업그레이드

    Kubernetes v1.35.6은 Go 1.25.11로 빌드됩니다. 커스텀 컨트롤러나 오퍼레이터를 같은 Go 버전에서 실행 중이면 호환성을 확인하고 다시 빌드하세요. CI/CD에서 Go 버전을 고정 중이면 빌드 설정을 업데이트해야 합니다.

  • enhancementDRA 스케줄링과 CSI 재발행이 안정화됨

    세 가지 버그가 해결되었습니다. (1) 공유 카운터를 사용하는 DRA ResourceClaim AllocationMode All에서 스케줄러 패닉 제거. (2) 다중 노드와 노드별 클레임을 함께 사용하는 파드가 더 이상 Pending에서 교착되지 않음. (3) NodePublishVolume 오류 시 kubelet이 마운트 디렉터리를 삭제하지 않아 오래된 볼륨 데이터 손상 방지. DRA나 CSI 재발행을 사용 중이면 이전에 교착 상태가 되던 상황이 제거됩니다. 업그레이드하여 막힌 파드를 정리하고 향후 장애를 방지하세요.

주요 변경 (6)
  • Go 1.25.11로 런타임 업그레이드
  • 다중 노드와 노드별 DRA 클레임을 함께 사용할 때 파드 스케줄링 교착 상태 해결
  • 공유 카운터를 사용하는 DRA ResourceClaim으로 인한 kube-scheduler 패닉 수정
  • NodePublishVolume 주기적 실패 시 kubelet이 CSI 마운트 디렉터리를 삭제하던 문제 해결
  • 빈 IPFamilies 필드를 가진 서비스 처리 시 엔드포인트 컨트롤러 패닉 수정
  • Secret의 바이너리 비UTF8 데이터를 포함한 환경 변수 처리 개선
원문

Kubernetes

Kubernetes Core2026년 6월 12일

쿠버네티스 v1.34.9는 CSI 마운트 볼륨 처리, 바이너리 Secret 데이터 처리, 엔드포인트 컨트롤러 패닉, kubeadm 인증서 처리를 수정합니다. Go 1.25.11 빌드로 런타임 성능이 향상됩니다.

  • breakingrequiresRepublish가 활성화된 CSI 드라이버 운영 중이면 kubelet 업그레이드

    v1.34 회귀로 인해 kubelet이 republish 실패 시 CSI 마운트 디렉터리를 삭제해 포드에 오래된 볼륨 데이터가 남아있었습니다. spec.requiresRepublish=true로 설정된 CSI 드라이버를 운영 중이면 즉시 업그레이드하세요. kubelet 로그에서 실패한 republish 시도를 확인한 후 업그레이드하면 이 버그를 맞고 있었는지 파악할 수 있습니다.

  • breaking바이너리 Secret을 환경 변수로 주입하는 워크로드 테스트

    v1.34에서 바이너리(non-UTF8) 데이터가 포함된 Secret을 참조하는 환경 변수 파싱이 깨졌습니다. 워크로드에서 Secret을 환경 변수로 주입한다면 업그레이드 후 테스트하세요. 애플리케이션 시작 로그에서 파싱 오류를 확인하고, 필요하면 바이너리 Secret 값을 base64로 인코딩해야 할 수도 있습니다.

  • enhancementGo 런타임 업데이트로 성능과 보안 강화

    v1.34.9는 Go 1.25.11을 사용하며, 런타임 최적화와 보안 패치를 포함합니다. 제어 플레인과 워커 노드를 다음에 순환 업그레이드할 때 반영하세요. 애플리케이션 코드 수정은 불필요하지만, Go 업데이트로 인해 클러스터 지연 시간이 감소하고 메모리 사용량이 줄어들 수 있습니다.

주요 변경 (5)
  • Go 1.25.11로 빌드되어 성능 및 보안 패치 개선
  • CSI republish 오류 후 마운트 디렉터리를 삭제하던 kubelet 버그 수정
  • 빈 IPFamilies 필드를 가진 서비스 처리 시 엔드포인트 컨트롤러 패닉 수정
  • 바이너리 non-UTF8 데이터를 포함한 Secret을 참조하는 컨테이너 환경 변수 파싱 회귀 버그 수정
  • kubeadm 인증서 dry-run 모드에서 기존 CA 파일을 올바르게 복사하도록 수정
원문

Kubernetes

Kubernetes Core2026년 6월 12일

Kubernetes v1.33.13이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Dapr

Orchestration & Management2026년 6월 11일

Dapr 1.16.15는 발급자 키가 Ed25519 또는 RSA일 때 dapr-sentry가 기동 직후 crash-loop에 빠지는 버그를 수정합니다. 1.18에서 다운그레이드했거나 발급자 키를 교체한 경우 즉시 확인이 필요합니다.

  • breaking1.18 다운그레이드 또는 발급자 키 교체 환경은 1.16.15로 업그레이드하세요

    1.18에서 1.16으로 다운그레이드하면 dapr-trust-bundle 시크릿에 Ed25519 발급자 키가 그대로 남습니다. 이 상태에서 dapr-sentry는 crash-loop에 빠지고 새로운 mTLS 인증서 발급이 전면 중단됩니다. 기존 사이드카는 인증서가 만료되기 전까지는 동작하지만, 파드 재시작이나 인증서 만료 시점에 identity 취득에 실패합니다. 1.16.15로 즉시 업그레이드하세요. 당장 업그레이드가 어렵다면, dapr-trust-bundle의 발급자 키를 ECDSA P-256으로 교체하는 방법이 유일한 임시 해결책입니다.

주요 변경 (5)
  • dapr-trust-bundle에 Ed25519 또는 RSA 발급자 키가 있으면 dapr-sentry가 'unsupported key type' 오류로 기동 실패
  • 원인: dapr/kit의 EncodePrivateKey가 *ecdsa.PrivateKey와 포인터형 *ed25519.PrivateKey만 처리하고, 값 타입 ed25519.PrivateKey와 RSA는 누락
  • 수정: dapr/kit v0.16.3에서 세 가지 키 타입 모두 PKCS#8로 정상 처리하도록 개선
  • 1.18에서 1.16으로 다운그레이드한 클러스터, 또는 발급자 키를 Ed25519/RSA로 교체한 1.16 배포 환경이 영향권
  • sentry가 crash-loop 중이어도 인증서가 아직 유효한 사이드카는 동작하지만, 새로 뜨거나 인증서가 만료된 사이드카는 ID 발급 실패
원문

Falco

Security2026년 6월 11일

Falco 0.44.1은 BPF 반복자 제어 옵션을 추가하고 libs 버전 업을 통해 여러 BPF 관련 버그를 수정합니다. 커널 레벨 추적을 사용하는 배포 환경의 안정성에 중점을 둔 최소한의 릴리스입니다.

  • breakinglibs와 커널 드라이버를 함께 업데이트하세요

    이번 릴리스에서 libs는 0.25.4로, 드라이버는 10.2.0+driver로 업그레이드됩니다. 커널 드라이버 버전을 Falco와 분리해서 관리한다면 같은 유지보수 기간에 둘 다 업데이트해야 합니다. 버전이 맞지 않으면 시스템 호출 캡처 실패나 무음 데이터 손실이 발생할 수 있습니다.

  • enhancementBPF 반복자로 인한 성능 또는 호환성 문제가 있으면 비활성화 옵션 활용

    Falco 0.44.1에서 BPF 반복자를 비활성화하는 설정 옵션이 추가되었습니다. 커널의 BPF 반복자 구현이 불안정하거나 반복자 오버헤드로 인한 높은 CPU 사용량을 관찰하고 있다면 비활성화를 테스트해보세요. 업그레이드 후 Falco 로그와 메트릭을 확인하여 0.44.0에서 겪던 BPF 관련 불안정성이 해결되었는지 검증하세요.

주요 변경 (3)
  • Falco 설정에서 BPF 반복자 비활성화 옵션 추가
  • libs 0.25.4, 드라이버 10.2.0+driver로 업그레이드하여 BPF 반복자 버그 해결
  • x86_64 및 aarch64 플랫폼에 대해 rpm, deb, tgz 형식으로 패키지 제공
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.38.2는 소규모 패치 릴리스입니다. RTDS 런타임 버그 수정 1건과 HTTP/2 쿠키 관련 opt-in 기능 2건이 포함되며, 보안 수정은 없습니다.

  • breakingRTDS 런타임 가드 삭제 동작 변경 — 오버라이드 제거 로직 검증 필요

    RTDS 런타임 가드 오버라이드를 삭제할 때 기본값으로 복원되길 기대했다면, 기존 버전에서는 그 동작이 잘못되어 있었습니다. v1.38.2 업그레이드 후에는 삭제 시 기본값이 올바르게 복원됩니다. 런타임 오버라이드를 제거하는 자동화 스크립트나 CI 파이프라인이 있다면, 업그레이드 전후로 동작을 확인하세요.

  • enhancementHTTP/2 쿠키 헤더 크기 제한 플래그 활용 검토

    envoy.reloadable_features.http2_max_cookies_size_in_kb를 설정하면 HTTP/2에서 재조합된 cookie 헤더의 최대 크기를 제한할 수 있습니다. 신뢰할 수 없는 트래픽을 처리하거나 대형 쿠키가 빈번히 유입되는 환경이라면, 적절한 값을 설정해 메모리 사용을 줄이세요. 기본값은 무제한이므로 명시적으로 opt-in해야 합니다.

주요 변경 (3)
  • RTDS 런타임 수정: 런타임 가드 오버라이드를 삭제할 때 기본값으로 올바르게 복원되지 않던 버그 수정
  • HTTP/2 헤더 통계용 opt-in 히스토그램 추가 (envoy.reloadable_features.http2_record_histograms) — 향후 릴리스에서 제거 예정인 임시 기능
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조합된 cookie 헤더 크기를 제한 가능 (기본값: 무제한)
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.37.4는 RTDS 버그 수정 하나와 HTTP/2 쿠키 관련 옵트인 기능 두 가지를 포함한 소규모 패치입니다. CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리 중이라면, 기존에는 오버라이드를 삭제해도 이전 값이 남아 있었습니다. 이번 수정으로 삭제 시 프로세스 전체 기본값으로 복원됩니다. 오버라이드 삭제 후 적용될 기본값이 의도한 값인지 확인하세요. 특히 기존 버그 동작을 우회하는 방식으로 설정했던 경우 반드시 검토가 필요합니다.

  • enhancement신뢰할 수 없는 HTTP/2 클라이언트가 있다면 쿠키 크기 제한 설정을 고려하세요

    이번 릴리스 이전에는 HTTP/2 재조립 cookie 헤더에 크기 제한이 없었습니다. 외부 HTTP/2 트래픽을 프록시한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb를 적절한 값(예: 32–64 KB)으로 설정해 비정상적으로 큰 쿠키가 업스트림에 전달되는 상황을 막을 수 있습니다. 기본값은 무제한이므로 명시적으로 설정해야 합니다.

  • enhancementHTTP/2 헤더 히스토그램을 스테이징에서 먼저 켜서 트래픽 특성을 파악하세요

    envoy.reloadable_features.http2_record_histograms를 활성화하면 헤더 수, 바이트 크기, 쿠키 관련 메트릭을 히스토그램으로 수집할 수 있습니다. HTTP/2 헤더 부하를 파악하는 데 유용하지만, 향후 릴리스에서 제거될 임시 기능입니다. 프로덕션 대시보드에 장기 의존하지 않도록 주의하세요.

주요 변경 (4)
  • RTDS 버그 수정: 런타임 가드 오버라이드 삭제 시 프로세스 전체 기본값으로 정상 복원되도록 수정
  • HTTP/2 헤더 통계 히스토그램 옵트인 추가 — envoy.reloadable_features.http2_record_histograms로 활성화
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조립된 cookie 헤더 크기 상한 설정 가능 (기본값: 무제한)
  • HTTP/2 헤더 히스토그램은 임시 기능으로, 향후 릴리스에서 제거 예정
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.36.8은 RTDS 버그 수정 1건과 HTTP/2 관찰성 기능 2건을 담은 소규모 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingHTTP/2 헤더 히스토그램은 임시 기능 — 영구 대시보드에 연결하지 마세요

    http2_record_histograms 기능과 그 runtime guard는 향후 Envoy 릴리스에서 제거될 예정이라고 명시되어 있습니다. HTTP/2 헤더 디버깅 목적으로 활성화하더라도, 이 메트릭을 영구 대시보드나 알림에 연결해두면 업그레이드 시 깨집니다. 임시 디버깅 용도로만 쓰세요.

  • enhancementHTTP/2 헤더·쿠키 크기 문제를 디버깅할 때 새 히스토그램 활용

    HTTP/2 요청이 예상보다 크거나 쿠키 관련 이상 동작이 보인다면 envoy.reloadable_features.http2_record_histograms를 켜서 헤더 항목 수, 바이트 크기, 쿠키 메트릭을 수집하세요. 업스트림 서비스를 과도하게 큰 쿠키 헤더로부터 보호해야 한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb로 크기 상한도 함께 설정하는 것이 좋습니다.

주요 변경 (4)
  • RTDS runtime guard override 삭제 시 프로세스 전체 기본값이 제대로 복원되지 않던 버그 수정
  • envoy.reloadable_features.http2_record_histograms로 HTTP/2 헤더 히스토그램(항목 수, 바이트 크기, 쿠키 길이, 쿠키 수) 활성화 가능 (opt-in)
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 추가 — 재조합된 cookie 헤더 크기 상한 설정 (기본값: 제한 없음)
  • HTTP/2 히스토그램과 관련 runtime guard는 향후 릴리스에서 제거 예정 — 임시 기능임이 명시됨
원문

Dapr

Orchestration & Management2026년 6월 10일

Dapr 1.18은 워크플로우 보안·내구성(변조 감지, 접근 정책, 히스토리 전파, 동시성 제한)을 크게 보강했습니다. Jobs API와 HotReload가 GA로 승격되었고, 업그레이드 전 반드시 검토해야 할 breaking change가 여럿 포함되어 있습니다.

  • security공유·멀티테넌트 클러스터에서 WorkflowAccessPolicy 적용 검토

    1.18 이전에는 같은 trust domain의 모든 호출자가 다른 앱의 워크플로우를 스케줄, 종료, 조회할 수 있었습니다. WorkflowAccessPolicy CRD로 이를 per-operation 수준에서 제한할 수 있습니다. 기본값은 여전히 전체 허용이라 기존 배포에 즉각적인 영향은 없지만, 공유 클러스터를 운영 중이라면 지금 정책을 정의해두는 편이 낫습니다. 또한 redis common 컴포넌트의 TLS 인증서 검증 무조건 건너뛰기 버그가 이번 릴리스에서 수정되었으니, 업그레이드 전 Redis TLS 설정이 올바른지 확인하세요.

  • breaking1.18에서 1.17.6 이하로 직접 롤백 금지

    Sentry 1.18은 Ed25519 키로 서명된 CA를 dapr-trust-bundle 시크릿에 기록합니다. 1.17.7 미만의 Sentry는 이 번들을 파싱하지 못해 크래시 루프에 빠지고, 신규 인증서 발급이 전면 중단됩니다. 업그레이드 전에 롤백 목표 버전이 1.17.7 이상인지 반드시 확인하세요. 1.17.7 미만으로 내려가야 한다면 1.17.7로 먼저 롤백해 안정화한 뒤 계속 진행하세요. 워크플로우 ID 재사용에 의존하는 코드도 함께 점검하세요 — 이제 conflict 에러를 반환합니다.

  • breaking서비스 호출 시 hop-by-hop 헤더 제거 — 앱 동작 점검 필요

    Connection, Keep-Alive, Transfer-Encoding 등 HTTP hop-by-hop 헤더가 서비스 호출 경로에서 RFC 7230에 따라 제거됩니다. 해당 헤더가 그대로 전달된다고 가정하는 앱은 조용히 깨질 수 있습니다. 업그레이드 전에 서비스 호출 코드를 검토하고, hop-by-hop에 의존하는 부분은 일반 헤더로 대체하세요.

  • enhancement감사 요건이 있는 워크플로우에 히스토리 서명 활성화 검토

    워크플로우 히스토리 서명은 opt-in이며 기본 비활성 상태입니다. mTLS가 활성화되어 있어야 사용할 수 있습니다. 클러스터 전체에 활성화하기 전에 서명 없이 실행 중인 워크플로우가 완료되거나 purge되도록 기다리세요 — 서명 없이 시작된 워크플로우에 서명을 활성화하면 하드 검증 에러가 발생하며 소급 적용은 불가합니다. 변조가 감지되면 해당 워크플로우는 DAPR_WORKFLOW_HISTORY_TAMPERED 에러와 함께 종료되고, 원본 상태는 포렌식 검토를 위해 보존됩니다. 컴플라이언스 요건이 있거나 멀티테넌트 워크플로우를 운영하는 환경에 적합합니다.

주요 변경 (7)
  • Sentry가 Ed25519 키로 전환 — 롤백 최저선은 1.17.7이며, 1.17.6 이하로 직접 롤백 시 Sentry가 크래시 루프에 빠짐
  • WorkflowAccessPolicy CRD 추가: 앱 간 워크플로우 작업을 per-operation allow-list로 제어 (정책 미설정 시 기본값은 전체 허용)
  • 워크플로우 히스토리 서명(opt-in) 추가: SPIFFE 인증서로 이벤트 배치를 체이닝 서명해 변조를 감지
  • HotReload GA 및 기본 활성화 — 컴포넌트, 구독, 설정 등 사이드카 재시작 없이 재로드
  • Jobs API 안정 버전 승격 — alpha RPC는 deprecated되나 동작은 유지됨, 앱 코드를 ScheduleJob/GetJob/DeleteJob으로 마이그레이션 필요
  • 워크플로우 ID 재사용 정책 변경: 이미 활성 인스턴스가 있는 ID로 새 워크플로우 생성 시 conflict 에러 반환 (기존의 묵시적 덮어쓰기 동작 제거)
  • Java SDK 최소 버전이 Java 17로 상향, Spring Boot 기준선이 3.5로 변경
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.35.12는 RTDS 런타임 가드 버그 수정 1건과 HTTP/2 쿠키·헤더 관찰용 opt-in 기능 2건이 포함된 마이너 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리하고 있다면 스테이징에서 동작을 검증하세요. 이전에는 오버라이드를 삭제해도 기존 값이 유지됐지만, 이제는 프로세스 기본값으로 복원됩니다. 삭제 후에도 값이 유지된다고 가정하는 자동화 스크립트가 있다면 동작이 달라집니다.

  • enhancementHTTP/2 쿠키 크기 제한 플래그로 메모리 사용량 통제

    envoy.reloadable_features.http2_max_cookies_size_in_kb는 기본적으로 비활성화 상태입니다. 신뢰할 수 없는 HTTP/2 트래픽을 받는 환경이라면, 재조합된 cookie 헤더로 인한 메모리 소비를 제한하기 위해 적절한 값을 설정하세요. 먼저 새로 추가된 히스토그램으로 실제 쿠키 크기를 측정한 뒤 상한값을 결정하는 순서가 좋습니다.

주요 변경 (3)
  • RTDS 런타임 가드 오버라이드를 삭제했을 때 프로세스 기본값으로 제대로 복원되지 않던 버그 수정
  • HTTP/2 헤더 히스토그램(엔트리 수, 바이트 크기, 쿠키 길이, 쿠키 수) opt-in 추가 — envoy.reloadable_features.http2_record_histograms로 활성화, 향후 릴리스에서 제거 예정
  • envoy.reloadable_features.http2_max_cookies_size_in_kb로 재조합된 cookie 헤더 크기를 제한할 수 있음 (기본값: 제한 없음)
원문

Backstage

CI/CD & App Delivery2026년 6월 10일

Backstage v1.51.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Chaos Mesh

Observability2026년 6월 10일

Chaos Mesh v2.8.3은 컨테이너 이미지의 critical/high CVE를 패치하고, CrashLoopBackOff 상태 파드에서 NetworkChaos 복구가 실패하던 버그를 수정한 패치 릴리스입니다.

  • securitycritical/high CVE 패치를 위해 v2.8.3으로 업그레이드

    Go 툴체인과 containerd에서 critical/high 수준의 CVE가 확인됐습니다. release-2.8 브랜치를 운영 중이라면 즉시 v2.8.3으로 업그레이드하세요. 설정 변경은 필요 없고 이미지 교체만으로 충분합니다.

  • breakingCrashLoopBackOff 파드를 대상으로 한 NetworkChaos 실험 재검증 필요

    이전 버전에서는 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구가 실패했습니다. v2.8.3은 이를 pause 컨테이너 PID로 폴백해 수정했습니다. 의도적으로 크래시가 반복되는 워크로드를 포함한 카오스 실험을 운영 중이라면, 업그레이드 후 복구 동작을 다시 확인하세요.

주요 변경 (5)
  • Go 툴체인 1.25.11 및 containerd 1.7.32로 업그레이드 — 컨테이너 이미지의 critical/high CVE 패치
  • memStress 헬퍼를 최신 Go 툴체인으로 재빌드 (v0.3.1)
  • chaos-daemon 이미지를 headless JRE로 전환하여 공격 표면 축소
  • 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구 실패 수정 — sandbox(pause) 컨테이너 PID로 폴백
  • e2e 테스트에서 deprecated된 wait.PollImmediate를 wait.PollUntilContextTimeout으로 교체
원문

Crossplane

Orchestration & Management2026년 6월 9일

Crossplane v2.3.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

NATS

Networking & Messaging2026년 6월 9일

NATS v2.12.11은 단일 버그 수정 패치입니다. v2.12.7에서 도입된 JetStream regression으로 per-subject 메시지 수 제한이 설정된 스트림에서 'Message Not Found' 오류가 발생하는 문제를 고쳤습니다.

  • breakingmax_msgs_per_subject 설정 중이라면 즉시 업그레이드

    NATS 2.12.7~2.12.10을 운영하면서 스트림에 MaxMsgsPerSubject(max_msgs_per_subject)를 설정했다면, subject 상태가 잘못 추적되어 'Message Not Found' 오류가 간헐적으로 발생할 수 있습니다. 컨슈머가 메시지를 놓치거나 예기치 않게 동작할 수 있으므로, 2.12.11로 바로 업그레이드하세요. 이미 2.14.x를 사용 중이라면 영향받지 않습니다.

주요 변경 (4)
  • JetStream regression 수정: v2.12.7에서 생긴 subject 상태 추적 오류로 max_msgs_per_subject 설정 시 'Message Not Found' 오류 발생
  • Go 런타임 1.25.11로 업데이트
  • v2.14.x는 해당 regression 미적용 — 2.12.7~2.12.10 사용자만 영향받음
  • 그 외 변경 사항 없음
원문

CoreDNS

Kubernetes Core2026년 6월 9일

CoreDNS v1.14.4는 DNSSEC 서명 버그 수정, 캐시 동작 개선, forward 플러그인의 hostname 지원 등 여러 기능 개선과 수정을 포함합니다.

  • breakingDNSSEC 서명 동작 변경 — 위임 존 구성 검토 필요

    RRset 서명 주체가 쿼리 존에서 해당 이름의 소유 존으로 바뀌었습니다. 기술적으로 올바른 수정이지만, 위임이 포함된 멀티존 DNSSEC 구성을 운영 중이라면 업그레이드 후 서명된 응답을 반드시 검증하세요. 기존 동작에 의존하던 존은 서명값이 달라질 수 있습니다. 프로덕션 전환 전에 주요 레코드에 dnssec-verify를 돌려보세요.

  • enhancementforward 엔드포인트를 IP 대신 hostname으로 지정 가능

    forward 플러그인이 TO 엔드포인트의 hostname을 런타임에 직접 해석합니다. 업스트림 리졸버 IP가 바뀌는 환경(클라우드 관리형 리졸버 등)이라면 설정을 FQDN으로 전환해 관리 부담을 줄일 수 있습니다. 단, 시작 시 hostname 해석에 실패하면 포워딩에 영향을 줄 수 있으니 스테이징에서 먼저 확인하세요.

  • enhancement캐시 TTL 상한 제거 — 안정적인 레코드는 max_ttl 상향 검토

    기존에는 DNS 레코드의 실제 TTL과 무관하게 캐시 TTL이 3600s로 제한됐습니다. 이 제한이 없어졌으니, 내부 권위 존이나 루트 힌트처럼 변경이 드문 레코드는 max_ttl을 높여 업스트림 쿼리 부하를 줄일 수 있습니다. cache 플러그인 설정을 검토해 적절한 구간에 적용하세요.

주요 변경 (5)
  • DNSSEC 서명 버그 수정: RRset을 쿼리 존이 아닌 해당 이름을 소유한 존으로 서명하도록 변경
  • forward 플러그인이 TO 엔드포인트에 hostname 직접 지정을 지원 — 설정에 IP를 하드코딩할 필요 없음
  • 캐시 TTL 상한(3600s) 제거, serve_stale에 verify timeout 옵션 추가, 네거티브 캐시에서 SERVFAIL보다 포지티브 캐시 우선 적용
  • file 플러그인이 mtime 변경을 감지해 존 파일을 자동 리로드 — 수동 시그널 불필요
  • dnstap 플러그인이 incoming connection을 지원, secondary 플러그인에 fallthrough 추가
원문

OpenTelemetry

Observability2026년 6월 8일

OTel Collector v0.154.0은 exporterhelper 시작 시 nil 포인터 패닉을 수정하고, --skip-get-modules 동작 방식을 변경합니다. TLS·CORS 설정 옵션도 소폭 추가됐습니다.

  • securityinclude_insecure_cipher_suites는 기본 비활성 — 건드리지 마세요

    새로 추가된 configtls 옵션으로 취약한 암호 스위트를 다시 활성화할 수 있지만, 기본값은 비활성입니다. 레거시 피어 연동이 불가피한 경우가 아니라면 운영 환경에서 true로 설정하지 마세요. 불가피하게 켜야 한다면 임시 조치로 간주하고 추적 관리하세요.

  • breaking--skip-get-modules를 쓰는 빌드 파이프라인 점검 필요

    OCB 기반 빌드 스크립트에서 --skip-get-modules 실행 시 go.mod가 암묵적으로 재생성되는 동작에 의존했다면, 이제 그 동작은 사라졌습니다. CI 파이프라인을 확인하고, 필요하다면 go mod tidy 단계를 명시적으로 추가하세요.

  • enhancementsending_queue에 sizer를 설정한다면 즉시 업그레이드

    sending_queue.sizer를 사용하면서 batch.enabled: false로 설정한 경우, 컬렉터가 시작 시 패닉으로 죽는 문제가 이번 릴리스에서 수정됐습니다. 해당 구성을 사용 중이라면 v0.154.0으로 업그레이드하세요.

주요 변경 (5)
  • cmd/builder: --skip-get-modules가 이제 go.mod를 재생성하지 않음 — 문서대로 모듈 작업을 완전히 건너뜀
  • pkg/exporterhelper: sending_queue.sizer 설정 시 batch.enabled: false이면 컬렉터 시작 중 nil 포인터 패닉이 발생하던 버그 수정
  • pkg/config/configtls: include_insecure_cipher_suites 옵션 추가, 기본값은 비활성화
  • pkg/confighttp: CORSConfig에 ExposedHeaders 필드 추가 — Access-Control-Expose-Headers 응답 헤더 제어 가능
  • cmd/mdatagen: 생성된 config 구조체에서 minimum, maximum, exclusiveMinimum, exclusiveMaximum 등 숫자 유효성 검사기 지원
원문

KEDA

Orchestration & Management2026년 6월 8일

KEDA 2.20.1은 동시 스케일링 중 패닉을 유발하는 경합 조건을 고치고 ScaledJob의 누락된 시작 이벤트를 복원합니다. 2.20.0을 운영 중이면 업그레이드가 필수입니다.

  • security동시 스케일링 중 패닉 크래시가 발생했다면 2.20.1로 업그레이드하기

    상태 업데이트 로직의 동시 맵 읽기/쓰기 경합 조건이 여러 트리거가 동시에 스케일링될 때 KEDA를 패닉하게 만들었습니다. 2.20.1에서 수정되었습니다. 2.20.0에서 높은 스케일링 활동 중에 패닉 크래시를 경험했다면 즉시 업그레이드하세요.

  • breaking업그레이드 전에 v2.20.0 호환성 변경사항 확인하기

    KEDA 2.20.0에서 호환성을 깨는 변경이 있었습니다. 2.20.0 이전 버전에서 KEDA를 운영 중이라면 2.20.1로 업그레이드하기 전에 GitHub의 v2.20.0 릴리스 노트를 반드시 읽으세요. 2.20.0 릴리스 노트를 건너뛰고 2.20.1로 바로 업그레이드하지 마세요.

  • enhancementScaledJob 스케일러 시작 이벤트 가시성 복원하기

    KEDA가 Kubernetes 이벤트 수집(aggregation) 키 충돌로 인해 ScaledJob에 대한 KEDAScalersStarted 이벤트를 발생시키지 못했습니다. 이 이벤트를 추적하는 모니터링 도구나 대시보드는 ScaledJob 시작 신호를 놓쳤을 수 있습니다. 2.20.1로 업그레이드하여 정상적인 이벤트 발생을 복원하세요.

주요 변경 (3)
  • 동시 트리거 스케일링 중 패닉을 유발하는 동시 맵 읽기/쓰기 경합 조건 수정
  • 이벤트 수집 키 충돌로 인한 ScaledJob KEDAScalersStarted 이벤트 미발생 문제 해결
  • 2.20.0 실행 중이라면 업그레이드 필수; 이전 버전에서 업그레이드할 때는 2.20.0의 호환성 변경사항 검토 필요
원문

gRPC

Networking & Messaging2026년 6월 8일

gRPC v1.81.1은 Windows·ARM 메모리 안전성 버그를 수정한 패치 릴리스입니다. API 호환성을 깨는 변경은 없습니다.

  • breakingPython 3.9, Ruby 3.1 지원 종료 — 런타임 버전 확인 필요

    Python 3.9 또는 Ruby 3.1에서 gRPC를 쓰고 있다면 v1.81.1로 업그레이드 시 빌드가 깨집니다. 업그레이드 전에 서비스 런타임 버전을 확인하고, Python 3.10+, Ruby 3.2+로 먼저 올리세요.

  • enhancementWindows·ARM 배포 환경은 이번 패치 적용 권장

    Windows EventEngine race 2건과 ARM completion queue 종료 race가 수정됐습니다. use-after-free나 assertion crash는 재현이 어렵지만 서비스를 간헐적으로 죽이는 유형입니다. Windows 서버나 Graviton 같은 ARM 호스트에서 gRPC를 운영 중이라면 패치를 적용하세요.

  • enhancementgrpc-status에서 protobuf 7.x 사용 가능

    grpc-status 패키지의 protobuf 상한이 7.x까지 풀렸습니다. protobuf 최신 버전을 요구하는 다른 라이브러리와 함께 쓸 때 버전 충돌로 고생했다면, 이제 상한 고정을 제거해도 됩니다.

주요 변경 (5)
  • EventEngine: Windows use-after-free 및 assertion 오류 유발 race condition 2건 수정
  • Core: ARM 등 약한 메모리 모델 아키텍처에서 completion queue 종료 race 수정
  • Python: Python 3.9 지원 종료, protobuf 의존성 상한을 7.x까지 허용
  • Ruby: EOL 상태인 Ruby 3.1 지원 종료, CallCredentials 참조 누락 버그 수정
  • Python: AsyncIO 스택에 observability 지원 추가
원문

Open Policy Agent (OPA)

Security2026년 6월 8일

OPA HTTP 핸들러와 암호화 내장 함수에 영향을 주는 Go stdlib 취약점 2건을 수정한 보안 패치입니다. v1.17.0 대비 코드 변경은 없습니다.

  • securityOPA 서버 또는 crypto 내장 함수 사용 시 즉시 v1.17.1로 업그레이드

    Go stdlib 취약점 두 건(GO-2026-5039, GO-2026-5037)이 OPA의 HTTP 핸들러와 암호화 내장 함수에 직접 영향을 줍니다. OPA를 서버 모드로 운영하거나 Rego에서 crypto 관련 내장 함수를 사용 중이라면 v1.17.0 이하에서 노출된 상태입니다. v1.17.1은 코드 변경이 없으므로 설정이나 정책 수정 없이 바이너리만 교체하면 됩니다. OPA 바이너리를 직접 빌드하는 경우엔 Go 툴체인을 1.26.4로 직접 올려야 합니다.

주요 변경 (4)
  • Go 런타임 1.26.3 → 1.26.4 업그레이드
  • GO-2026-5039: HTTP 핸들러 관련 stdlib 취약점 수정
  • GO-2026-5037: 암호화 내장 함수 관련 stdlib 취약점 수정
  • v1.17.0 대비 기능 변경 없음 — 순수 보안 패치
원문

Crossplane

Orchestration & Management2026년 6월 5일

v2 업그레이드 준비 상태를 자동으로 점검하는 CLI 명령 추가, golang.org/x/net 보안 패치, 런타임 업데이트가 포함된 패치 릴리스입니다.

  • securitygolang.org/x/net 보안 패치 — 즉시 업그레이드 필요

    golang.org/x/net이 보안 이슈로 v0.55.0으로 업데이트됐습니다. 릴리스 노트가 명시적으로 보안 업데이트로 분류한 만큼, 선택이 아닌 필수 조치입니다. 다음 정기 점검 시점을 기다리지 말고, 가능한 가장 빠른 유지보수 창에 v1.20.9로 업그레이드하세요.

  • breakingupgrade check 결과는 경고가 아닌 실제 차단 항목

    이 명령은 v2에서 제거되거나 변경된 기능 — 네이티브 P&T Composition, ControllerConfig, 외부 시크릿 스토어, 미정규화 패키지 소스 — 의 실제 사용 여부를 검사합니다. 단순한 deprecation 경고가 아니라 업그레이드를 막는 하드 블로커입니다. 점검 결과에 문제가 있다면, v2 업그레이드 전에 제공된 마이그레이션 가이드를 따라 선행 작업을 완료해야 합니다. 그냥 업그레이드하면 운영 중인 워크로드가 중단됩니다.

  • enhancementv2 마이그레이션 계획 전 upgrade check 먼저 실행

    v1.x 컨트롤 플레인을 운영 중이고 v2 전환이 로드맵에 있다면, 지금 당장 `crossplane beta upgrade check`를 실행해 보세요. 어떤 Composition, ControllerConfig, 패키지 참조가 업그레이드를 막는지 정확히 알 수 있어 수동 감사에 드는 시간을 크게 줄일 수 있습니다. `-o json` 옵션과 함께 CI 파이프라인에 연결하면, v2 업그레이드 PR 병합 전 자동 게이팅도 간단히 구현됩니다.

주요 변경 (5)
  • `crossplane beta upgrade check` 명령으로 실행 중인 컨트롤 플레인의 v2 호환성을 사전 점검 가능
  • 네이티브 P&T Composition, ControllerConfig 사용, 외부 시크릿 스토어, 미정규화 패키지 소스, 연결 세부 정보 등 v2 주요 변경 사항 전 항목 검사
  • 기본 출력은 사람이 읽기 쉬운 텍스트 형식, `-o json` 옵션으로 JSON 출력 가능하며 문제 발견 시 비정상 종료 코드 반환 — CI 게이팅에 바로 활용 가능
  • 각 점검 결과에 마이그레이션 가이드 및 `crossplane beta convert` 명령 링크 포함
  • 보안 업데이트: golang.org/x/net v0.55.0 및 crossplane-runtime v1.20.9 적용
원문

Cortex

Observability2026년 6월 5일

v1.21.1은 공식 보안 감사 결과를 반영한 패치 릴리스로, XSS, gzip 폭탄, 메모리 증폭 취약점 등 다수의 보안 문제를 수정했습니다. 즉시 업그레이드가 필요합니다.

  • security즉시 업그레이드 — 공식 감사에서 발견된 다수 취약점 패치

    이번 릴리스는 공식 보안 감사(V01–V07) 결과를 백포트한 것입니다. 상태 페이지 XSS, OTLP 수집 경로의 gzip 폭탄, 잘못된 네이티브 히스토그램 페이로드를 통한 메모리 증폭, 가십 포트 플러드/OOM 공격 등이 포함됩니다. 이론적 취약점이 아니라 Cortex 엔드포인트에 접근 가능한 클라이언트라면 누구든 악용할 수 있는 수준입니다. 지금 바로 v1.21.1로 업그레이드하고, 업그레이드 후 -distributor.otlp-max-recv-msg-size 설정이 실제 수집량 대비 적절한지 검토하세요.

  • security/config 엔드포인트 노출 여부 점검 필수

    이전 버전에서는 Swift, etcd, Redis, HTTP basic-auth 자격증명이 /config 엔드포인트에 평문으로 노출됐습니다. 내부 사용자나 스크래핑 시스템이 해당 엔드포인트에 접근할 수 있었다면 자격증명이 유출된 것으로 간주하고 즉시 교체하세요. 마스킹 처리가 됐더라도 네트워크 정책이나 인증 미들웨어로 /config 접근을 별도로 제한하는 것을 권장합니다.

  • enhancementMemberlist 가십 포트 제한 플래그 설정 검토

    새로 추가된 세 가지 플래그(-memberlist.packet-read-timeout, -memberlist.max-packet-size, -memberlist.max-concurrent-connections)로 인바운드 가십 TCP 동작을 제어할 수 있습니다. 기본값은 무난하지만, Cortex 클러스터가 신뢰도가 낮은 네트워크 세그먼트에 노출되어 있거나 가십 관련 OOM이 발생한 적 있다면 명시적으로 값을 지정하세요. 다음 정기 유지보수 창에 Helm values나 설정 관리 도구에 반영해두는 것이 좋습니다.

주요 변경 (7)
  • Alertmanager 및 Store Gateway 상태 페이지의 저장형 XSS 취약점 수정 (text/template → html/template)
  • gzip 압축 해제 폭탄 공격 차단: 압축 해제 크기를 -distributor.otlp-max-recv-msg-size로 제한
  • 네이티브 히스토그램 protobuf 크기를 기본 16KB로 제한하는 -validation.max-native-histogram-size-bytes 추가 (메모리 증폭 방지)
  • Memberlist 가십 포트 강화: 패킷 읽기 타임아웃, 최대 패킷 크기, 최대 동시 연결 수 제어 플래그 추가
  • /config 엔드포인트에서 Swift, etcd, Redis, HTTP basic-auth 자격증명 마스킹 처리
  • TenantID 불일치 PushStream 요청 거부 및 HMAC-SHA256 스트림 인증 추가
  • ingester·store-gateway 클라이언트에서 snappy 압축 사용 시 발생하던 패닉 수정
원문

OpenFGA

Security2026년 6월 5일

v1.17.1은 이터레이터 캐시의 stale read 버그와 타입 이름에 '|' 문자가 포함될 때 continuation token이 깨지는 문제를 수정한 패치 릴리스입니다.

  • security캐시 stale read로 잘못된 권한 결정이 반환될 수 있었음 — 즉시 패치

    이터레이터 캐시가 쓰기 시각을 기준으로 LastModified를 설정하고 있어, 캐시 항목이 유효 기간을 초과해 살아남아 오래된 데이터를 서빙할 수 있었습니다. 권한 시스템에서 만료된 'allow' 판정이 그대로 반환되는 건 실질적인 보안 위험입니다. 캐싱을 활성화해 운영 중이라면 v1.17.1로 즉시 업그레이드하세요.

  • breaking'|' 포함 타입 이름 사용 중이라면 페이지네이션 즉시 재검증

    FGA 모델에서 '|' 문자가 들어간 타입 이름을 쓴다면, continuation token이 잘못 역직렬화되어 ListObjects 등 페이지네이션 API가 불완전하거나 잘못된 결과를 반환했을 수 있습니다. 오류 메시지 없이 조용히 깨지는 유형이라 놓치기 쉽습니다. v1.17.1로 업그레이드한 뒤 해당 타입 이름을 참조하는 페이지네이션 흐름을 반드시 재테스트하세요.

  • enhancementv2Check 폴백 제거 — 에러 처리 로직 사전 점검 필요

    기존에는 스로틀링이나 유효성 검증 오류 발생 시 v2Check가 v1 동작으로 조용히 폴백해 실제 문제가 숨겨졌습니다. 이제 해당 오류가 직접 반환됩니다. 애플리케이션이 check 오류를 묵시적으로 삼키거나 폴백 동작을 가정하고 있다면, 이전에 보이지 않던 오류가 갑자기 노출될 수 있습니다. 프로덕션 배포 전 부하 상황에서 반드시 테스트하세요.

주요 변경 (5)
  • 이터레이터 캐시 stale read 수정: LastModified 기준을 쿼리 시작 시각으로 고정해 캐시 항목이 의도보다 오래 살아남는 문제 해결
  • 타입 이름에 '|' 포함 시 continuation token 역직렬화 실패 버그 수정 — 페이지네이션 결과가 조용히 깨지던 문제
  • v2Check가 스로틀링·유효성 검증 오류 시 v1 동작으로 폴백하지 않도록 변경, 실행 시맨틱 강화
  • Go 툴체인 1.26.4 및 grpc-health-probe v0.4.52로 업그레이드
  • 캐싱 관련 공식 문서 현행화
원문

Linkerd

Networking & Messaging2026년 6월 5일

프록시 두 번 업데이트(v2.355.0, v2.356.0)와 ReadAllLimit 바이트 경계 버그 수정이 포함된 의존성 유지보수 릴리스입니다.

  • enhancement프록시 버전이 두 개 묶인 릴리스 — 각 변경 이력 별도 확인 필요

    이번 엣지 릴리스에는 프록시 v2.355.0과 v2.356.0이 한꺼번에 포함됐습니다. 트래픽 정책, 재시도, 프로토콜 감지 동작을 면밀히 추적하는 팀이라면 스테이징에 배포하기 전 프록시 전용 변경 이력을 따로 확인하세요. 두 버전이 합쳐진 탓에 회귀 문제 발생 시 원인을 좁히기가 까다롭습니다.

  • enhancementReadAllLimit 수정 — 바이트 한도 정확히 맞는 요청 거부 문제 해결

    바이트 한도에 딱 맞는 입력이 잘못 거부되던 버그가 수정됐습니다. API 게이트웨이나 요청 본문 크기 검증 로직에서 설정된 한도와 정확히 일치하는 요청이 의도치 않게 차단됐다면 이번 수정으로 해결됩니다. 설정 변경은 불필요하지만, 기존에 의심스러운 413 류 거부 오류가 있었다면 검증해볼 만합니다.

주요 변경 (5)
  • 단일 릴리스에 프록시 v2.355.0, v2.356.0 두 버전 동시 포함
  • ReadAllLimit에서 정확히 바이트 한도에 맞는 입력을 올바르게 허용하도록 수정
  • Rust 프록시 의존성 hyper 1.10.1로 업그레이드
  • prometheus/common 0.68.1까지 두 단계 업데이트
  • 프론트엔드 의존성 업데이트: webpack-cli 7.0.3, query-string 9.4.0, launch-editor 2.14.1
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.29.4는 Envoy의 CVSS 7.5 DoS 취약점(CVE-2026-47774)을 패치하고, 클러스터 전체 unhealthy 엔드포인트로 트래픽이 라우팅될 수 있던 앰비언트 모드 버그 등 6건의 결함을 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 인증 없이 DoS 가능

    CVE-2026-47774는 외부 공격자가 인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있는 취약점입니다. 쿠키 헤더 크기가 요청 헤더 검증에서 완전히 반영되지 않고, HPACK 블록 제한이 인코딩된 바이트 기준으로만 적용되는 두 가지 문제가 결합된 결과입니다. 인그레스 게이웨이처럼 HTTP/2를 외부에 노출하는 환경이라면 지금 바로 1.29.4로 업그레이드해야 합니다.

  • breaking앰비언트 모드: publishNotReadyAddresses + 트래픽 분산 조합 점검 필요

    publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode 트래픽 분산을 함께 쓰는 Service가 하나라도 있으면, 동일 프리셋을 사용하는 모든 Service에 healthPolicy:AllowAll이 전파되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 전후로 ztunnel 로그에서 AllowAll 항목을 확인해 수정이 제대로 적용됐는지 검증하세요.

  • enhancement구형 커널 환경: nftables → iptables 자동 전환으로 CNI 안정성 향상

    JSON을 지원하지 않는 nft 바이너리가 있는 호스트에서 CNI 에이전트가 파드 제거마다 오류를 기록하며 무한 재시도하던 문제가 수정됐습니다. 이제 시작 시점에 JSON 지원 여부를 감지해 iptables 백엔드로 자동 전환합니다. 별도 조치는 불필요하지만, CNI 에이전트 로그에서 'JSON support not compiled-in' 오류가 반복됐던 환경이라면 업그레이드 후 오류가 사라지는지 확인하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 가능 — 쿠키 헤더 크기 계산 누락 및 HPACK 디코딩 크기 제한 미적용이 원인
  • 앰비언트 모드 버그 수정: publishNotReadyAddresses:true + 트래픽 분산 프리셋 조합 시 동일 프리셋을 쓰는 모든 Service의 healthPolicy가 AllowAll로 오염되던 문제
  • CNI 에이전트 시작 시 nft 바이너리의 JSON 지원 여부를 검사해 미지원 환경에서 iptables 백엔드로 자동 전환
  • 동일 노드에 두 파드가 동시에 앰비언트 메시에 합류할 때 istio-cni에서 발생하던 concurrent map writes 패닉 수정
  • 수동 배포 Gateway 하에서 ListenerSet으로 정의된 HTTPS 리스너의 TLS 인증서 미전달 문제 수정
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.28.8은 Envoy HTTP/2 메모리 고갈 취약점(CVSS 7.5)을 패치하고, TLS 인증서 전달 오류, 라우트 필터 상태 미보고, ambient 모드 헬스 정책 오염 버그를 수정합니다.

  • securityHTTP/2 엔드포인트 노출 중이라면 즉시 CVE-2026-47774 패치 적용

    인증 없이도 조작된 HTTP/2 요청만으로 Envoy 프로세스 메모리를 고갈시킬 수 있습니다. 쿠키 헤더 바이트가 크기 검증에서 누락되고, HPACK 제한이 인코딩 크기에만 적용되어 디코딩 후 실제 크기를 제어하지 못하는 구조적 결함입니다. 외부 트래픽이나 신뢰할 수 없는 HTTP/2 트래픽을 받는 클러스터는 지금 바로 1.28.8로 업그레이드하세요. 즉시 업그레이드가 어렵다면 Envoy 요청 헤더 크기 제한 설정이나 WAF 규칙으로 임시 대응하세요.

  • breakingambient 모드에서 publishNotReadyAddresses + 존 기반 트래픽 분산 조합 즉시 점검 필요

    ambient 모드에서 publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode를 함께 쓰는 서비스가 있다면, 해당 트래픽 분산 프리셋을 공유하는 모든 서비스의 ztunnel 헬스 정책이 AllowAll로 오염되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 후 영향받은 서비스의 엔드포인트 헬스 동작을 재확인하고, 문제가 활성화된 기간 동안 비정상 파드로 트래픽이 유입됐는지 점검하세요.

  • enhancement라우트 필터 묵살 버그 수정으로 설정 디버깅 신뢰성 향상

    기존에는 HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 아무 오류 없이 사라져 트래픽 동작 이상의 원인을 찾기가 매우 어려웠습니다. 이제 invalid filter status가 Gateway API 리소스 상태에 명시적으로 표시됩니다. 업그레이드 후 과거 감으로 디버깅했던 라우트 설정을 재검토하면 헤더 필터 거부 여부를 바로 확인할 수 있습니다.

주요 변경 (4)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 유발 가능 — 쿠키 헤더 크기 미산정 및 HPACK 디코딩 크기 제한 부재가 원인
  • ListenerSet + 수동 Gateway 배포 조합에서 HTTPS 리스너가 TLS 인증서를 전달하지 못하던 문제 수정
  • HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 조용히 삭제되던 문제 수정 — 이제 invalid filter status로 명시적 보고
  • ambient 모드에서 publishNotReadyAddresses:true + PreferSameZone/PreferSameNode 조합이 동일 트래픽 분산 프리셋을 공유하는 전체 서비스의 헬스 정책을 오염시키던 심각한 버그 수정
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.30.1은 Envoy HTTP/2에서 발생하는 CVSS 7.5 DoS 취약점 패치와 함께 CNI 에이전트 패닉, 트래픽 분산 정책 오염 버그, 일관 해시 로드밸런싱 회귀 등 13개 버그를 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 비인증 HTTP/2 DoS 공격 가능

    인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있습니다. Cookie 헤더 크기 계산 누락과 HPACK 디코딩 한도 미적용이 원인입니다. Istio 1.30.x를 운영 중이라면 지금 바로 1.30.1로 업그레이드하세요. 특히 신뢰할 수 없는 외부 트래픽에 노출된 인그레스 게이트웨이가 가장 위험한 지점입니다.

  • breaking앰비언트 모드 + 트래픽 분산 정책 사용자: 서비스 즉시 점검

    publishNotReadyAddresses: true와 PreferSameZone 또는 PreferSameNode를 함께 사용하는 Service가 있다면, 해당 버그로 인해 동일 프리셋을 공유하는 무관한 다른 Service들에도 healthPolicy: AllowAll이 적용되었을 수 있습니다. 결과적으로 준비되지 않은 파드로 트래픽이 라우팅됐을 가능성이 있습니다. 1.30.1 업그레이드 후 엔드포인트 상태를 검증하고, 준비되지 않은 파드에 트래픽이 유입됐는지 확인하세요.

  • enhancement업그레이드 후 'istioctl analyze'로 Gateway API CRD 버전 점검

    1.30.0에서 Gateway API CRD를 업데이트하지 않고 Istio만 업그레이드하면 TLS 패스스루가 조용히 깨지는 문제가 있었습니다. istiod가 관련 리소스를 오류 없이 필터링하기 때문에 원인 파악이 어려웠는데, 새 IST0176 검사가 이를 명확히 잡아냅니다. 업그레이드 후 istioctl analyze를 실행하고 IST0176 경고가 있으면 운영 환경에서 라우팅 장애로 번지기 전에 조치하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): Cookie 헤더 및 HPACK 디코딩을 악용한 Envoy HTTP/2 메모리 고갈 — 즉시 패치 필요
  • CNI 에이전트 치명적 패닉 수정: 동일 노드에서 앰비언트 메시에 파드 동시 추가 시 맵 동시 쓰기 경쟁 발생
  • 앰비언트 모드 트래픽 분산 버그 수정: publishNotReadyAddresses + PreferSameZone/Node 조합이 무관한 다른 Service의 healthPolicy를 클러스터 전체에서 오염시키는 문제
  • istioctl analyze에 IST0176 검사 추가 — Istio 최소 요구 버전 미만의 Gateway API CRD 감지
  • 호스트의 nft 바이너리에 JSON 지원이 없을 경우 nftables 백엔드가 iptables로 자동 폴백, CNI 파드 제거 시 무한 재시도 루프 종료
원문

Envoy

Networking & Messaging2026년 6월 4일

HTTP/2 CVE 2건과 oauth2 취약점 2건을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 운영 중이라면 즉시 업그레이드해야 합니다.

  • securityHTTP/2·oauth2 CVE — 다음 정기 점검을 기다리지 말고 지금 패치하세요

    HPACK 쿠키 폭탄을 통한 메모리 소진(CVE-2026-47774), nghttp2 취약점(CVE-2026-27135), oauth2 HMAC 타이밍 오라클, oauth2 크래시 유발 버그까지 총 4개의 보안 이슈가 수정됐습니다. oauth2 필터를 쓰고 있다면 HMAC 타이밍 사이드채널이 특히 위험합니다. 공격자가 반복 요청으로 HMAC 시크릿의 유효성을 추적할 수 있습니다. v1.38.1로 즉시 업그레이드하세요. HTTP/2 헤더 제한 동작은 기본값으로 활성화되므로, 명확한 이유 없이 `envoy.reloadable_features.http2_include_cookies_in_limits`로 되돌리지 마세요.

  • breakingHTTP 응답 본문에서 upstream 장애 이유가 제거됩니다 — 클라이언트 에러 처리 로직을 점검하세요

    이전까지 HTTP 응답 본문에 포함되던 upstream transport failure reason이 사라집니다. 이 정보를 파싱하거나 표시하는 다운스트림 클라이언트나 대시보드가 있다면 업그레이드 전에 반드시 확인해야 합니다. 액세스 로그에는 여전히 기록되니 모니터링 방식을 조정하세요. 이전 동작이 꼭 필요하다면 `envoy.reloadable_features.hide_transport_failure_reason_in_response_body`로 일시적으로 복원할 수 있습니다.

  • breakingEDS 배치 업데이트 시 LB 재구성 병합이 opt-in으로 전환됩니다

    EDS 배치 호스트 업데이트 중 로드밸런서 재구성 병합이 기본 비활성화됩니다. 파드 수가 많은 Kubernetes 환경에서 롤링 배포가 잦다면 LB 재구성 빈도가 늘어 CPU 부하가 증가할 수 있습니다. 업그레이드 후 컨트롤 플레인과의 상호작용 패턴을 벤치마킹하세요. 성능 저하가 확인되면 `envoy.reloadable_features.coalesce_lb_rebuilds_on_batch_update`로 이전 동작을 복원하세요.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기 위반 시 리셋됨. 비압축 쿠키가 헤더 크기/개수 제한에 포함되어 HPACK 쿠키 폭탄 공격 차단
  • CVE-2026-27135: nghttp2 패치 적용 — HTTP/2 트래픽 전반에 영향
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 시크릿 유효성 유출 방지
  • oauth2: 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 성공하던 크래시 수정
  • 라우터가 HTTP 응답 본문에 upstream transport failure reason을 더 이상 포함하지 않음 — 액세스 로그(%UPSTREAM_TRANSPORT_FAILURE_REASON%)에서만 확인 가능
원문

Keycloak

Security2026년 6월 4일

Keycloak 26.6.3은 OIDC, SAML, LDAP, WebAuthn, 인가 서비스 전반에 걸쳐 16개의 CVE를 수정한 긴급 보안 패치입니다. 즉시 업그레이드해야 합니다.

  • security16개 CVE 포함 — 즉시 26.6.3으로 업그레이드

    이번 릴리스에서 패치된 취약점 중 특히 위험한 항목은 다음과 같습니다. CVE-2026-9704(토큰 교환 시 subject_token 묵시적 제거를 통한 권한 상승), CVE-2026-4874(OIDC 토큰 엔드포인트 SSRF), CVE-2026-9802(서버 재시작 후 교체된 리프레시 토큰 재사용), CVE-2026-8830(WebAuthn 서버 측 검증 누락). 26.x 버전을 운영 중이라면 정기 유지보수 일정을 기다리지 말고 즉시 패치 창을 잡으세요. 업그레이드 전 마이그레이션 가이드를 반드시 확인해야 합니다.

  • security와일드카드 리다이렉트 URI 수정 후 클라이언트 설정 검토 필요

    와일드카드 리다이렉트 URI 매칭 로직이 변경되었습니다. 호스트명 바로 뒤에 '*'를 붙인 패턴이 임의의 서브도메인이나 경로와 일치하지 않도록 강화되었습니다. 업그레이드 후 기존 클라이언트의 리다이렉트 URI가 정상 동작하는지 각 환경에서 반드시 확인하세요. 지나치게 넓게 설정된 와일드카드 패턴이 있다면 이번 기회에 정리하는 것을 권장합니다.

  • securityLDAP 페더레이션 및 토큰 교환 설정 점검

    CVE-2026-9801은 LDAP 페더레이션에서 잘못된 형식의 PasswordPolicyControl을 통한 DoS 공격을 허용합니다. 외부 트래픽이 LDAP 기반 인증 흐름에 닿을 수 있는 구성이라면 우선순위를 높여 패치하세요. CVE-2026-9704는 토큰 교환 사용 시 subject_token 제거를 통한 권한 상승 문제로, 업그레이드 후 토큰 교환 정책 범위가 올바르게 설정되어 있는지 재확인해야 합니다.

주요 변경 (5)
  • 16개 CVE 패치: 토큰 교환 권한 상승, OIDC 엔드포인트 SSRF, 검증되지 않은 JWT azp 클레임의 CORS 헤더 반영, WebAuthn 등록 우회 등
  • 서버 재시작 시 startupTime 초기화 버그 수정 — revokeRefreshToken=true 설정에서 교체된 리프레시 토큰이 재사용되던 취약점(CVE-2026-9802) 해결
  • 와일드카드 리다이렉트 URI 매칭이 호스트 경계를 강제 적용하도록 수정 — 기존에는 서브도메인·경로 우회 공격이 가능했음
  • ROPC 그랜트 클라이언트 정책 우회 및 토큰 인트로스펙션의 notBefore 처리 오류 수정
  • 시작 시 DB 인덱스 누락 여부 체크 추가, SQL Server 대소문자 구분 콜레이션 환경 업그레이드 실패 수정
원문
← 최신이전 →