RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Kubescape

Security2026년 5월 29일

Kubescape v4.0.9는 스캔 정확도 버그(부분 리소스 수집, 커버리지 리포팅, Prometheus 출력)를 고치고 스캔 리포트의 정보 노출을 보강하며, patch 명령의 기본 푸시 동작을 변경한 대규모 유지보수 릴리스입니다.

  • security시크릿 노출 관련 수정과 신규 익명화 플래그 점검

    스캔 결과의 정보 노출을 막는 수정이 여러 건 포함됐습니다. removeContainersData에서 EnvFrom과 Env[].ValueFrom을 제거하고(커밋 acc3280, 0c68cca), /v1/results의 IDOR 취약점을 보강했으며(커밋 0fe6a0f), 리소스 이름·네임스페이스·라벨·어노테이션·컨테이너 메타데이터를 가리는 --hide 익명화 파이프라인이 새로 추가됐습니다. 스캔 리포트를 팀 밖으로 공유하거나 CI 아티팩트로 내보낸다면 --hide 플래그를 검토하고 컨테이너 환경변수 참조가 노출되지 않는지 확인하세요.

  • breakingpatch 명령의 기본 푸시 동작 제거

    Kubescape의 fix 명령이 이제 기본적으로 패치된 이미지를 푸시하지 않습니다(커밋 b10cbb1). CI 파이프라인이 기존의 기본 푸시 동작에 의존하고 있었다면 --push 플래그를 명시적으로 추가해야 합니다. 그렇지 않으면 업그레이드 후 패치 파이프라인이 아무 경고 없이 이미지 푸시를 멈춥니다.

  • enhancement신규 커버리지 게이트와 diff 명령을 CI에 도입

    CI 파이프라인에서 스캔 커버리지와 컨트롤 결과를 게이트할 수 있는 플래그가 추가됐습니다. --fail-coverage-below로 최소 커버리지 임계값을 지정할 수 있고(커밋 4ae7b87), 커버리지 누락 및 미평가 컨트롤도 명시적으로 리포트됩니다(커밋 5876d2b). 두 스캔 리포트를 비교하는 kubescape diff 명령도 새로 생겼습니다(커밋 00682ee). 이전에는 리소스 수집이 일부 실패해도 조용히 통과했던 CI 게이트에 --fail-coverage-below를 추가하고, kubescape diff로 스캔 간 보안 상태 변화를 추적하세요.

주요 변경 (6)
  • GVR(리소스 타입) 일부 수집 실패를 조용히 무시하지 않고 표면화하며, ScanCoverage가 실패·미평가 컨트롤을 반영합니다
  • CI 커버리지 게이트용 --fail-coverage-below 플래그와 리포트 비교용 kubescape diff 명령이 새로 추가됐습니다
  • 리소스 이름, 네임스페이스, 라벨, 어노테이션, 컨테이너 메타데이터를 가리는 --hide 플래그와 익명화 파이프라인이 새로 생겼습니다
  • fix 명령이 이제 이미지 푸시에 명시적 opt-in을 요구합니다 (이전에는 기본으로 푸시했습니다)
  • Prometheus 출력 관련 수정 다수: 누락된 HELP/TYPE 헤더 추가, score/metrics 출력 writer 경로 수정, 중복 헤더 제거
  • K8s 리소스 수집을 병렬화해 성능을 개선했고 TimedCache의 TOCTOU 레이스 컨디션을 고쳤습니다
원문

Dapr

Orchestration & Management2026년 5월 28일

v1.17.8은 완료된 인스턴스 ID 재사용 시 워크플로우가 영구 stuck되는 버그와, Sentry OIDC discovery document가 X-Forwarded-Host로 오염될 수 있는 보안 취약점(CWE-346)을 수정합니다.

  • securityX-Forwarded-Host를 통한 OIDC discovery document 오염 취약점 조치

    Sentry OIDC 서버를 `--jwt-issuer`나 `--oidc-allowed-hosts` 없이 켜둔 배포는 CWE-346에 노출됩니다. 공격자가 `X-Forwarded-Host` 헤더를 조작한 요청 한 건만으로 discovery document를 오염시킬 수 있고, HTTP 캐시가 최대 1시간 동안 오염된 응답을 서빙할 수 있습니다. 즉시 업그레이드가 어렵다면 `--jwt-issuer`로 issuer를 고정하는 것이 가장 빠른 완화책입니다. 리버스 프록시의 공개 hostname을 `X-Forwarded-Host`로 전달하는 구성이라면 `--oidc-allowed-hosts`를 설정해야 해당 헤더가 계속 동작합니다.

  • breaking인스턴스 ID 재사용으로 stuck된 워크플로우 수정 — 업그레이드 필요

    결정적(deterministic) 인스턴스 ID를 재사용하는 워크플로우를 운영 중이라면 이 버그에 해당할 수 있습니다. 사이드카를 1.17.8로 올리면, 다음 retention reminder가 실행될 때 자동으로 복구되며 스케줄러에서 수동으로 job을 지울 필요가 없습니다. `dapr_runtime_workflow_operation_count{operation=purge_workflow,status=failed}` 메트릭이 워크플로우당 초당 1씩 올라가고 있다면 이 버그를 겪고 있는 겁니다.

주요 변경 (4)
  • 완료된 워크플로우의 retention reminder가 이제 무한 재시도 대신 조용히 드레인됨
  • 기존 1.17 배포에서 stuck된 워크플로우는 사이드카를 1.17.8로 올리면 자동 복구 — 수동 개입 불필요
  • `--oidc-allowed-hosts` 미설정 시 Sentry OIDC가 `X-Forwarded-Host` 헤더를 무시하도록 변경
  • allowlist 미설정 상태에서는 issuer와 jwks_uri를 `r.Host`에서만 도출
원문

Cloud Custodian

Security2026년 5월 28일

0.9.51.0은 AWS AI/ML 관련 신규 리소스 추가, iam-access-key 스키마 breaking change, GCP 레이블 관리 대상 리소스 대폭 확대를 담은 기능 위주 릴리스입니다.

  • breaking업그레이드 전 iam-access-key 정책에서 json-diff 필터 제거 필수

    `aws.iam-access-key` 리소스에서 `json-diff` 필터가 완전히 제거됐습니다. 이 필터를 쓰는 정책은 업그레이드 후 런타임 오류가 납니다. 업그레이드 전에 `iam-access-key` 관련 정책 파일을 검색해 `json-diff` 필터 사용 여부를 확인하고 제거하거나 대체 필터로 바꾸세요.

  • enhancementCross-account IAM 정책 검사에 org path 지원 활용

    AWS cross-account 정책 평가에서 `aws:PrincipalOrgPaths`와 화이트리스트 계정을 지원하기 시작했습니다. 조직 경로 기반 principal 체크를 위해 별도 우회 방법을 쓰고 있었다면, 이 기능으로 정책을 단순화할 수 있습니다. cross-account 거버넌스 정책을 운영 중이라면 검토해 보세요.

  • enhancementGCP 레이블 컴플라이언스 정책을 새로 지원하는 리소스 타입으로 확장

    이번 릴리스에서 GCP 레이블 관리 대상 리소스가 대폭 늘었습니다. Cloud Run 서비스/잡, Pub/Sub 토픽/구독, Redis, Secrets Manager 시크릿, 스냅샷, DNS 관리 영역, 인터커넥트, 로드밸런서 주소 및 포워딩 룰, Cloud Functions 등 약 15개 리소스 타입에 `set-labels`와 `mark-for-op` 액션이 추가됐습니다. GCP 레이블 컴플라이언스 정책을 운영 중이라면 지금까지 커버하지 못했던 리소스를 정책에 추가하세요.

주요 변경 (5)
  • Breaking change: `aws.iam-access-key`에서 `json-diff` 필터 제거 — 사용 중인 정책은 업그레이드 시 오류 발생
  • 신규 AWS 리소스: `bedrock-foundation-model`, `bedrock-guardrail`, `devops-agent-space` 추가; Bedrock 추론 프로파일에 `metrics` 필터 추가
  • AWS EKS에 `addon` 및 `metrics`(컨테이너 인사이트) 필터 추가; RDS에 `recommendations` 필터 추가; `rds-param-group`, `rds-cluster-param-group` 모두 `unused` 필터 추가
  • EC2와 Lambda에 `iam-role`, `iam-role-tag-mirror` 필터 추가 — 기존 리소스/역할 속성 불일치 버그 수정
  • GCP에서 Firestore, NCC spoke, Redis 클러스터, Vertex AI Model Garden 등 신규 리소스 추가; ~15개 리소스 타입에 레이블 액션 일괄 추가
원문

SPIRE

Security2026년 5월 28일

SPIRE v1.15.1 fixes a node attestation forgery vulnerability in the azure_imds plugin; anyone using Azure IMDS attestation should patch now.

원문

OpenFeature

CI/CD & App Delivery2026년 5월 28일

OpenFeature core/v0.15.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

OpenFeature

CI/CD & App Delivery2026년 5월 28일

OpenFeature flagd-proxy/v0.9.6이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

OpenFeature

CI/CD & App Delivery2026년 5월 28일

OpenFeature flagd/v0.15.6이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

SPIRE

Security2026년 5월 28일

v1.14.7은 azure_imds 노드 어테스터의 인증서 검증 결함을 수정합니다. 공격자가 임의 Azure VM으로 위장해 노드 어테스테이션을 통과할 수 있었던 취약점으로, Azure IMDS를 사용 중이면 즉시 업그레이드해야 합니다.

  • securityazure_imds 노드 어테스터 사용 중이면 즉시 업그레이드

    azure_imds 노드 어테스터에서 PKCS7 인증서 검증 로직에 결함이 있었습니다. 인증서 백의 첫 번째 인증서를 Azure 루트에 anchoring하면서도, 실제 서명 검증은 SignerInfo에서 별도로 가져온 서명자 인증서로 수행했습니다. 공격자가 정상적인 Azure 인증서를 인증서 백에 넣고 별개의 인증서로 서명된 문서를 함께 제출하면, 임의 VM으로 위장한 노드 어테스테이션이 통과될 수 있었습니다. Azure IMDS 노드 어테스터를 쓰고 있다면 즉시 업그레이드해야 합니다.

  • enhancement의존성 패키지 일괄 업데이트 포함

    golang.org/x/net, golang.org/x/crypto, go-jose/v4, Go 툴체인(1.26.3)이 모두 업데이트됩니다. SPIRE 자체를 업그레이드하면 함께 적용되므로 별도 조치는 필요 없습니다.

주요 변경 (4)
  • azure_imds 서버 노드 어테스터의 PKCS7 인증서 검증 결함 수정 — 서명 검증과 체인 검증이 분리되어 노드 위장 가능했던 문제
  • Go 툴체인 1.26.3으로 업데이트
  • golang.org/x/net v0.55.0, golang.org/x/crypto v0.52.0으로 업그레이드
  • go-jose/v4 v4.1.4로 업데이트
원문

Contour

Networking & Messaging2026년 5월 28일

Contour v1.33.5는 보안 패치 릴리스입니다. fallback 인증서와 JWT 검증을 함께 쓸 때 발생하던 JWT 검증 우회 취약점을 막습니다.

  • securityJWT 검증 우회 취약점 패치 (GHSA-g3xr-5w5j-w4q4)

    fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy 구성에서, SNI가 없거나 인식되지 않는 SNI로 오는 요청이 JWT 검증을 우회할 수 있었습니다. TLS SNI 없이 들어오는 트래픽을 처리하면서 JWT로 인가를 걸어둔 라우트가 있다면 우선 점검하고 v1.33.5로 업그레이드하세요.

  • breakingfallback 인증서 + JWT 조합 구성 거부 확인

    이번 버전부터 fallback 인증서와 JWT 검증을 동시에 설정한 HTTPProxy는 유효하지 않은 구성으로 거부됩니다. 업그레이드 전에 관련 설정이 있는지 확인하고, 거부될 경우 라우트 구성을 재설계해야 합니다.

주요 변경 (4)
  • GHSA-g3xr-5w5j-w4q4 보안 패치: fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy에서 SNI 없이 오거나 인식 안 되는 SNI로 오는 요청이 JWT 검증을 우회할 수 있던 문제 수정
  • 이제 Contour는 이런 유효하지 않은 구성을 거부합니다
  • Kubernetes 1.32~1.34 버전에서 테스트 완료
  • 이번 릴리스에 다른 기능 변경 사항 없음
원문

Prometheus

Observability2026년 5월 28일

Prometheus 3.12.0은 Remote Write DoS와 STACKIT SD 시크릿 노출 두 가지 보안 패치를 포함하며, Agent 모드 WAL 레이스 버그를 수정하고 TSDB 범위 쿼리의 헤드 청크 조회를 O(1)로 개선합니다.

  • securitySTACKIT SD 사용 환경은 자격증명 교체 후 즉시 업그레이드

    이번 릴리스에서 두 가지 보안 취약점이 패치되었습니다. 첫째, Remote Write 수신 시 snappy 압축 페이로드의 선언된 압축 해제 크기가 32 MB를 초과하면 요청을 거부하도록 변경되었습니다 — DoS 공격 벡터를 막는 조치입니다. 둘째, STACKIT SD가 `/-/config` 엔드포인트를 통해 시크릿을 평문으로 노출하는 버그(GHSA-39j6-789q-qxvh)가 수정되었습니다. STACKIT SD를 사용 중이라면 업그레이드 전에 노출됐을 수 있는 자격증명을 즉시 교체하세요.

  • breakingAgent 모드 WAL 레이스 패치 — Agent 배포 환경은 업그레이드 필수

    Agent 모드에서 동일한 레이블 셋을 대상으로 동시에 Append가 발생할 때 인메모리 시리즈와 WAL 레코드가 중복 생성되는 레이스 컨디션이 수정되었습니다. 쓰기 부하가 높은 Agent 배포 환경에서는 WAL이 조용히 손상될 수 있었던 버그입니다. 또한 `remote_write` queue_config 필드 유효성 검사가 이제 시작 시점에 수행됩니다 — 기존에는 런타임 패닉으로 이어지던 잘못된 설정이 이제 startup 실패로 나타납니다. 배포 전 반드시 설정 파일을 검증하세요.

  • enhancementTSDB 범위 쿼리 CPU 개선 및 auto-reload-config 안정화

    TSDB 헤드 청크의 범위 쿼리 조회가 O(n²)에서 O(1)로 개선되었고, mmap 처리 시 불필요한 시리즈를 건너뛰도록 최적화되었습니다. 헤드 청크가 많은 운영 환경에서 CPU 사용량이 눈에 띄게 줄어들 수 있습니다. 설정 변경 없이 업그레이드만으로 적용됩니다. 아울러 `auto-reload-config`가 stable로 승격되었으므로, 런북에서 해당 기능에 붙어 있던 '실험적' 주석을 제거해도 됩니다.

주요 변경 (7)
  • 보안: Remote Write에서 32 MB 초과 snappy 페이로드 거부(DoS 방어); STACKIT SD 시크릿 평문 노출 패치(GHSA-39j6-789q-qxvh)
  • TSDB 성능: 헤드 청크 범위 쿼리 조회 O(n²) → O(1); mmap 시 불필요한 시리즈 건너뜀으로 CPU 절감
  • PromQL: 실험적 함수 start(), end(), range(), step() 추가; use-start-timestamps 플래그 뒤에 rate()/irate()/increase()/resets()가 start timestamp 반영
  • Service Discovery: DigitalOcean Managed Databases, Outscale VM 추가; AWS EC2 SD IPv6 지원; AWS SD에 external_id 옵션 추가(ECS/MSK/RDS/ElastiCache)
  • 버그 수정: Agent WAL 레이스 컨디션, 잘못된 네이티브 히스토그램 스크레이프 패닉, TSDB 네이티브 히스토그램 쿼리 패닉, remote_write 설정 startup 시 유효성 검사 적용
  • UI: Status 메뉴에서 시계열 삭제 및 tombstone 정리 기능 추가
  • auto-reload-config stable 승격
원문

OpenFGA

Security2026년 5월 28일

OpenFGA v1.16.1 is a bug-fix and security patch release, mainly hardening the experimental weighted_graph_check algorithm and updating grpc-health-probe for Go std lib CVEs.{}}}}} ,

원문

Open Policy Agent (OPA)

Security2026년 5월 28일

OPA v1.17.0은 부정 처리의 의미론적 버그를 수정하고 결정 로그 레이블 보고를 개선합니다. 대부분 향상 사항이지만 하나의 의존성 제거는 특정 환경에서 수동 GOMAXPROCS 구성이 필요할 수 있습니다.

  • breakingautomaxprocs 및 x/net 의존성 제거됨; 필요시 GOMAXPROCS 수동 구성

    OPA v1.17.0은 automaxprocs와 x/net 의존성을 제거하여 런타임 크기를 줄이고 이 라이브러리를 관리하는 애플리케이션과의 충돌을 제거합니다. automaxprocs 동작(CPU 자동 감지 및 GOMAXPROCS 튜닝)을 명시적으로 의존하지 않으면 조치가 필요 없습니다. 그 동작에 의존한다면 환경이나 배포에서 GOMAXPROCS를 수동으로 구성해야 할 수 있습니다. 대부분의 사용자는 영향을 받지 않습니다.

  • enhancement복합식 부정 의미론 수정을 위해 future.keywords.not 임포트하기

    OPA v1.17.0은 복합식 부정(`not f(g(input.x))`)에서 중간값이 정의되지 않으면 규칙이 조용히 실패하던 오래된 버그를 고칩니다. `future.keywords.not` 임포트를 추가하면 정의되지 않은 중간값이 더 이상 규칙 실패를 일으키지 않고 부정이 올바르게 성공합니다. 입력이나 함수 결과가 정의되지 않을 수 있는 복잡한 식의 부정에 의존하는 정책이 있다면 `future.keywords.not`을 임포트하세요. 정책 평가 동작이 바뀌지만 올바른 방향입니다.

  • enhancement결정 로그 파싱을 새로운 rule_labels 배열 형식에 맞게 업데이트하기

    결정 로그에 새로운 최상위 `rule_labels` 배열이 추가되어 성공적으로 평가된 모든 규칙의 레이블을 하나의 항목에 모읍니다(규칙 > 문서 > 패키지 > 서브패키지 순서로 우선순위 결정). 이전에는 레이블을 기여한 각 범위마다 로그 항목이 하나씩 있었습니다. 결정 로그를 규칙 레이블로 파싱하거나 쿼리한다면 개별 범위 레벨 항목 대신 `rule_labels`를 통합된 레이블 맵의 배열로 읽도록 로그 파싱 로직을 업데이트하세요. 이 변경으로 레이블 집계가 단순해지며 런타임과 Go SDK에서 기본으로 처리됩니다.

주요 변경 (5)
  • 정의되지 않은 중간값을 포함한 복합식 부정 시 직관적이지 않은 실패를 수정하는 `future.keywords.not` 임포트 추가.
  • 결정 로그에 성공적으로 평가된 모든 규칙의 통합된 레이블을 담은 `rule_labels` 배열 추가.
  • 번들 매니페스트 및 IR 계획 JSON 스키마가 검증과 도구 통합을 위해 공개됨.
  • 런타임 크기 감소를 위해 automaxprocs와 x/net 의존성 제거.
  • `json.verify_schema` 및 `json.match_schema` 내장 함수에서 패턴 검증 활성화.
원문

Argo

CI/CD & App Delivery2026년 5월 28일

Argo CD v3.3.11은 3.3 브랜치의 정기 패치 릴리스로, 버그 수정 6건과 의존성 보안 패치 1건(CVE-2026-41240)을 포함합니다.

  • securityArgo CD UI dompurify CVE 패치

    UI의 redoc/dompurify를 v3.4.0으로 올려 CVE-2026-41240을 패치했습니다. Argo CD UI를 운영 중이면 v3.3.11로 업그레이드해서 이 XSS 관련 취약점을 제거하세요.

  • enhancement컨트롤러 시작 레이스 컨디션 및 nil 포인터 크래시 수정

    애플리케이션 컨트롤러 시작 시 레이스 컨디션으로 InvalidSpecError가 발생하던 문제와, gitops-engine의 removeWebookMutation()에서 nil 포인터 역참조가 발생하던 문제를 고쳤습니다. 컨트롤러 시작 시 스펙 오류나 크래시를 겪었다면 업그레이드하세요.

주요 변경 (5)
  • 애플리케이션 컨트롤러 시작 시 InvalidSpecError를 일으키던 레이스 컨디션 수정
  • gitops-engine의 removeWebookMutation()에서 nil 포인터 역참조 수정
  • 삭제 훅 리소스의 라벨 truncate 처리 수정
  • UI의 redoc/dompurify를 v3.4.0으로 올려 CVE-2026-41240 패치
  • 서버사이드 diff(ssd)에서 resourceVersion 제거
원문

Argo

CI/CD & App Delivery2026년 5월 28일

Argo CD 3.4.3은 UI XSS CVE(CVE-2026-41240, dompurify), 컨트롤러 기동 race condition, 웹훅 nil pointer 크래시, CLI/UI 버그 등을 수정한 패치 릴리스입니다.

  • securityUI XSS 취약점 CVE-2026-41240 패치 적용 필요

    UI에서 사용하는 dompurify를 v3.4.0으로 올려 CVE-2026-41240을 수정했습니다. 웹 UI를 외부에 노출하거나 불특정 사용자가 접근하는 환경이라면 3.4.3으로 빠르게 업그레이드하세요. 인터넷에 직접 노출된 경우 다음 정기 배포를 기다리지 말고 즉시 적용하는 편이 좋습니다.

  • enhancement컨트롤러 기동 race condition 및 웹훅 nil pointer 크래시 수정

    애플리케이션 컨트롤러 기동 시 InvalidSpecError가 잘못 발생하는 race condition과, removeWebhookMutation()에서 nil pointer dereference로 인한 크래시가 모두 수정됐습니다. 컨트롤러 재시작 후 근거 없는 스펙 오류나 웹훅 관련 패닉이 간헐적으로 발생했다면 이번 패치가 원인일 가능성이 높습니다.

  • enhancement'app wait', 이미 동기화된 앱에 대해 즉시 반환

    'app wait' 명령이 앱이 이미 원하는 상태일 때 즉시 종료하도록 바뀌었습니다. CI/CD 파이프라인에서 sync 완료 대기 용도로 'app wait'를 쓴다면, 이미 정상 상태인 경우 불필요하게 대기하던 문제가 사라집니다. 코드 변경 없이 업그레이드만으로 파이프라인 속도가 빨라집니다.

주요 변경 (6)
  • CVE-2026-41240 수정: UI의 dompurify를 v3.4.0으로 업그레이드
  • 애플리케이션 컨트롤러 기동 시 InvalidSpecError를 유발하는 race condition 수정
  • gitops-engine의 removeWebhookMutation()에서 nil pointer dereference 수정
  • CLI: 앱이 이미 desired state이면 'app wait'가 즉시 종료
  • UI: non-hydrator 앱의 Parameters 탭에서 전체 소스를 반환하도록 수정
  • gitSourceHasChanges 및 fetch 함수에서 repo depth 설정이 제대로 반영됨
원문

Rook

Storage & Data2026년 5월 27일

Rook v1.19.6은 OSD 디바이스 클래스 처리, Prometheus 메트릭 라벨링, 네트워크 계층 의존성 취약점을 다루는 제한된 범위의 패치 릴리스입니다. 이미 운영 중인 Ceph 클러스터의 운영 안정성 개선에 중점을 두었습니다.

  • securitygolang.org/x/net 취약점 패치

    Rook v1.19.6은 golang.org/x/net을 두 번 업데이트합니다(govulncheck CI 실패 및 GO-2026-5026 해결). 높은 트래픽 환경이나 신뢰할 수 없는 네트워크 입력을 처리하는 Rook을 운영 중이라면, golang.org/x/net 권고사항에서 구체적 취약점을 확인하세요. 1.19.6으로 업그레이드하면 패치된 의존성을 상속받습니다. Rook 인스턴스가 신뢰할 수 없는 소스에 네트워킹 로직을 노출한다면 지연하지 말고 업그레이드하세요.

  • enhancementraw-mode에서 OSD 디바이스 클래스 감지 수정

    OSD 디바이스 클래스 처리가 raw-mode prepare 및 reconcile 작업에서 올바르게 작동합니다(#17407). 빠른 스토리지(NVMe)와 느린 스토리지(HDD)를 분리하기 위해 디바이스 클래스를 사용 중이라면, 업그레이드 후 OSD 토폴로지가 올바른 디바이스 클래스를 반영하는지 확인하세요. `ceph osd crush tree`를 확인하고 OSD 가중치 분배를 검토하여 배치 규칙이 의도대로 작동하는지 확인하세요.

  • enhancementPrometheus 메트릭에 cluster 라벨 추가

    Prometheus 스크레이프 메트릭에 upstream Ceph 규칙의 `cluster` 라벨이 포함됩니다(#17544). 여러 Ceph 클러스터에서 Rook 메트릭을 수집한다면, 이 라벨 추가로 메트릭 카디널리티가 개선되고 충돌이 방지됩니다. 기존 라벨 세트에 의존하는 Prometheus 규칙, 대시보드, 알림을 업데이트하세요. 프로덕션 외 환경에서 먼저 테스트하여 PromQL 쿼리 오류를 잡으세요.

주요 변경 (8)
  • upstream Ceph 변경사항에 맞춰 Prometheus 규칙 업데이트; 모든 스크레이프 메트릭에 cluster 라벨 추가
  • OSD 디바이스 클래스가 raw-mode prepare 및 reconcile에서 인식됨
  • golang.org/x/net 패치로 네트워크 계층 취약점 해결(GO-2026-5026)
  • 래핑된 컨텍스트 deadline 오류 발생 시 자체 서명 인증서 생성 재시도 로직 추가
  • 모니터 상태 확인 반복마다 노드 존재 여부 확인
  • cmd-reporter 파드에 기본 ResourceRequirements 추가
  • dmcrypt 경로에 대한 암호화 라벨 감지 개선
  • rook-ceph-exporter의 DNS 정책 수정
원문

Rook

Storage & Data2026년 5월 27일

Rook v1.18.11은 liveness probe 안정성, OSD 디스크 처리, CSI priority class 할당을 개선합니다. 주요 breaking change는 없지만 CSI 컴포넌트 수정으로 포드 스케줄링이 바뀔 수 있습니다.

  • breakingCSI priority class 이름 수정

    CSI provisioner와 plugin priority class 이름이 이전 v1.18.x 릴리스에서 바뀌어 있었습니다(PR #17361). CSI priority class를 커스텀으로 설정했다면 업그레이드 후 PVC와 plugin pod를 확인하세요. 이제 올바른 priority class가 올바른 컴포넌트에 적용되므로 스토리지 워크로드의 스케줄링 동작이 바뀔 수 있습니다.

  • enhancementLiveness probe 스크립트 형식 개선

    Rook v1.18.11은 liveness probe 스크립트에서 줄바꿈을 제거했습니다(PR #17420). Ceph 클러스터의 liveness probe가 불안정하거나 포드가 자주 재시작된다면 즉시 업그레이드하세요. 공백 문제가 probe 출력 파싱을 방해할 수 있습니다. breaking change는 없지만 운영 중 노이즈를 제거할 수 있습니다.

  • enhancement강제 OSD 설치를 위한 디스크 zapping

    디스크 zapping 기능(PR #17533)을 통해 강제 OSD 설치 시 디바이스를 명시적으로 제어할 수 있습니다. 기존 노드에 스토리지를 추가하거나 실패한 OSD 슬롯을 복구 중이라면 v1.18.11로 업데이트한 후 OSD 검색 워크플로우를 검토하세요. 이제 이전에 사용된 디스크에 수동 개입 없이 강제 설치할 수 있습니다.

주요 변경 (5)
  • 강제 OSD 설치를 위한 디스크 zapping으로 스토리지 복구 단순화
  • Liveness probe 스크립트 줄바꿈 제거로 포드 재시작 감소
  • CSI provisioner와 plugin priority class 이름 정정
  • Go-jose 라이브러리 4.1.3에서 4.1.4로 업데이트
  • 오래된 PgHealthyRegex 문서 참조 수정
원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 27일

Linux 커널 CVE 50개 이상 패치 및 CA 인증서 업데이트만 포함된 순수 보안 패치 릴리스입니다. 기능 변경은 없습니다.

  • security50개 이상의 커널 CVE 패치 — 노드 재부팅을 빠르게 예약하세요

    이번 릴리스는 2025년 및 일부 2026년 사전 공개 CVE를 포함해 대량의 커널 취약점을 수정했습니다. 네트워킹과 드라이버 서브시스템 전반에 걸친 광범위한 공격 표면이 다뤄졌습니다. Flatcar는 기본적으로 자동 업데이트를 사용하지만, FLUO나 Kured로 자동 재부팅을 제어하거나 비활성화한 경우 노드가 실제로 업데이트를 적용했는지 확인하세요. 최근 재부팅이 없는 노드는 이 취약점들에 그대로 노출된 상태입니다.

  • securityCA 인증서 번들 NSS 3.124 업데이트 — 커스텀 PKI 설정을 검토하세요

    NSS 3.124 업데이트로 특정 루트 CA가 추가되거나 신뢰 목록에서 제거될 수 있습니다. 시스템 트러스트 스토어에 의존하거나 커스텀 CA 번들을 시스템 번들 위에 덧붙인 경우, 노드 업데이트 후 TLS 핸드셰이크가 정상 동작하는지 반드시 검증하세요. 일반 설정에서는 위험도가 낮지만, 내부 서비스에서 특정 중간 CA에 의존하는 경우 조용히 장애가 발생할 수 있습니다.

  • enhancement업데이트 그룹이 stable 채널을 추적 중인지 확인하세요

    이런 보안 패치 전용 릴리스에서 가장 빠른 대응 방법은 노드가 stable 채널에 등록되어 자동 업데이트가 활성화된 상태를 유지하는 겁니다. 일관성을 위해 특정 이미지 버전을 고정해 뒀다면, 지금이 재검토할 좋은 시점입니다. Container Linux Config 또는 Butane 스펙에서 업데이트 전략이 'off'로 설정되어 있지 않은지 확인하세요.

주요 변경 (4)
  • Linux 커널을 6.12.88~6.12.91 변경 사항을 통합한 6.12.91로 업데이트
  • 네트워킹, 드라이버, 서브시스템에 걸쳐 50개 이상의 커널 CVE 수정
  • ca-certificates를 NSS 3.124로 업데이트하여 루트 CA 번들 갱신
  • 유저스페이스 또는 설정 변경 없음 — 커널과 인증서 업데이트만 포함
원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 27일

Flatcar LTS 4081.3.8은 보안 중심 업데이트입니다. 커널 12개 패치 버전(6.6.128~6.6.141) 분량의 CVE 수정과 ca-certificates 갱신만 포함하며, 기능이나 설정 변경은 없으니 패치만 적용하면 됩니다.

  • security4081.3.7 이하 버전은 즉시 업그레이드 필요

    이번 릴리스는 6.6.128부터 6.6.141까지 12개 커널 패치 버전을 한 번에 포함하며, 드라이버·파일시스템·네트워킹 서브시스템 전반의 메모리 안전성 및 use-after-free 취약점 수백 건을 수정합니다. 4081.3.7 이하 버전을 운영 중이라면 일반 유지보수가 아니라 필수 업그레이드로 취급하고 우선순위를 높이세요.

  • enhancementca-certificates 갱신 후 TLS 신뢰 저장소 확인

    ca-certificates가 NSS 3.124(3.123.1 포함)로 갱신되었습니다. 인증서 번들 버전을 고정하거나 자체 신뢰 저장소를 Flatcar 위에 얹어 쓰고 있다면, 업데이트 후 TLS 검증이 정상 동작하는지 확인하세요. NSS 릴리스마다 특정 루트 CA를 제외하거나 신뢰 목록에서 빼는 경우가 있습니다.

주요 변경 (4)
  • Linux 커널이 6.6.141로 갱신되었고 6.6.128부터 6.6.140까지 수정 사항을 모두 포함합니다
  • 커널에서 수백 건의 CVE가 패치되었으며 메모리 손상, use-after-free, 범위 초과 접근 등 여러 서브시스템에 걸쳐 있습니다
  • ca-certificates가 NSS 3.124 및 3.123.1을 포함하도록 갱신되었습니다
  • 커널과 인증서 저장소 갱신 외에 애플리케이션 수준이나 Flatcar 고유 동작 변경 사항은 없습니다
원문

Falco

Security2026년 5월 26일

Falco 0.44.0은 오래 전부터 deprecated된 gRPC 출력, gVisor 엔진, 레거시 BPF 프로브를 최종 제거합니다. 이 중 하나라도 사용 중인 배포 환경은 업그레이드 전 마이그레이션이 필수입니다.

  • securityfalco-webui 로컬 전용으로 제한 — 외부 접근 도구 확인 필요

    falco-webui Docker 서비스가 이제 로컬호스트 접근만 허용하도록 변경됩니다. 네트워크를 통해 webui에 접근하는 대시보드나 도구가 있다면 업그레이드 후 동작이 달라집니다. 보안 측면에서는 바람직한 변경이지만, 외부에서 webui를 호출하는 자동화 스크립트나 모니터링 도구가 있는지 미리 확인하세요.

  • breaking세 가지 기능 제거 — 업그레이드 전 설정 점검 필수

    이번 릴리스에서 gRPC 출력/서버, gVisor 엔진, 레거시 BPF 프로브가 한꺼번에 제거됩니다. gRPC 기반 출력을 쓰고 있다면 HTTP JSON 출력이나 사이드카 방식으로 전환한 뒤 업그레이드해야 합니다. gVisor를 쓰는 팀은 지원되는 엔진으로 바꿔야 하고, 레거시 BPF를 쓰는 팀은 modern eBPF 프로브로 이동해야 합니다. 0.44.0을 프로덕션에 적용하기 전에 현재 falco.yaml과 배포 구성을 반드시 점검하세요.

  • enhancement룰 문법 확장 — 커스텀 룰 파일 유효성 사전 확인 권장

    룰 엔진에 oneof/allof/anyof 문자열 비교 수식자가 추가됐고, 리스트 트랜스포머 예외도 지원됩니다. 커스텀 룰을 관리하는 팀이라면 기존에 중복 조건으로 우회했던 부분을 이 기능으로 간소화할 수 있습니다. 또한 이번 버전부터 룰 파일에 알 수 없는 키가 있으면 오류가 발생합니다. 기존 룰 파일에 오타나 비표준 필드가 있다면 업그레이드 전에 미리 검증해두세요.

주요 변경 (7)
  • gRPC 출력/서버 제거 — 업그레이드 전 출력 방식 마이그레이션 필요
  • gVisor 엔진 제거 — 해당 엔진 사용 중이면 지원 엔진으로 전환 필요
  • 레거시 BPF 프로브 제거 — modern eBPF 프로브로 전환 필요
  • 룰 엔진에 oneof/allof/anyof 문자열 비교 수식자 추가
  • 룰 파일 내 unknown key 검증 — 비표준 필드가 있으면 오류 발생
  • falco-webui Docker 서비스가 로컬호스트 전용으로 제한
  • 캡처 파일에 capture_events, capture_filesize 종료 조건 추가
원문

OpenTelemetry

Observability2026년 5월 25일

v0.153.0은 피처 게이트 7개를 안정화(브레이킹)하고, gRPC Snappy 압축의 심각한 메모리 손상 버그를 수정하며, mdatagen에 여러 개선 사항을 추가했습니다.

  • securitygRPC + Snappy 사용 중이라면 즉시 업그레이드

    configgrpc의 Snappy 버그는 단순 성능 문제가 아니라 프로세스를 강제 종료시키는 메모리 손상 수준의 결함입니다. exporter나 receiver 설정에 compression: snappy가 있다면 이번 릴리스를 최우선으로 적용하세요.

  • breaking업그레이드 전 피처 게이트 오버라이드 설정 전수 점검 필요

    안정화된 7개 게이트는 이제 영구 동작으로 고정되어 토글이 불가합니다. collector 설정이나 시작 플래그에 configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, pdata.useCustomProtoEncoding, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 남아 있으면 collector 기동에 실패합니다. 특히 UseLocalHostAsDefaultMetricsAddress 변경이 팀에 가장 많은 영향을 줄 수 있는데, 메트릭 엔드포인트가 기본적으로 localhost에만 바인딩되므로 외부에서 스크래핑하는 구성을 재검토해야 합니다.

  • breakingmdatagen 리어그리게이션 설정 생성이 기본 활성화로 변경

    커스텀 collector 컴포넌트를 mdatagen으로 관리 중이라면 리어그리게이션 설정 필드가 이제 기본으로 생성됩니다. 기존 동작(enabled 필드만 포함)을 유지하려면 metadata.yaml에 reaggregation_enabled: false를 명시해야 합니다. 업그레이드 후 mdatagen을 실행하고 생성된 결과물을 커밋 전에 반드시 검토하세요.

주요 변경 (5)
  • telemetry.UseLocalHostAsDefaultMetricsAddress, otelcol.printInitialConfig, pdata.enableRefCounting 등 피처 게이트 7개 안정화 및 제거 — 해당 게이트를 참조하는 설정은 즉시 오류 발생
  • configgrpc Snappy 압축의 메모리 손상 및 치명적 오류 수정 — gRPC + Snappy 조합 사용 시 즉시 업그레이드 필요
  • pdata.useCustomProtoEncoding 피처 게이트 완전 제거 — 더 이상 비활성화 경로 없음, 커스텀 프로토 인코딩이 항상 적용됨
  • mdatagen이 README.md에 설정 문서 테이블을 자동 생성하며, 리어그리게이션 설정 생성이 기본값으로 변경
  • xextension/storage에 Walker 인터페이스 추가 — 스토리지 마이그레이션 및 TTL 기반 가비지 컬렉션 패턴 구현 가능
원문

Crossplane

Orchestration & Management2026년 5월 22일

Crossplane v2.3.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Crossplane

Orchestration & Management2026년 5월 22일

v1.20.8은 보안 전용 패치 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, golang.org/x/net, x/crypto, docker/cli 등 여러 의존성 CVE를 수정했습니다.

  • securityv1.20 운영 클러스터는 즉시 v1.20.8로 업그레이드 필요

    이번 패치는 go-git(두 건), golang.org/x/net, golang.org/x/crypto, docker/cli, in-toto-golang CVE와 Go 런타임 stdlib CVE까지 한꺼번에 잡았습니다. v1.20.8 미만 버전을 운영 중이라면 현재 취약한 상태입니다. 특히 Crossplane이 Git 저장소에서 패키지를 가져오는 환경이라면 go-git과 x/crypto 취약점이 직접 영향을 줄 수 있습니다. '다음 스프린트에 처리'할 수준이 아니니 빠르게 업그레이드 일정을 잡으세요.

  • enhancement아직 v1.20을 쓰고 있다면 v1.21+ 전환 검토 시점

    v1.20 라인은 보안 백포트만 받고 있어 기능 개선은 없습니다. 이번 패치를 계기로 업그레이드 블로커를 점검해 보세요. v1.21은 충분히 안정화되었고, 구버전 마이너에 머무르면 이런 보안 패치를 계속 쫓아다녀야 하는 상황이 반복됩니다.

주요 변경 (5)
  • Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 수정
  • go-git/go-git v5.19.1로 업데이트 (이번 릴리스에서 두 차례 보안 수정)
  • golang.org/x/net v0.53.0 보안 패치 적용
  • golang.org/x/crypto v0.52.0 보안 패치 적용
  • docker/cli 및 in-toto-golang 보안 이슈 수정
원문

OpenFeature

CI/CD & App Delivery2026년 5월 22일

OpenFeature core/v0.15.6이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Crossplane

Orchestration & Management2026년 5월 22일

v2.1.6은 보안 패치 중심의 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, x/crypto, OpenTelemetry 등 여러 취약 의존성을 수정했습니다.

  • securityv2.1.x 사용 중이라면 즉시 v2.1.6으로 업그레이드

    Go stdlib, go-git, x/crypto, x/net에 걸친 복수의 CVE가 패치됐습니다. go-git 취약점은 패키지 페치 동작에 영향을 줄 수 있고, x/crypto·x/net 문제는 TLS 및 HTTP 처리에 노출될 수 있습니다. API나 동작 변경은 없어 업그레이드 위험이 낮으므로, 빠르게 적용하는 것이 좋습니다.

  • security설치된 프로바이더 이미지도 별도로 취약점 스캔 필요

    Crossplane 코어는 패치됐지만, AWS·GCP·Azure 등 프로바이더는 각자의 의존성 트리를 가진 별도 이미지입니다. Trivy나 Grype로 현재 실행 중인 프로바이더 파드를 스캔해 동일한 취약 버전이 포함돼 있는지 확인하세요. 각 프로바이더 유지관리팀의 별도 패치 릴리스를 기다려야 합니다.

주요 변경 (5)
  • Go 1.25.10으로 업그레이드하여 stdlib CVE 대응
  • go-git을 v5.19.0 → v5.19.1로 두 차례 보안 패치
  • golang.org/x/crypto 및 x/net 보안 업데이트
  • OpenTelemetry otel v1.41.0으로 업그레이드
  • in-toto-golang v0.11.0으로 공급망 보안 강화
원문

Crossplane

Orchestration & Management2026년 5월 22일

Go 런타임을 1.25.10으로 올리고 go-git, x/crypto 등 의존성 보안 패치를 적용한 순수 보안 패치 릴리스입니다.

  • securityv2.2.x 사용 중이라면 즉시 v2.2.2로 업그레이드하세요

    이번 릴리스는 기능 변경 없이 보안 패치만 포함합니다. Go 1.25.10의 stdlib CVE 수정, go-git v5.19.1의 git 취약점 패치, x/crypto의 암호화 취약점 수정이 모두 반영됐습니다. 동작 변경이 없어 업그레이드 위험은 최소화 수준입니다. 이미지 스캔이나 컴플라이언스 요건이 있는 팀은 v2.2.1 이하 버전을 유지할 경우 취약점 탐지 결과가 계속 뜰 겁니다.

  • security업그레이드 후 새 이미지 다이제스트로 스캐너 재실행 필요

    go-git가 이번 릴리스에서 두 번 연속 패치된 점은 해당 공격 표면에 대한 실질적인 익스플로잇 압박이 있었음을 시사합니다. 업그레이드 후 새 Crossplane 이미지 다이제스트로 취약점 스캐너를 다시 돌려 모든 탐지 결과가 해소됐는지 확인하세요. in-toto-golang도 함께 패치됐으므로 공급망 관련 CVE 항목도 함께 점검하길 권장합니다.

주요 변경 (5)
  • Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 다수 수정
  • go-git/go-git를 v5.19.0 → v5.19.1로 두 차례 연속 보안 업데이트
  • golang.org/x/crypto v0.52.0으로 업데이트하여 암호화 관련 취약점 해소
  • in-toto-golang v0.11.0으로 업데이트하여 공급망 검증 도구 보안 패치
  • crossplane-runtime도 v2.2.2로 동반 업데이트
원문

wasmCloud

Orchestration & Management2026년 5월 21일

wasmCloud v2.2.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Crossplane

Orchestration & Management2026년 5월 21일

Crossplane v2.3.0은 고충실도 로컬 렌더 엔진, 리소스별 재조정 제어, 알파 단계의 Provider 삭제 보호 기능을 제공하며, Go stdlib CVE 수정을 포함한 다수의 보안 의존성 업데이트를 반영했습니다.

  • securityGo stdlib CVE 수정 — 이미지 업데이트 권장

    stdlib CVE 패치를 위해 Go가 1.25.10으로 올라갔으며, grpc, go-git, go-jose, cloudflare/circl, golang.org/x/net 등 여러 의존성도 보안 패치가 적용됐습니다. 가능한 빨리 Crossplane 배포를 v2.3.0으로 업데이트하세요. 내부 이미지 미러를 운영 중이라면 롤아웃 전에 새 다이제스트가 반영됐는지 확인하세요.

  • breakingAPI 임포트 경로 변경 및 신규 CLI 저장소 북마크 필수

    Go 코드에서 Crossplane API를 임포트하고 있다면 `github.com/crossplane/crossplane/v2/apis`를 `github.com/crossplane/crossplane/apis/v2`로 수정해야 합니다. `v1.Resource*` 타입은 `v2.ClusterManagedResource*`로 이름이 바뀌었습니다. CLI 버전 관리도 `github.com/crossplane/cli` 저장소 기준으로 전환해야 하며, 코어와 버전이 달라지므로 CI 파이프라인의 버전 핀을 점검하세요.

  • breakingv2.2에서 순차 업그레이드 필수 — 마이너 버전 건너뛰기 금지

    Crossplane은 업그레이드 시 CRD 마이그레이션을 수행하는데, 마이너 버전을 건너뛰면 API 서버 상태가 불일치할 수 있습니다. v1.20 브랜치는 연장 지원을 받지만 v2.x 마이그레이션 계획을 세워야 하며, 공식 업그레이드 가이드의 순차 업그레이드 절차를 반드시 따르세요.

  • enhancement리소스별 폴링 어노테이션으로 API 서버 부하 절감

    변경이 드문 안정적인 XR에 `crossplane.io/poll-interval: 24h`를 설정하면 재조정 빈도를 크게 낮출 수 있습니다. `crossplane.io/reconcile-requested-at` 어노테이션과 함께 쓰면 필요할 때만 온디맨드 재조정을 트리거할 수 있습니다. XR에는 즉시 적용되지만, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 릴리스된 후 사용 가능합니다.

  • enhancementProvider 삭제 보호는 비프로덕션 환경에서 먼저 검증

    신규 `--enable-provider-deletion-protection` 알파 플래그는 관리 리소스가 존재하는 동안 Provider 삭제를 막는 `ClusterUsage` 리소스를 자동으로 생성합니다. 공유 클러스터에서 유용한 안전장치인 만큼, 기존 `ClusterUsage` 웹훅이 자동 생성된 리소스를 올바르게 처리하는지 스테이징에서 먼저 확인한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • API 모듈 분리: `github.com/crossplane/crossplane/apis/v2`가 별도 Go 모듈로 분리됨. 외부 소비자는 임포트 경로 변경 필요
  • Crossplane CLI(`crank`)가 별도 저장소(`github.com/crossplane/cli`)로 이전되어 v2.3.0 이후 독립적인 릴리스 일정으로 운영됨
  • `crossplane render`가 병렬 재구현 대신 실제 컴포짓 재조정기를 구동하여 로컬 렌더 결과와 실제 클러스터 동작이 일치하게 됨
  • 신규 어노테이션 `crossplane.io/poll-interval`, `crossplane.io/reconcile-requested-at`으로 리소스별 재조정 제어 가능 (XR은 즉시 적용, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 업데이트된 후 적용)
  • `--enable-provider-deletion-protection` 플래그(알파)로 관리 리소스가 존재하는 동안 Provider 실수 삭제 방지 가능
  • Go 1.25.10으로 업그레이드(stdlib CVE 수정) 및 grpc, go-git, go-jose, cloudflare/circl 등 보안 의존성 다수 업데이트
원문

KServe

AI & ML2026년 5월 21일

KServe v0.17.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Linkerd

Networking & Messaging2026년 5월 21일

Linkerd edge-26.5.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

containerd

Kubernetes Core2026년 5월 20일

containerd v2.2.4는 두 건의 CVE 패치와 함께 overlay, sandbox, AppArmor, seccomp 관련 버그를 수정한 보안 중심 패치 릴리스입니다.

  • securityCVE 두 건 포함 — 즉시 v2.2.4로 업데이트

    containerd 코어(CVE-2026-46680)와 go-jose 의존성(CVE-2026-34986) 각각 하나씩, 총 두 건의 CVE가 수정됐습니다. 프로덕션 배포 모두에 해당하는 내용이므로 정기 점검 일정을 기다릴 이유가 없습니다. 긴급 패치 프로세스로 처리하세요. Kubernetes 노드에서 containerd를 런타임으로 사용 중이라면 오케스트레이터 종류와 무관하게 모두 영향을 받습니다.

  • securityAF_ALG 기본 차단 추가 — 커스텀 워크로드 사전 검토 필요

    기본 seccomp 프로파일이 AF_ALG(소켓 기반 커널 암호화 API)를 차단하도록 강화됐습니다. 일반적인 워크로드에는 영향이 없지만, 암호화 처리나 하드웨어 오프로드 목적으로 AF_ALG 소켓을 직접 사용하는 컨테이너는 시스템 콜 거부가 발생할 수 있습니다. 업그레이드 전에 커스텀 또는 관대한 seccomp 프로파일을 사용하는 워크로드를 점검해두세요.

  • enhancementUserNS + overlay 환경의 레이어 추출 오류 수정

    사용자 네임스페이스(rootless 컨테이너 포함)에서 overlay 스냅샷터를 쓸 때 'rebase' 기능이 레이어 추출 실패를 일으키던 문제가 해결됐습니다. UserNS 컨텍스트에서 자동으로 비활성화되므로 별도 설정 변경 없이 업그레이드만 하면 됩니다. 업데이트 후 rootless 워크로드의 마운트 정상 동작 여부를 확인하는 정도면 충분합니다.

주요 변경 (5)
  • containerd 코어의 CVE-2026-46680 패치 (GHSA-fqw6-gf59-qr4w)
  • go-jose v4.1.4 업그레이드로 CVE-2026-34986 수정 — JWT/JWK 처리 영역 취약점
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 — 커널 암호화 API 공격 면적 축소
  • 사용자 네임스페이스에서 overlay의 'rebase' 기능 비활성화 — 레이어 추출 실패 문제 해결
  • OCI 스펙의 USER 값이 범위를 벗어날 경우 묵시적 오류 대신 명시적 에러 반환
원문

wasmCloud

Orchestration & Management2026년 5월 20일

wasmCloud v2.2.0은 WASI Preview 3 TLS 지원, HTTP 아웃고잉 요청 커스터마이징 트레이트, 네임스페이스 범위 오퍼레이터 버그 수정을 포함합니다.

  • breaking`watchNamespaces` 사용 중인 오퍼레이터, 업그레이드 후 RBAC 반드시 확인

    네임스페이스 범위 롤 적용 방식이 변경되어, `watchNamespaces`가 설정된 환경에서는 업그레이드 후 오퍼레이터의 RBAC 권한이 올바르게 구성되어 있는지 확인해야 합니다. 롤 바인딩이 잘못된 경우 컴포넌트 조정(reconciliation)이 조용히 실패할 수 있어 장애 탐지가 어렵습니다.

  • enhancement`wasi:tls`로 Wasm 컴포넌트 내 TLS 처리 도입 검토

    이제 호스트 측 TLS 종료에 의존하지 않고 Wasm 컴포넌트 안에서 직접 TLS 연결을 다룰 수 있습니다. 보안 아웃바운드 연결이 필요한 컴포넌트를 개발 중이라면 `wasi:tls` 인터페이스를 테스트해보세요. 다만 WASI 스펙이 아직 안정화 단계가 아니므로, 프로덕션 적용은 스펙 확정 후로 미루는 편이 안전합니다.

  • enhancementCI 파이프라인에서 `wash new --non-interactive` 정식 활용

    `wash new`의 인터랙티브 프롬프트 때문에 CI에서 우회책을 쓰고 있었다면 이번 수정으로 깔끔하게 해결됩니다. 파이프라인 스크립트를 `--non-interactive` 플래그를 사용하도록 정리하세요. `wash config`에 유효성 검사와 정리 기능이 추가된 김에, 기존 설정 관리 흐름도 함께 점검할 만합니다.

주요 변경 (6)
  • wash-runtime에 WASI Preview 3 `wasi:tls` 지원 추가 — Wasm 컴포넌트 내 TLS 네이티브 처리 가능
  • `wash config`에 init 포맷, 정리, 유효성 검사 기능 추가 — 자동화 워크플로우에서 설정 관리 강화
  • `wash new`에서 `--non-interactive` 플래그가 이제 정상 동작 — CI/CD 파이프라인 차단 문제 해소
  • WorkloadRouteReconciler가 OS 호스트네임 대신 Pod IP를 기록하도록 수정 — Kubernetes 라우팅 정확도 개선
  • `watchNamespaces` 설정 시 오퍼레이터가 올바른 네임스페이스 롤을 사용하도록 수정
  • HTTP 런타임에 `OutgoingHandler` 트레이트 추가 — 아웃고잉 요청 디스패치 방식 커스터마이징 가능
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 2.0.9는 CVE-2026-46680 보안 취약점 패치와 tar 추출 시 TOCTOU 경쟁 조건 수정, containerd 재시작 시 컨테이너 종료 이벤트 유실 문제 등 여러 버그를 수정했습니다.

  • securityCVE-2026-46680 즉시 패치

    CVE-2026-46680 보안 취약점이 이번 릴리스에서 수정됐습니다. containerd 2.0.x를 사용 중이라면 즉시 2.0.9로 업그레이드하세요. GHSA 보안 권고문에서 영향받는 구성과 심각도를 확인한 뒤 유지보수 일정을 잡되, 가능한 한 빨리 적용하는 것을 권장합니다.

  • securitytar 추출 TOCTOU 수정 — 외부 이미지 사용 환경은 특히 주목

    tar 추출 중 발생하는 TOCTOU 경쟁 조건은 악의적으로 조작된 이미지 레이어로 경로 탈출을 시도하는 데 악용될 수 있습니다. 신뢰할 수 없는 서드파티 이미지를 pull하는 환경이라면 업그레이드와 함께 이미지 소스 제한 정책도 함께 점검하세요.

  • breakingAppArmor 3.0 미만 환경은 업그레이드 후 프로파일 동작 확인 필요

    AppArmor ABI 필드가 이제 조건부로 설정됩니다. AppArmor 3.0 미만 시스템에서는 기존에 호환되지 않는 ABI가 프로파일에 삽입되던 문제가 해결되는 것이지만, 커스텀 프로파일로 이 문제를 우회해왔다면 업그레이드 후 AppArmor 동작을 반드시 검증하세요.

  • enhancement컨테이너 종료 이벤트 유실 수정 — 파드 교체가 잦은 환경에서 효과적

    containerd 재시작 후 컨테이너가 예상치 못한 상태로 멈추는 현상, 특히 파드가 빠르게 순환되는 Kubernetes 환경에서 자주 발생했다면 이 수정이 근본 원인을 해결합니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.

주요 변경 (5)
  • CVE-2026-46680 보안 취약점 패치 — 즉시 업그레이드 필요
  • tar 추출 과정의 TOCTOU 경쟁 조건 수정으로 이미지 언팩 시 경로 탈출 위험 감소
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 — 커널 공격 표면 축소
  • CRI 정보 캐시 전에 도착하는 컨테이너 종료 이벤트가 유실되던 버그 수정
  • 샌드박스 서비스의 Create 필드 전달 오류 및 이벤트 토픽 설정 버그 수정
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 1.7.32는 CVE-2026-46680 보안 패치를 포함하며, 기본 seccomp 프로파일에서 AF_ALG 소켓을 차단하고 OCI spec USER 처리 버그도 수정했습니다.

  • securityCVE-2026-46680 즉시 패치 — 1.7.32로 업그레이드

    이번 릴리스의 핵심은 CVE-2026-46680입니다. containerd 보안 어드바이저리(GHSA-fqw6-gf59-qr4w)에서 심각도와 공격 범위를 먼저 확인하되, 1.7.x를 운영 중이라면 패치를 미루지 마세요. 유지보수 창을 조정하더라도 업그레이드 자체는 최우선으로 계획해야 합니다.

  • security기본 seccomp에서 AF_ALG 차단 — 커스텀 워크로드 사전 점검 필요

    기본 seccomp 정책이 이제 AF_ALG(커널 암호화) 소켓 패밀리를 차단합니다. 하드웨어 암호화 오프로딩이나 HSM 연동 워크로드는 업그레이드 후 시작에 실패할 수 있습니다. 일반 컨테이너에는 영향이 없지만, 특수한 암호화 기능을 쓰는 컨테이너라면 기본값을 완화하는 대신 커스텀 seccomp 프로파일로 명시적으로 허용하는 방식으로 대응하세요.

  • breaking범위 초과 USER 값은 이제 명시적 오류로 처리

    기존에는 OCI spec에 유효 범위를 벗어난 UID/GID가 있으면 예측 불가한 사용자 이름 조회가 조용히 실행됐습니다. 이제는 컨테이너 시작 자체가 실패합니다. 고 숫자 UID를 사용하는 이미지가 있다면 업그레이드 전에 미리 점검하세요. 특히 레거시 이미지나 직접 빌드한 OCI spec을 쓰는 경우 주의가 필요합니다.

  • enhancementAppArmor 2.x 호환성 복구 — 구형 배포판 운영자 확인

    Ubuntu 20.04, Debian Bullseye 등 AppArmor 2.x를 탑재한 배포판에서 1.7.x 일부 버전이 AppArmor 프로파일 로드 오류를 일으켰습니다. abi 지시어를 조건부로 설정하도록 수정되었으니, 관련 오류를 겪었던 환경이라면 업그레이드 후 프로파일 로딩 상태를 확인하세요.

주요 변경 (5)
  • CVE-2026-46680 패치 — 1.7.x 사용자는 즉시 업그레이드 필요
  • 기본 seccomp 소켓 정책에서 AF_ALG 소켓 패밀리 차단으로 컨테이너 샌드박스 강화
  • OCI spec의 범위 초과 USER 값에 대해 이제 명시적 오류 반환 (기존에는 예측 불가한 사용자 조회 발생)
  • hosts.toml에서 [host] 섹션 없이 루트 레벨 필드만 있어도 파싱 가능하도록 수정
  • AppArmor abi 지시어를 조건부로 설정해 AppArmor 3.0 미만 버전과의 호환성 복구
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 2.3.1은 CVE-2026-46680을 패치하고, 기본 seccomp 정책 강화 및 런타임/스냅샷터 버그를 수정한 패치 릴리스입니다.

  • securityCVE-2026-46680 즉시 패치 — 2.3.0에서 업그레이드 필수

    이번 릴리스에서 CVE-2026-46680이 수정됐습니다. 2.3.0을 운영 중이라면 취약점 세부 정보가 공개되기 전에 모든 노드에 2.3.1을 배포하세요. 패키지 매니저나 배포 파이프라인을 통해 빠르게 적용하는 것이 좋습니다.

  • security기본 seccomp 정책에서 AF_ALG 차단 — 커널 암호화 API 사용 워크로드 사전 검증 필요

    기본 seccomp 프로파일이 AF_ALG(커널 소켓 기반 암호화 API)를 차단하도록 강화됐습니다. 대부분의 컨테이너 워크로드에는 영향이 없지만, AF_ALG를 직접 사용하는 애플리케이션은 업그레이드 후 동작이 중단될 수 있습니다. 프로덕션 적용 전에 strace 또는 소켓 호출 감사를 통해 영향 여부를 확인하세요. 커스텀 seccomp 프로파일을 직접 지정한 경우엔 영향받지 않습니다.

  • breaking비-runc 런타임 사용자: 업그레이드 후 샌드박스 태스크 API 동작 검증 필요

    Kata Containers, gVisor 등 대체 런타임을 쓰는 환경이라면 샌드박스 태스크 API 수정 사항이 실제 컨테이너 생성 및 태스크 관리에 미치는 영향을 반드시 확인하세요. Runc 옵션의 태스크 필드가 deprecated 처리됐으니, 커스텀 Runc 옵션 설정에서 해당 필드를 제거하는 작업도 미리 진행해두는 것이 좋습니다.

주요 변경 (5)
  • CVE-2026-46680 보안 취약점 패치 — 2.3.0 사용 중이라면 즉시 업그레이드 필요
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 추가
  • OCI 스펙의 범위 초과 USER 값 처리 시 예상치 못한 username/group 조회 대신 명시적 오류 반환
  • 비-runc 런타임의 샌드박스 태스크 API 엔드포인트 수정 및 Runc 옵션 태스크 필드 지원 중단(deprecated) 처리
  • 서버 종료 시 메타데이터·마운트 플러그인 BoltDB 파일이 정상적으로 닫히도록 수정
원문

OpenFGA

Security2026년 5월 20일

v1.16.0은 키 로테이션 후 OIDC 토큰 거부 버그를 수정하고, 실험적 weighted_graph_check의 두 가지 정합성 버그를 패치하며, Go 표준 라이브러리 취약점 대응을 위해 툴체인을 업데이트했습니다.

  • securityOIDC 인증 사용 중이거나 Go stdlib CVE 영향권이라면 즉시 업그레이드

    두 가지 보안 사항이 있습니다. 첫째, 발급자 키를 로테이션한 후 유효한 토큰이 401로 거부되는 현상이 있었다면 JWKS 갱신 버그가 원인입니다. 이번 패치로 미등록 kid 수신 시 JWKS를 즉시 갱신합니다. 둘째, Go 1.24.3이 패치하는 표준 라이브러리 취약점의 영향을 Go 릴리스 노트에서 직접 확인하고, v1.16.0으로 빠르게 업그레이드하세요.

  • breakingweighted_graph_check 사용 중이라면 업그레이드 후 결과 검증 필수

    이전 버전의 weighted_graph_check는 캐시 키 충돌과 고루틴 취소 시 false 결과 캐싱으로 인해 실제로는 허용되어야 할 요청을 거부할 수 있었습니다. 실험적 기능이지만 실제 트래픽에 적용 중이라면, 업그레이드 후 알려진 권한 시나리오로 결과를 검증해 이전 오동작의 영향을 확인하세요.

  • enhancementPingTimeout 설정으로 데이터스토어 연결 문제를 빠르게 감지

    새로 추가된 PingTimeout과 PingRetryMaxElapsedTime으로 시작 시 및 헬스체크 중 데이터스토어 연결 대기 시간을 명시적으로 제어할 수 있습니다. SLO에 맞게 타이트하게 설정해두면, 데이터스토어가 저하된 상태에서 서버가 그냥 올라오는 상황을 예방할 수 있습니다.

주요 변경 (5)
  • OIDC 인증: 미등록 kid 감지 시 JWKS 자동 갱신(분당 1회 제한)으로 키 로테이션 후 토큰 거부 문제 해결
  • Go 툴체인을 1.24.3으로 업데이트하여 표준 라이브러리 보안 취약점 대응
  • 실험적 weighted_graph_check의 union 해석 시 캐시 키 충돌 버그 수정
  • union 단락(short-circuit) 또는 재귀 해석으로 취소된 고루틴이 false 결과를 캐싱하던 버그 수정
  • 데이터스토어 ping 타임아웃 설정 추가: PingTimeout, PingRetryMaxElapsedTime
원문

containerd

Kubernetes Core2026년 5월 20일

runc 외 런타임(Kata, gVisor 등)에서 샌드박스 태스크 API 엔드포인트가 동작하지 않던 버그를 수정한 패치 릴리스입니다.

  • breakingnon-runc 런타임 사용 중이라면 즉시 업그레이드 필요

    api/v1.11.0에서 Kata Containers, gVisor, 커스텀 샌드박스 shim을 사용하는 경우 태스크 API 엔드포인트가 정상 동작하지 않는 버그가 있습니다. 태스크 생성·삭제·exec 등의 작업이 조용히 실패하거나 오작동할 수 있으니, api/v1.11.1로 업그레이드 후 태스크 라이프사이클 동작을 반드시 검증하세요.

  • enhancement커스텀 shim 관리자라면 프로토 변경 내용 확인

    이번 수정으로 CreateTaskRequest 프로토에 태스크 API 주소 필드가 추가됐습니다. 커스텀 shim을 직접 구현·관리하고 있다면, 해당 필드를 읽는 코드 경로가 있는지 검토하세요. 기존에 비어 있던 필드가 이제 채워져 전달되므로 동작 차이가 생길 수 있습니다. 일반 runc 워크로드는 별도 조치가 필요 없습니다.

주요 변경 (3)
  • CreateTaskRequest에 태스크 API 주소 포함 — non-runc 샌드박스 라우팅 문제 해결
  • 의존성 변경 없음 — 범위가 좁고 안전한 패치
  • 커밋 4개로 구성된 최소 변경
원문

NATS

Networking & Messaging2026년 5월 20일

NATS v2.14.1은 JetStream, 클러스터링, 핵심 메시징 전반에서 30여 개 버그를 수정한 대규모 패치 릴리스로, 데이터 무결성과 패닉 수준의 문제가 포함되어 있어 빠른 배포가 권장됩니다.

  • securitygolang.org/x/crypto v0.51.0으로 업데이트 — nats-server를 임베드한 경우 즉시 재빌드

    x/crypto와 x/sys 의존성 업데이트에는 CVE 수정이 포함되는 경우가 많습니다. nats-server를 Go 라이브러리로 임베드해 사용하는 엣지/IoT 환경이라면 재빌드 후 재배포가 필요합니다. 일반 배포 환경은 바이너리 업그레이드만으로 충분합니다. 메시징 서버의 암호화 라이브러리 업데이트는 선택이 아닙니다.

  • breaking배포 전 2.14 업그레이드 가이드 필수 확인 — 2.13.x 버전은 건너뜀

    릴리스 노트는 2.13.x가 아닌 2.12.x 대비 하위 호환성 주의사항을 안내합니다. 2.13.x 마이너 버전은 출시된 적이 없기 때문입니다. 2.12.x에서 올라오는 경우라면 2.14 업그레이드 가이드를 반드시 먼저 읽고, JetStream 컨슈머 및 스트림 API 변경이 클라이언트에 미치는 영향을 점검하세요.

  • enhancement새 클라이언트 트래픽 /varz 지표를 모니터링 대시보드에 즉시 추가

    신규 지표 4종(in/out client msgs/bytes)을 활용하면 클라이언트 트래픽과 클러스터·리프노드 내부 트래픽을 명확히 구분할 수 있습니다. Prometheus 스크레이프나 대시보드에 바로 연결해 기준값을 쌓아두세요. 혼합 트래픽을 처리하는 서버의 용량 계획에 특히 유용합니다. 기존에는 전체 지표에서 클라이언트 부하를 추정해야 했지만, 이제 직접 측정이 됩니다.

주요 변경 (5)
  • JetStream Raft, 컨슈머 상태, 파일스토어 암호화, 클러스터 라우팅 전반에 걸쳐 30개 이상 버그 수정
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가 (in_client_msgs, in_client_bytes, out_client_msgs, out_client_bytes)
  • 워크큐 스트림, max_deliver, purge/compaction 상황에서 컨슈머 재전달 드리프트 문제 수정
  • 암호화 모드 전환 시 파일스토어 블록 캐시 손상 패치 (데이터 무결성 관련 핵심 수정)
  • TLS 핸드셰이크 타임아웃 로그를 debug 레벨로 강등해 클러스터 운영 중 로그 노이즈 감소
원문

NATS

Networking & Messaging2026년 5월 20일

v2.12.9는 JetStream 안정성에 집중한 버그 수정 릴리스로, Raft 정합성 결함, 컨슈머 상태 손상, 파일스토어 암호화 버그 등 데이터 무결성에 직결된 문제들을 수정했습니다.

  • securitygolang.org/x/crypto v0.51.0 업데이트 확인 필요

    Go 1.25.10과 함께 x/crypto 의존성이 업데이트됐습니다. 조직에서 SBOM이나 CVE 추적 도구를 운영 중이라면 v2.12.9 업그레이드 후 갱신된 패키지가 제대로 반영됐는지 확인하세요. 애플리케이션 레벨에서 별도 회피 방법은 없으므로 서버 업그레이드가 유일한 조치입니다.

  • breaking암호화된 JetStream 운영 시 즉시 업그레이드 — 파일스토어 손상 위험

    암호화 모드를 전환할 때 블록 단위 데이터 손상이 발생할 수 있는 버그가 수정됐습니다(#8105, #8166). 기존 스트림에서 암호화 설정을 변경한 적이 있다면, 업그레이드 후 해당 스트림 상태를 점검하세요. 이미 손상이 발생했다면 암호화 전환 이전 스냅샷에서 복구해야 합니다.

  • enhancement신규 /varz 클라이언트 트래픽 지표를 용량 계획에 활용하세요

    새로 추가된 4개 지표를 활용하면 클러스터 내부 트래픽과 실제 클라이언트 부하를 분리해서 볼 수 있습니다. 지금 바로 Prometheus 스크레이프 설정에 추가하면 클러스터 적정 규모 산정과 트래픽 과다 클라이언트 탐지에 바로 쓸 수 있고, 커넥션별 데이터를 파싱할 필요도 없습니다.

주요 변경 (5)
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가(in/out_client_msgs, in/out_client_bytes)
  • 파일스토어 암호화 모드 전환 시 블록 단위 손상 유발 버그 수정 — 암호화된 JetStream 운영 환경에 중요
  • workqueue/interest 스트림에서 max_deliver, 퍼지, 컴팩션 이후 컨슈머 재전달 상태 오류 다수 수정
  • Raft 락 경합 시 클러스터 정보 처리 중 발생하던 데드락 수정
  • WAL 잘라내기 캐시 무효화, 체크포인트 취소, 잘린 엔트리 패닉 등 Raft 정합성 개선
원문

Flux

CI/CD & App Delivery2026년 5월 20일

Flux v2.8.8은 go-git CVE 2건을 패치하고, helm-controller 메모리 누수를 수정하며, GCP 소버린 클라우드 레지스트리 지원을 추가한 패치 릴리스입니다.

  • securitygo-git CVE 2건 패치를 위해 즉시 업그레이드

    CVE-2026-45571과 CVE-2026-45570은 source-controller와 image-automation-controller에 영향을 줍니다. 대부분의 Flux 설치 환경에서 이 두 컨트롤러를 사용하므로, 별도 우회 방법 없이 v2.8.8로 즉시 업그레이드하는 것이 유일한 조치입니다.

  • breakingcrds/ 디렉터리에 비-CRD 리소스를 두는 차트 점검 필요

    기존 helm-controller는 차트의 crds/ 디렉터리 안의 모든 오브젝트를 강제 적용했는데, 이번에 CRD만 대상으로 동작이 교정됐습니다. 설치 순서 우회 목적으로 crds/ 아래에 비-CRD 매니페스트를 둔 차트(특히 서드파티 차트)가 있다면 영향을 받습니다. HelmRelease 목록을 검토하고, 프로덕션 배포 전 반드시 비운영 환경에서 테스트하세요.

  • enhancementreconciliation 정체 이력이 있다면 아티팩트 페치 타임아웃 설정 확인

    이번에 추가된 HTTP 타임아웃 설정은 페치 중 무기한 블로킹을 직접 해결합니다. helm-controller나 source-controller의 reconciliation이 명확한 오류 없이 멈추는 현상을 경험했다면, 이 수정이 원인이었을 가능성이 높습니다. 업그레이드 후 기본값에 의존하지 말고 타임아웃을 명시적으로 설정하세요. helm-controller v1.5.5 CHANGELOG에서 정확한 필드명을 확인하고, 메모리가 지속적으로 증가했던 환경이라면 업그레이드 전후 메모리 사용량도 비교해보세요.

주요 변경 (5)
  • go-git v5.19.1 업데이트로 source-controller·image-automation-controller의 CVE-2026-45571, CVE-2026-45570 취약점 패치
  • helm-controller: reconcile 루프마다 Kubernetes 클라이언트 전송 재시도 래퍼가 누적되던 메모리 증가 문제 수정
  • 아티팩트 페치 HTTP 타임아웃 설정 옵션 추가 — 무기한 블로킹으로 인한 reconciliation 정체 방지
  • helm-controller가 차트 crds/ 디렉터리의 비-CRD 오브젝트를 강제 적용하던 동작 수정 (운영 영향 가능성 있음)
  • source-controller·image-reflector-controller에 GCP 소버린 클라우드 아티팩트 레지스트리 지원 추가
원문

Emissary-Ingress

Networking & Messaging2026년 5월 19일

Emissary-Ingress v4.1.0은 Envoy를 1.37.2로 올리고, Istio mTLS 인증서 교체 실패를 유발하던 캐시 스테일 버그를 수정했습니다.

  • security업그레이드 전 Envoy 1.37.x 릴리스 노트 검토 필수

    이번 업그레이드는 Envoy 1.37.0~1.37.2 세 버전을 한 번에 포함합니다. 보안 패치뿐 아니라 xDS 필드 변경이나 동작 변경이 포함될 수 있으므로, 현재 Mapping/Ambassador 설정과 충돌하는 deprecated API가 있는지 Envoy 1.37.x 체인지로그를 사전에 확인하고 배포하세요.

  • breaking캐시 수정으로 인한 시작 시 동작 변화 검증 필요

    IR.check_deltas 수정으로 인해, 캐시가 있는 상태에서 빈 델타 스냅샷이 오면 이제는 전체 재구성이 실행됩니다. 기존의 '조용한' 동작에 의존하는 자동화 스크립트나 헬스체크가 있다면, 프로덕션 배포 전 스테이징 환경에서 먼저 검증하세요.

  • enhancementIstio와 함께 쓰는 환경이라면 즉시 업그레이드 권장

    Emissary와 Istio를 함께 운영 중이라면 이 릴리스가 직접적인 해결책입니다. 인증서 교체 시 캐시에 오래된 인증서가 남아 간헐적인 mTLS 연결 장애가 발생하던 문제(이슈 #4744)가 수정됐으며, 별도 설정 변경 없이 업그레이드만으로 해결됩니다.

주요 변경 (3)
  • Envoy 프록시 1.36.2 → 1.37.2 업그레이드 (마이너 릴리스 3개 포함)
  • IR.check_deltas 버그 수정: 빈 델타 스냅샷 수신 시 캐시된 항목을 그대로 두는 대신 전체 재구성을 강제 실행
  • 스테일 캐시로 인해 Istio mTLS 인증서 교체가 조용히 실패하던 문제 해결
원문
← 최신이전 →