RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Contour

Networking & Messaging2026년 4월 20일

Contour v1.31.6은 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 패치합니다. 공유 Envoy 인프라에서 임의 코드 실행으로 이어질 수 있는 심각한 결함입니다.

  • security비신뢰 사용자에게 HTTPProxy 쓰기 권한이 있다면 즉시 패치해야 합니다

    CVE-2026-41246은 멀티테넌트 클러스터에서 특히 위험합니다. HTTPProxy 리소스에 쓰기 권한을 가진 사용자라면 Envoy에 임의 Lua 코드를 주입할 수 있고, Envoy가 공유 인프라인 만큼 피해 범위가 다른 테넌트와 xDS 자격증명까지 미칩니다. v1.31.6으로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면, 기존 HTTPProxy 오브젝트의 pathRewrite 값을 점검하고 HTTPProxy 쓰기 권한을 신뢰할 수 있는 주체로만 제한하세요.

  • enhancementHTTPProxy 쓰기 RBAC 권한을 전면 재검토하세요

    이번 취약점 유형은 사용자 입력값이 코드에 직접 삽입되는 구조적 위험에서 비롯됩니다. 패치 적용과 별개로, HTTPProxy·HTTPRoute 등 프록시 설정을 제어하는 커스텀 리소스 전반에 최소 권한 RBAC을 적용할 타이밍입니다. 네임스페이스 범위 RBAC과 pathRewrite 값을 검증하는 어드미션 웹훅을 패치에 더해 함께 적용하면 방어 심도를 높일 수 있습니다.

주요 변경 (4)
  • CVE-2026-41246 보안 패치: HTTPProxy의 cookieRewritePolicies[].pathRewrite.value를 통한 Lua 코드 인젝션
  • 공격 성공 시 Envoy의 xDS 클라이언트 자격증명 탈취 또는 동일 Envoy 인스턴스를 공유하는 테넌트에 대한 DoS 유발 가능
  • 사용자 입력값을 Lua 코드에 삽입 전 이스케이프 처리하는 방식으로 수정 — API 변경 없음
  • Envoy v1.34.14로 업그레이드
원문

Crossplane

Orchestration & Management2026년 4월 20일

Crossplane v2.2.1은 ImageConfig 접두사 재작성 시 의존성 업그레이드 누락과 ResourceSelector 처리 버그를 수정하고, 보안 관련 의존성을 일괄 업데이트한 패치 릴리스입니다.

  • security보안 패치 적용을 위해 v2.2.1로 즉시 업그레이드

    이번 릴리스에는 cosign, go-git, go-jose, cloudflare/circl 등 8개 이상의 업스트림 라이브러리 보안 패치가 포함됩니다. go-git은 이번 릴리스에서만 v5.17.1과 v5.18.0으로 두 차례 보안 업데이트가 이뤄졌습니다. v2.2.0을 사용 중이라면 지금 바로 업그레이드 일정을 잡으세요. 호환성을 깨는 변경 사항은 없으므로 드롭인 교체가 가능합니다.

  • breaking업그레이드 후 ImageConfig 접두사 재작성 설정 검증 필요

    프라이빗 레지스트리 미러 등으로 패키지 풀을 우회하는 ImageConfig 접두사 재작성을 사용 중이었다면, 이전까지 의존성 패키지가 오래된 버전에 고정된 채로 방치됐을 수 있습니다. v2.2.1로 업그레이드하면 Crossplane이 그동안 멈춰 있던 의존성 패키지를 재조정하며 업그레이드할 수 있으니, 업그레이드 후 설치된 패키지 버전을 반드시 확인하세요.

  • enhancement컴포지션 함수에서 광범위한 ResourceSelector 안전하게 사용 가능

    특정 kind의 모든 리소스를 선택해야 하는 컴포지션 함수에서 더 이상 우회책이 필요하지 않습니다. apiVersion과 kind만 설정한 ResourceSelector가 유효하게 처리됩니다. matchLabels나 matchName 와일드카드로 이 문제를 우회했다면, 함수 로직에서 해당 셀렉터를 단순화할 수 있습니다.

주요 변경 (5)
  • ImageConfig 접두사 재작성으로 설치된 패키지가 의존성 업그레이드를 무시하던 버그 수정
  • apiVersion/kind만 지정한 ResourceSelector가 거부되던 문제 수정 — 이제 해당 종류의 모든 리소스를 선택하는 것으로 올바르게 처리됨
  • Go 런타임을 보안 태그와 함께 1.25.9로 업그레이드
  • cosign, go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTel OTLP HTTP 추적 익스포터 보안 패치 적용
  • CI 워크플로우 보강: promote 워크플로우의 스크립트 인젝션 위험 완화 및 작업 수준 권한 추가
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.1.5는 ImageConfig 업그레이드 누락, ResourceSelector 매칭 오류, XR 삭제 시 서킷 브레이커 초기화 실패 등 세 가지 동작 버그를 수정하고, Go 1.25.9를 포함한 광범위한 보안 의존성 업데이트를 반영한 패치 릴리스입니다.

  • security핵심 의존성 다수에 CVE 패치 포함 — 빠른 업그레이드 권장

    grpc, go-git(두 번 패치), go-jose, cloudflare/circl, moby/spdystream, docker/cli, OTel OTLP 트레이스 익스포터에 걸쳐 보안 업데이트가 포함됐고, Go 자체도 1.25.9로 올라갔습니다. 단순한 의존성 정리 수준이 아닙니다. v2.1.4에 머무를 이유가 없으니, 가능한 한 빨리 이 버전으로 전환하세요.

  • breakingImageConfig 프리픽스 재작성 사용 시 패키지 버전 누락 여부 확인 필수

    ImageConfig로 레지스트리 프리픽스를 재작성하는 환경이라면, 버그가 존재하던 기간 동안 의존 패키지가 조용히 구버전에 고정됐을 수 있습니다. v2.1.5로 업그레이드한 뒤 패키지 의존성 그래프를 직접 확인하세요. 오래된 패키지는 자동으로 재설치되지 않으므로, 버전 범프나 수동 재설치를 통해 명시적으로 갱신해야 합니다.

  • enhancementkind 전체 선택 ResourceSelector로 컴포지션 함수 로직 단순화 가능

    이전에 bare apiVersion/kind 셀렉터가 거부되어 dummy matchLabels를 추가하거나 로직을 우회하는 방식으로 작성한 컴포지션 함수가 있다면 정리할 때가 됐습니다. 매치 필드 없이 apiVersion과 kind만 지정하면 '해당 종류의 모든 리소스'로 올바르게 해석됩니다. 업그레이드 후 기존 워크어라운드를 검토하고 제거하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 재작성 환경에서 의존 패키지가 오래된 버전에 묶여 있던 문제 수정
  • 컴포지션 함수에서 matchName/matchLabels 없이 apiVersion과 kind만으로 특정 종류의 전체 리소스를 선택할 수 있게 됨
  • XR 삭제 후 재생성 시 이전 서킷 브레이커 상태가 남아 조정을 막던 버그 수정
  • grpc, go-git(두 차례), go-jose, cloudflare/circl, moby/spdystream, docker/cli, sigstore, OTel OTLP HTTP 익스포터 보안 패치
  • Go 런타임을 1.25.9로 업그레이드
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.0.8은 ImageConfig 프리픽스 리라이트 의존성 업그레이드 오류와 ResourceSelector 처리 버그를 수정하고, 다수의 업스트림 보안 취약점을 패치한 릴리스입니다.

  • security보안 패치를 위해 즉시 v2.0.8로 업그레이드

    이번 릴리스에서 보안 태그가 붙은 의존성 업데이트가 다수 포함됐습니다. go-git은 v5.17.1에 이어 v5.18.0까지 두 차례 올라갔고, go-jose, cloudflare/circl 등도 CVE 관련 수정입니다. v2.0.x를 사용 중이라면 지금 바로 업그레이드하세요. API 변경이 없어 업그레이드 경로는 단순합니다.

  • breakingImageConfig 프리픽스 리라이트 환경에서 패키지 의존성 버전 점검 필수

    사설 레지스트리 리다이렉션 등을 위해 ImageConfig 프리픽스 리라이트를 사용해왔다면, 의존 패키지들이 오래된 버전에 조용히 고착됐을 수 있습니다. v2.0.8 업그레이드 후 강제 reconciliation을 실행하고, 모든 패키지 의존성이 기대 버전인지 확인하세요. 업그레이드만으로 이미 고착된 상태가 자동 해소된다고 가정하지 마세요.

  • enhancement컴포지션 함수에서 'kind 전체 선택' 시 빈 ResourceSelector 활용 가능

    기존에는 ResourceSelector에 matchName과 matchLabels를 생략하면 요청 자체가 거부됐습니다. 이제는 빈 셀렉터가 '해당 kind의 모든 리소스'를 의미하도록 올바르게 처리됩니다. 이 제한을 피하려고 리소스를 일일이 열거하거나 더미 조건을 추가했다면, 업그레이드 후 해당 워크어라운드를 정리하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 리라이트 환경에서 의존 패키지가 구버전에 고착되던 버그 수정
  • apiVersion과 kind만 설정된 ResourceSelector(matchName/matchLabels 없음)가 올바르게 '해당 kind의 모든 리소스'로 해석되도록 수정
  • Go 런타임을 1.25.9로 업그레이드(보안 패치 포함)
  • go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTLP HTTP trace exporter 보안 패치
  • promote 워크플로우의 스크립트 인젝션 취약점 완화
원문

Crossplane

Orchestration & Management2026년 4월 20일

v1.20.6은 여러 의존성 CVE를 수정하고 CI 워크플로우의 스크립트 인젝션 취약점을 보강한 보안 중심 패치 릴리스입니다.

  • security의존성 CVE 다수 패치 — 즉시 v1.20.6으로 업그레이드

    이번 릴리스에서 암호화(circl), git 처리(go-git), HTTP/2 스트리밍(spdystream), 텔레메트리(otelhttp) 등 다섯 개 보안 의존성이 한꺼번에 업데이트됐습니다. go-git은 단 하나의 패치 릴리스 안에서 두 번 연속 보안 수정이 들어갔는데, 이는 실제 악용 가능성이 높다는 신호로 읽어야 합니다. v1.20.x를 운영 중이라면 지금 바로 업그레이드하세요.

  • securityCI/CD 공급망 보안 강화 — 자체 파이프라인도 점검 필요

    Crossplane 팀은 릴리스 프로모션 워크플로우의 스크립트 인젝션을 차단하고 GitHub Actions 잡 권한을 최소화했습니다. Crossplane 포크나 커스텀 자동화를 운영 중이라면 자체 워크플로우도 같은 패턴으로 점검해야 합니다. 확인 포인트는 두 가지입니다: run 스텝에 신뢰할 수 없는 입력값이 들어가는 곳, 그리고 GITHUB_TOKEN 권한이 과도하게 넓은 잡.

  • enhancementTrivy 스캔 CI에서 제거 — 자체 스캔 체계 확인 필요

    이번 릴리스에서 Crossplane은 자체 CI 파이프라인에서 Trivy 스캔을 제거했습니다. Crossplane 업스트림의 스캔 결과를 보안 신호로 참고하고 있었다면, 그 정보는 더 이상 제공되지 않습니다. Crossplane 이미지와 프로바이더 이미지에 대한 취약점 스캔을 자체 파이프라인에서 독립적으로 운영하고 있는지 지금 확인하세요.

주요 변경 (5)
  • go-git/go-git 두 차례 업데이트(v5.17.1 → v5.18.0)로 git 관련 보안 취약점 수정
  • cloudflare/circl v1.6.3으로 업그레이드하여 암호화 라이브러리 보안 결함 해소
  • moby/spdystream v0.5.1 업데이트로 HTTP/2 스트림 처리 보안 이슈 패치
  • OpenTelemetry OTLP 트레이스 익스포터 v1.43.0으로 보안 수정 반영
  • CI 워크플로우 스크립트 인젝션 및 권한 상승 취약점 보강
원문

Kubescape

Security2026년 4월 17일

Kubescape v4.0.5는 Go 버전 업그레이드와 의존성 범프만 포함한 순수 유지보수 릴리스입니다. 신규 기능이나 버그 수정은 없습니다.

  • securityGo 런타임 및 의존성 CVE 패치를 위해 업그레이드 권장

    Go 버전 업그레이드는 net/http, crypto 등 표준 라이브러리의 취약점을 함께 수정하는 경우가 많습니다. Kubescape를 클러스터 내 컴포넌트로 운영하거나 CI 파이프라인에서 사용 중이라면 이번 버전으로 교체하세요. 'kubescape version'으로 현재 버전을 확인한 후 바이너리 또는 컨테이너 이미지 태그를 갱신하면 됩니다. 변경 범위가 작아 업그레이드 리스크는 낮습니다.

  • enhancement자동화 파이프라인의 핀 버전을 v4.0.5로 갱신

    CI/CD 보안 스캔 파이프라인에서 Kubescape 버전을 고정해 사용 중이라면 v4.0.5로 업데이트하세요. SCA 도구가 스캔 툴 자체의 의존성 최신화 여부를 감사 항목으로 체크하는 조직이라면 특히 해당됩니다.

주요 변경 (3)
  • Go 툴체인 버전 업그레이드 — 런타임 및 표준 라이브러리 수준 보안 패치 포함 가능성
  • go.mod/go.sum 전반의 의존성 버전 갱신
  • 기능 변경, API 변경, 신규 기능 없음
원문

Kubescape

Security2026년 4월 17일

v4.0.4는 gRPC, go-git, cloudflare/circl, go-jose, hashicorp/go-getter 등 보안 관련 라이브러리 업데이트와 CLI 버그 수정 위주의 의존성 관리 릴리스입니다.

  • security보안 관련 의존성 업데이트로 즉시 업그레이드 권장

    hashicorp/go-getter, cloudflare/circl, go-jose, go-git는 경로 순회, 암호화 취약점, JWT 공격 등의 CVE 이력이 있는 라이브러리입니다. 릴리스 노트에 특정 CVE가 명시되지는 않았지만, go-getter의 1.7.9 → 1.8.6, go-git의 5.16.5 → 5.17.1처럼 버전 차이가 큰 업데이트가 포함돼 있습니다. CI 파이프라인이나 자동화 스캔 환경에서 Kubescape를 운영 중이라면 정기 유지보수 주기를 기다리지 말고 지금 바로 v4.0.4로 업데이트하세요.

  • enhancementHelm 3.20.2 및 gRPC 1.79.3 업데이트로 호환성 개선

    Helm SDK가 3.20.2로 올라가면서 최신 Helm 차트 스캔 결과의 정확도가 높아집니다. 최신 Helm 기능을 쓰는 클러스터를 운영 중이라면, 이전 Kubescape 버전에서 스캔 결과가 불완전했을 수 있습니다. 업그레이드 후 차트 레벨 스캔을 다시 실행해 커버리지를 확인하세요.

  • enhancementscan image 중복 플래그 수정 — 래퍼 스크립트 점검 필요

    kubescape scan image에 플래그를 명시적으로 전달하는 셸 스크립트나 CI 설정이 있다면, 기존의 중복 플래그 버그로 인해 플래그가 무시되거나 예상치 못한 동작이 발생했을 수 있습니다. 업그레이드 후 파이프라인 호출 결과가 기대값과 일치하는지 검증하세요.

주요 변경 (5)
  • hashicorp/go-getter 1.7.9 → 1.8.6 업그레이드 (경로 순회·SSRF 취약점 이력 있는 라이브러리)
  • cloudflare/circl 1.6.1 → 1.6.3 업데이트 (암호화 라이브러리 수정 포함)
  • go-jose/go-jose 4.1.4로 업데이트 (JWT/JWE 처리 취약점 패치)
  • go-git 5.17.1로 업그레이드 (이전 버전에 알려진 git 프로토콜 취약점 존재)
  • scan image 서브커맨드의 중복 CLI 플래그 제거 및 에러 처리 개선
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 ACL을 완전히 우회할 수 있는 경로 순회 취약점 패치. 액세스 제어 정책을 사용하는 모든 Dapr 배포는 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    이론상의 취약점이 아닙니다. 서비스 호출에 액세스 제어 정책을 적용 중이고 Dapr API에 신뢰할 수 없는 호출자가 접근 가능한 환경이라면, 현재 취약한 상태입니다. 특히 gRPC 경로는 메서드 문자열을 raw로 그대로 전달하기 때문에 위험도가 더 높습니다. 지금 바로 v1.15.14로 업그레이드하세요. 서비스 호출 비활성화나 API 완전 격리 외에는 별도의 임시 대응책이 없습니다.

  • securityDapr API 엔드포인트 접근 경로 전면 감사

    이 취약점은 API 접근을 전제로 하므로, 실제 피해 범위는 네트워크 구성에 달려 있습니다. 업그레이드 후 어떤 워크로드와 네트워크 경로가 Dapr HTTP/gRPC API에 접근 가능한지 점검하세요. 사이드카 localhost 접근만 허용하는 구성이 가장 안전합니다. API를 더 넓은 범위에 노출하고 있다면, 이번 패치와 무관하게 접근 범위를 좁혀두는 것이 바람직합니다.

  • breaking업그레이드 후 서비스 호출 메서드 경로 라우팅 검증 필요

    이번 수정으로 모든 메서드 경로에 path.Clean 정규화가 적용되고, #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부됩니다. 특히 gRPC에서 %2F를 경로 구분자로 사용하던 서비스가 있다면 동작이 달라질 수 있습니다. 프로덕션 배포 전에 서비스 간 호출 패턴을 반드시 테스트하세요.

주요 변경 (5)
  • admin%2F..%2Fpublic 같은 경로 순회 시퀀스로 서비스 호출 ACL 완전 우회 가능
  • %23(#), %3F(?) 인코딩 문자로 ACL이 평가하는 경로와 실제 앱이 받는 경로가 달라지는 불일치 발생
  • 단독 % 문자로 ACL 정규화 로직을 크래시시켜 정책 자체를 건너뛸 수 있었던 문제 수정
  • path.Clean을 호출 진입점에서 적용하고 #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부하도록 변경
  • Go v1.25.9로 업데이트(1.24 라인 CVE 대응), ACL 경로에서 purell 의존성 제거
원문

Argo

CI/CD & App Delivery2026년 4월 16일

Argo CD v3.3.7은 컨트롤러 성능 저하, OIDC 설정 갱신, UI 버그, 보안 헤더 누락 등을 수정한 패치 릴리스입니다.

  • securitySwagger UI 클릭재킹 취약점 — 브라우저 접근 환경이라면 즉시 업그레이드

    Swagger UI 엔드포인트에 X-Frame-Options와 CSP 헤더가 누락되어 있었습니다. Argo CD API 서버가 브라우저에서 접근 가능한 환경이라면(내부망 포함) 해당 페이지가 iframe에 삽입될 수 있었습니다. 3.3.7로 업그레이드하면 자동 해결되며, 별도 설정 변경은 불필요합니다.

  • breaking업그레이드 후 SSO 흐름 재검증 권장

    OIDC 설정이 서버 재시작 후에도 캐시된 값을 그대로 쓰던 버그가 수정됐습니다. 정확성 수정이지만, 기존에 stale OIDC 동작을 우회하기 위해 수동으로 파드를 재시작하는 방식을 쓰고 있었다면 업그레이드 후 SSO 인증 흐름이 예상대로 동작하는지 꼭 확인하세요.

  • enhancement컨트롤러 CPU 급등이나 지속적인 재조정 루프가 있다면 우선 적용

    두 가지 수정이 컨트롤러 부하를 낮춥니다. parentUIDToChildren 자료구조 교체는 대규모 클러스터에서 메모리 압박을 줄이고, 인포머 리싱크 수정은 불필요한 앱 새로고침을 차단해 API 서버 부하도 함께 낮춥니다. 재조정 루프가 잦거나 컨트롤러 CPU 사용량이 높은 환경이라면 이번 패치를 우선순위에 두세요.

주요 변경 (5)
  • parentUIDToChildren를 map-of-sets로 교체하고 시크릿 deepcopy/역직렬화 횟수를 줄여 컨트롤러 성능 개선
  • 서버 재시작 시 OIDC 설정이 갱신되지 않던 버그 수정 — 인증 실패 원인 중 하나였음
  • Swagger UI 엔드포인트에 X-Frame-Options 및 CSP 헤더 추가로 클릭재킹 취약점 차단
  • 인포머 리싱크·상태 업데이트로 인한 불필요한 자동 새로고침 방지로 불필요한 재조정 감소
  • copyutil 심링크 처리 오류로 인한 repo-server 크래시 및 helm dependency build에 repo.insecure 플래그 미전달 문제 수정
원문

Dapr

Orchestration & Management2026년 4월 16일

v1.17.5는 인코딩된 URL 문자를 이용한 경로 순회 공격으로 서비스 호출 ACL 정책을 우회할 수 있던 보안 취약점을 수정한 패치입니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출에 접근 제어 정책을 쓰는 모든 배포 환경이 영향을 받습니다. Dapr API(HTTP·gRPC)에 접근할 수 있는 공격자가 경로를 인코딩하는 것만으로 차단된 엔드포인트에 도달할 수 있었습니다. gRPC는 메서드 문자열을 raw로 전달하기 때문에 특히 위험했습니다. 별도의 완화 방법은 없으며, v1.17.5로 즉시 업그레이드하세요. 업그레이드 후에는 ACL 정책을 검토해 의도한 경로가 실제로 적용되는지 확인하세요.

  • breaking#, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    이번 수정으로 #, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 호출 진입점에서 즉시 거부됩니다. gRPC에서 이런 문자를 메서드 경로에 사용하는 서비스가 있다면(드물지만 가능) 업그레이드 후 해당 호출이 실패합니다. 운영 환경 적용 전에 스테이징에서 서비스 호출 경로를 반드시 테스트하세요.

주요 변경 (5)
  • 서비스 호출 메서드 경로의 경로 순회 시퀀스(%2F, ../ 등)로 ACL 우회 가능 — 수정됨
  • 인코딩된 프래그먼트(%23)·쿼리(%3F) 문자로 ACL이 실제 앱에 전달된 경로와 다른 경로를 평가하는 문제 수정
  • 단독 % 문자로 ACL 정규화 크래시 유발 → 정책 전체 우회 가능성 존재했음
  • gRPC는 메서드 문자열을 클라이언트 측 정제 없이 raw로 전달해 더 위험한 공격 경로였음
  • 수정: path.Clean을 호출 진입점에서 적용, purell 의존성 ACL 경로에서 제거
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 메서드 경로의 경로 순회 및 인코딩 문자가 ACL 정책을 우회할 수 있는 치명적 보안 취약점 수정. 접근 제어 정책을 사용 중이라면 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출 접근 제어 정책을 사용하는 모든 배포 환경이 취약합니다. Dapr HTTP 또는 gRPC API에 접근할 수 있는 공격자가 ACL이 허용하는 것처럼 보이지만 실제로는 차단된 엔드포인트로 라우팅되는 메서드 경로를 만들어낼 수 있습니다. gRPC 경로가 특히 위험합니다. 별도의 현실적인 완화 방법이 없으므로 v1.16.14로 즉시 업그레이드하세요. 업그레이드 후에는 기존 ACL 정책 규칙이 정규화된 경로 형식(../ 해소, 인코딩된 구분자 없음)과 일치하는지 검토하십시오.

  • breaking#, ?, 널 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    수정 후에는 프래그먼트(#), 쿼리(?), 널 바이트, 제어 문자가 포함된 메서드 경로를 자동으로 거부합니다. 가능성은 낮지만, 프로그래밍 방식으로 gRPC 메서드 경로를 동적으로 구성하는 코드가 있다면 업그레이드 후 해당 호출이 실패할 수 있습니다. 프로덕션 적용 전에 메서드 경로를 동적으로 생성하는 서비스 호출 코드를 미리 점검하십시오.

주요 변경 (5)
  • 경로 순회 시퀀스(../), 인코딩된 슬래시(%2F), 프래그먼트(%23), 쿼리(%3F), 불완전한 % 문자로 ACL 우회 가능
  • gRPC가 더 위험한 공격 경로 — 메서드 문자열이 클라이언트 측 정규화 없이 그대로 전달됨
  • 근본 원인: ACL은 디코딩·정리된 경로를 평가하고, 대상 앱은 원본 문자열을 그대로 수신하는 불일치
  • 호출 진입점에서 path.Clean 적용 후 ACL 검사와 디스패치 모두 동일한 경로 사용하도록 수정
  • ACL 경로에서 purell 라이브러리 제거, gRPC는 퍼센트 인코딩을 경로 구분자가 아닌 리터럴 문자로 처리
원문

Argo

CI/CD & App Delivery2026년 4월 16일

Argo CD v3.1.14는 informer 재동기화로 인한 불필요한 앱 갱신을 막는 수정과 CI 빌드 재현성 개선, fast-xml-parser 의존성 업데이트로 구성된 소규모 패치입니다.

  • securityfast-xml-parser 업데이트 — UI 의존성 최신화 확인 필요

    fast-xml-parser가 세 마이너 버전 올라갔습니다. XML 파서 계열 업데이트는 서비스 거부나 엔티티 확장 취약점을 수반하는 경우가 많습니다. Argo CD에서 이 라이브러리의 노출 범위는 UI로 제한되지만, 스테이징 환경에서 UI 기능을 검증한 뒤 업그레이드하는 것이 좋습니다.

  • enhancement리프레시 과부하가 있다면 즉시 업그레이드 검토

    informer resync와 상태 업데이트가 앱 리프레시를 과도하게 발생시키는 문제를 수정했습니다. 컨트롤러 CPU가 resync 주기마다 치솟거나 앱 갱신 로그가 과도하게 쌓이는 환경이라면 이 패치가 직접적인 해결책입니다. 위험도가 낮으므로 다음 유지보수 창에서 적용하면 됩니다.

주요 변경 (4)
  • informer resync 및 상태 업데이트로 인한 자동 리프레시 트리거 방지 — 불필요한 조정 루프 감소
  • CI에서 yarn install 시 --frozen-lockfile 누락 문제 수정으로 빌드 재현성 향상
  • UI 의존성 fast-xml-parser를 4.5.3에서 4.5.6으로 업그레이드
  • 모든 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 프로비넌스 유지
원문

Argo

CI/CD & App Delivery2026년 4월 16일

Argo CD v3.2.9는 불필요한 자동 리프레시, OCI 리비전 메타데이터 미렌더링, CI 잠금 파일 문제를 수정한 패치 릴리스입니다.

  • securityfast-xml-parser 업그레이드 — UI가 외부에 노출된 환경이라면 우선 적용

    fast-xml-parser가 4.5.3에서 4.5.6으로 올랐습니다. 릴리스 노트에 구체적인 CVE 언급은 없지만, 웹 UI에서 사용되는 XML 파싱 라이브러리는 공격 표면이 넓은 편입니다. Argo CD UI가 외부 트래픽이나 신뢰할 수 없는 사용자에게 노출된 환경이라면 이번 업그레이드를 서둘러 적용하는 게 좋습니다.

  • enhancement인포머 리싱크로 인한 과도한 리컨실리에이션이 있다면 즉시 업그레이드

    이번 릴리스에서 가장 운영 영향이 큰 변경 사항입니다. 클러스터가 바쁠수록 인포머 리싱크와 상태 업데이트가 불필요한 자동 리프레시를 연쇄적으로 일으킬 수 있는데, 이 패치가 그 원인을 차단합니다. 3.2.9로 업그레이드한 뒤 리프레시·싱크 횟수 메트릭을 모니터링해 개선 여부를 확인하세요.

  • enhancementOCI 기반 차트 사용 시 리비전 메타데이터 정상 렌더링 확인

    OCI 기반 Helm 차트나 매니페스트를 쓰는 팀이라면 리비전 메타데이터 패널이 항상 비어 있던 현상을 겪었을 수 있습니다. 설정 문제가 아닌 guard clause 버그였고, 이번 패치에서 수정됐습니다. 업그레이드 외에 별도 조치는 필요 없으며, UI에서 OCI 리비전 정보가 바로 표시될 겁니다.

주요 변경 (5)
  • 인포머 리싱크 및 상태 업데이트로 인한 불필요한 자동 리프레시 트리거 수정 — 바쁜 클러스터에서 성능 및 노이즈 문제로 직결됨
  • guard clause 충돌로 OCI 리비전 메타데이터가 UI에 표시되지 않던 버그 수정
  • fast-xml-parser 4.5.3 → 4.5.6 업그레이드 (보안·안정성 관리)
  • notifications-engine 의존성을 v0.5.1-0.20260316232552로 업데이트
  • 모든 컨테이너 이미지에 cosign 서명 및 SLSA Level 3 프로버넌스 유지
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.19.3은 메모리 누수, 패닉, 네트워크 동작 오류를 집중적으로 수정한 버그픽스 릴리스입니다. DSR 모드, WireGuard 듀얼스택, IPAM 엣지 케이스가 주요 수정 대상입니다.

  • securitygo-jose 보안 업데이트 확인

    go-jose/go-jose가 보안 목적으로 v4.1.4로 업데이트됐습니다. 이 라이브러리는 JWT/토큰 처리에 관여합니다. SBOM 감사나 공급망 보안 검사를 운영 중이라면 이 의존성 버전 변경을 반드시 반영하세요.

  • breaking듀얼스택 IPAM 충돌 위험 — 즉시 업그레이드 필요

    듀얼스택 cluster-pool IPAM 환경에서 중복 IPv6 PodCIDR이 있을 때 오퍼레이터를 재시작하면 IPv4 PodCIDR이 잘못 해제되어 다른 노드에 재할당될 수 있습니다. 노드 간 IP 충돌로 이어지는 데이터플레인 정확성 문제입니다. 다음 오퍼레이터 재시작 전에 v1.19.3으로 업그레이드하고, 업그레이드 후 각 노드의 PodCIDR 할당 상태를 확인하세요.

  • enhancement메모리 누수 수정 — 정책 변경이 잦은 환경이라면 우선 적용

    두 가지 메모리 누수가 패치됐습니다. 하나는 정책 점진적 업데이트, 다른 하나는 정책 생성·삭제 반복 시 발생합니다. CI 네임스페이스, 멀티테넌트 플랫폼, GitOps 기반 정책 관리 환경처럼 NetworkPolicy 변경이 잦은 클러스터라면 Cilium 에이전트 메모리가 시간이 지날수록 꾸준히 증가하는 현상을 겪었을 수 있습니다. 업그레이드 후 롤링 재시작만으로 충분하며, 별도 설정 변경은 필요 없습니다.

주요 변경 (5)
  • 정책 점진적 업데이트와 정책 생성/삭제 사이클 각각에서 발생하는 두 가지 별도 메모리 누수 수정
  • DSR 모드 NodePort 수정: SocketLB 비활성 상태에서 백엔드가 로컬일 때 원격 노드 IP를 통한 Pod→NodePort 접근 실패 해결
  • WireGuard 듀얼스택 수정: IPv6 언더레이 설정이 피어 엔드포인트 선택 시 무시되던 문제 해결
  • 듀얼스택 cluster-pool IPAM 버그 수정: 중복 IPv6 PodCIDR 존재 시 오퍼레이터 재시작 후 IPv4 PodCIDR이 잘못 해제·재할당될 수 있던 문제
  • go-jose/go-jose 보안 업데이트 v4.1.4 포함
원문

Cilium

Networking & Messaging2026년 4월 15일

Cilium v1.18.9는 메모리 누수, 패닉, 로드밸런서 오동작 등 프로덕션 장애로 이어질 수 있는 버그들을 집중 수정한 패치 릴리스입니다.

  • securitygo-jose 보안 패치 포함 — 인증 기능 사용 시 우선 적용

    go-jose/go-jose/v4가 보안 이슈로 v4.1.4로 업데이트되었습니다. Cilium의 상호 인증(mutual auth)이나 JWT/JOSE 관련 기능을 활성화한 환경이라면 해당 취약점에 노출되어 있을 수 있으므로 이번 업그레이드를 우선순위에 두십시오.

  • breaking이중 스택 IPAM 재할당 위험 — 즉시 업그레이드 필요

    cluster-pool IPAM으로 이중 스택을 운영 중이라면, 중복 IPv6 PodCIDR이 존재하는 상태에서 오퍼레이터가 재시작될 때 노드의 IPv4 PodCIDR이 해제되어 다른 노드에 재할당될 수 있습니다. IP 충돌과 파드 네트워킹 장애로 직결됩니다. 다음 정기 점검이나 오퍼레이터 재시작 전에 반드시 1.18.9로 올리십시오.

  • enhancement정책 변동이 잦은 환경의 메모리 누수 해소

    정책 증분 업데이트와 빈번한 정책 생성/삭제로 발생하는 메모리 누수 경로 두 곳이 모두 막혔습니다. CI 환경, 멀티테넌트 클러스터, 네임스페이스가 자주 배포되는 환경에서 에이전트 메모리가 서서히 증가하는 현상을 경험했다면 업그레이드 후 수 시간에서 하루 정도 메모리 기준선이 안정화되는지 확인하십시오.

주요 변경 (5)
  • 정책 증분 업데이트와 정책 생성/삭제 반복으로 각각 발생하던 메모리 누수 두 건 수정
  • 로드밸런서 백엔드 슬롯 간격 버그 수정 — 유지보수 백엔드가 존재할 때 트래픽이 잘못된 엔드포인트로 라우팅될 수 있던 문제
  • 이중 스택 cluster-pool IPAM 버그 수정 — 중복 IPv6 PodCIDR 상태에서 오퍼레이터 재시작 시 IPv4 PodCIDR이 다른 노드에 재할당될 수 있던 문제
  • init identity에 멈춰 있던 스태틱 파드 엔드포인트 문제 해결
  • configDriftDetection Helm 값 추가 및 go-jose 보안 의존성 업데이트
원문

Linkerd

Networking & Messaging2026년 4월 15일

edge-26.4.3은 어노테이션 기반 프록시 환경 변수 주입 기능을 추가하고, 프록시를 v2.349.0으로 올리며, Kubernetes 1.35 호환성을 테스트로 검증했습니다.

  • securityrustls-webpki 패치 — Rust 의존성 벤더링 시 락파일 갱신 필요

    mTLS 스택에 쓰이는 rustls-webpki가 0.103.11로 올라갔습니다. 공개된 CVE는 없지만, 조직에서 Rust 의존성을 감사하거나 벤더링하는 경우 락파일을 업데이트하고 SBOM 스캔을 다시 돌려 최신 상태를 유지하세요.

  • enhancementproxy-additional-env 어노테이션으로 커스텀 이미지 없이 프록시 튜닝

    새로 추가된 `proxy-additional-env` 어노테이션을 쓰면 파드나 네임스페이스 단위로 프록시에 환경 변수를 직접 주입할 수 있습니다. 로그 레벨 조정이나 특정 기능 플래그를 전역 Helm 값 변경 없이 특정 워크로드에만 적용하고 싶을 때 유용합니다. 프로덕션 전에 비중요 워크로드에 먼저 적용해 동작을 검증하세요.

  • enhancementKubernetes 1.35 업그레이드 계획 중이라면 이번 릴리스가 기준점

    Linkerd 테스트 스위트가 k8s 1.35를 공식 커버하기 시작했고, 정책 테스트도 통과했습니다. 1.35 업그레이드를 검토 중인 팀이라면 이 edge 릴리스를 기준으로 스테이징 클러스터에서 직접 스모크 테스트를 돌린 후 프로덕션 전환 일정을 잡으세요.

주요 변경 (5)
  • 새 `proxy-additional-env` 어노테이션으로 주입된 프록시에 스코프별 환경 변수 설정 가능
  • 프록시 v2.349.0으로 업그레이드 — 프록시 자체 변경 사항 별도 확인 필요
  • Kubernetes 1.35 테스트 매트릭스 추가, 정책 테스트 전체 통과 확인
  • Rust TLS 스택의 rustls-webpki가 0.103.10에서 0.103.11로 패치 업데이트
  • Helm v3.20.2, golang.org/x/tools 0.44.0 등 빌드 툴체인 의존성 업데이트
원문

Keycloak

Security2026년 4월 15일

26.6.1은 블라인드 SSRF와 사용자 열거 CVE 두 건을 수정한 보안 패치입니다. 26.6.0 업그레이드 시 커스텀 인증 플로우가 깨지던 치명적 마이그레이션 버그도 함께 수정됐습니다.

  • securitySSRF·사용자 열거 CVE 즉시 패치 필요

    CVE-2026-4366은 HTTP 리다이렉트 처리 과정의 블라인드 SSRF로, Keycloak이 내부 서비스에 접근 가능한 환경이라면 실질적인 위협입니다. CVE-2026-4633은 identity-first 로그인에서 사용자 존재 여부가 노출되어 크리덴셜 스터핑 공격에 악용될 수 있습니다. 즉시 26.6.1로 업그레이드하세요. 업그레이드가 당장 불가하다면 CVE-2026-4633 임시 완화책으로 identity-first 로그인 비활성화를 검토하세요.

  • breaking26.6.0으로 업그레이드했다면 커스텀 인증 플로우 즉시 확인

    26.6.0의 MigrateTo26_6_0 스크립트가 커스텀 브라우저 플로우를 잘못 수정해 릴름 인증을 조용히 망가뜨리는 버그가 있었습니다. 26.6.0 업그레이드 후 로그인 오류나 비정상 플로우 동작을 겪었다면 이 버그가 원인입니다. 26.6.1로 업그레이드하면 마이그레이션 로직은 수정되지만, 이미 손상된 플로우는 수동으로 복구해야 할 수 있습니다. 운영 환경 업그레이드 전 반드시 커스텀 인증 플로우를 점검하세요.

  • breaking26.6.0 JS·Java 어드민 클라이언트 패키지 오류 — 26.6.1로 교체 필요

    26.6.0에서 @keycloak/keycloak-admin-client(JS)와 Java 어드민 클라이언트 모두 패키징 오류로 설치 또는 동기화가 불가능했습니다. 파이프라인이나 애플리케이션에서 26.6.0을 핀닝하고 있다면 현재 동작하지 않을 가능성이 높습니다. 의존성 버전을 26.6.1로 업데이트하세요.

주요 변경 (5)
  • CVE-2026-4366: HTTP 리다이렉트 처리 경로의 블라인드 SSRF 취약점 수정
  • CVE-2026-4633: identity-first 로그인 방식에서 사용자 이름 존재 여부가 노출되던 문제 수정
  • 26.6.0 마이그레이션 스크립트가 커스텀 브라우저 인증 플로우를 손상시키던 버그 수정
  • kc_idp_hint 사용 중 IdP가 access_denied 반환 시 무한 리다이렉트 루프 발생하던 문제 해결
  • DB 저장 데이터 암호화 지원 추가 및 CloudNativePG 1.29 업데이트
원문

Dapr

Orchestration & Management2026년 4월 15일

Dapr v1.16.13은 다중 레플리카 환경에서 스케줄러 재시작 시 job 트리거가 멈추는 심각한 버그를 수정하고, Pulsar 설정 무시 문제와 OOM 위험을 해결하며, Go 1.25.9 보안 패치를 포함합니다.

  • securityGo 1.25.9 보안 패치 적용을 위해 즉시 업그레이드

    Go의 crypto/x509, crypto/tls, archive/tar, html/template 패키지 취약점이 패치됐습니다. 1.16.12 이하를 사용 중이라면 지금 바로 1.16.13으로 올려야 합니다. 소스에서 직접 Go 1.25.9로 재빌드하지 않는 한 다른 우회책은 없습니다.

  • breakingPulsar 사용자: processMode가 이제 실제로 적용됩니다 — 설정 검토 필수

    컴포넌트 YAML에 processMode를 설정해 뒀다면, 이전까지는 조용히 무시됐습니다. 업그레이드 후에는 해당 설정이 실제로 적용됩니다. processMode: sync로 순서 보장을 기대했지만 실제로는 비동기로 동작하고 있었다면, 업그레이드 시 동작이 바뀝니다. 프로덕션 배포 전에 Pulsar 컴포넌트 메타데이터와 구독 동작을 반드시 검토하세요. maxConcurrentHandlers를 0으로 설정했다면 기존에는 데드락이 발생했는데, 이제는 기본값 100으로 폴백됩니다.

  • breaking다중 레플리카 스케줄러 운영 중이라면 즉시 패치 적용

    스케줄러 버그는 실제 운영에서 매우 치명적입니다. 롤링 업데이트, OOM 킬, 노드 축출 등 일상적인 파드 재시작만으로도 전체 배포의 job 트리거가 조용히 멈춥니다. 오류 알림이나 명시적인 실패도 없이 job이 그냥 동작을 멈추는 것입니다. HA 구성으로 스케줄러를 여러 레플리카로 운영 중이라면 이 수정은 필수입니다. 업그레이드 후 스케줄러 파드 재시작 시 예약 작업이 정상 실행되는지 반드시 확인하세요.

주요 변경 (5)
  • Go 1.25.9 재빌드: crypto/x509, crypto/tls, archive/tar, html/template 패키지 보안 취약점 패치
  • 스케줄러 버그 수정: 단일 파드 재시작이 전체 스케줄러 연결의 job 트리거를 중단시키던 문제 해결
  • 각 스케줄러 스트리밍 커넥터가 이제 500ms 백오프로 독립적으로 재시도 — 하나의 연결 실패가 나머지에 영향 없음
  • Pulsar processMode가 컴포넌트 YAML에서 올바르게 읽힘 — 기존에는 조용히 무시되어 항상 기본 모드로 동작
  • Pulsar 비동기 모드에 동시성 제한(기본 100) 적용, maxConcurrentHandlers=0 데드락 및 고루틴 데이터 레이스 수정
원문

Litmus

Observability2026년 4월 15일

Litmus 3.28.0은 프로브 설정 누수, 구독자 크래시, 프론트엔드 이미지의 Python 취약점을 수정한 유지보수 릴리스입니다.

  • security프론트엔드 이미지 업그레이드로 Python 취약점 제거

    기존 ubi8 기반 프론트엔드 이미지에 Python CVE가 존재했습니다. 3.28.0에서 ubi9로 전환해 해소했습니다. Trivy, ACS, Prisma 등 이미지 스캐닝 정책을 운영 중이라면 3.28.0 프론트엔드 이미지로 재배포하면 해당 경고가 사라집니다. 별도 설정 변경 없이 이미지 교체만으로 충분합니다.

  • breaking프로브 설정 누수 수정으로 동일 타입 다중 프로브 동작 변경 가능

    동일 타입의 프로브를 한 실험에 여러 개 정의했을 때, 이전 버전은 프로브 간 설정이 암묵적으로 공유됐습니다. 이번 수정으로 프로브별 설정이 완전히 분리됩니다. 업그레이드 전에 관련 실험을 점검하세요. 설정 누수에 의존하던 케이스가 있다면 결과가 달라질 수 있습니다.

  • enhancementGitOps 및 이벤트 기반 워크플로우의 구독자 안정성 개선

    Argo Workflow ADD 이벤트에 ChaosEngine 노드가 포함된 환경에서 구독자가 간헐적으로 크래시되던 문제가 수정됐습니다. 이런 패턴을 사용 중이었다면 3.28.0 업그레이드 후 구독자 파드를 수동으로 재시작할 필요가 없어집니다. 업그레이드 후 구독자 파드 안정성을 확인해 기존 재시작 이슈가 해소됐는지 검증하세요.

주요 변경 (5)
  • 동일 타입의 여러 프로브 간 stale 설정 누수 수정 — 이전 프로브의 설정이 다음 프로브로 잘못 전달되던 문제
  • Workflow ADD 이벤트에 ChaosEngine 노드가 포함될 때 구독자가 크래시되던 문제 수정
  • 프론트엔드 베이스 이미지를 ubi8에서 ubi9로 업그레이드, Python 취약점 해소
  • Litmus Checker에서 실험 편집 및 복제 시 이미지 레지스트리가 잘못 적용되던 버그 수정
  • Canonical이 공식 채택 기관으로 추가됨
원문

Backstage

CI/CD & App Delivery2026년 4월 14일

v1.50.0은 인증, 프론트엔드 API, 카탈로그 전반에 걸친 다수의 브레이킹 체인지와 함께 AWS RDS IAM 인증, Auth0 federated logout, 카탈로그 데드락 수정, 보안 패치를 포함한 대규모 릴리스입니다.

  • securityrollup 경로 순회 취약점 패치 — CLI 및 빌드 도구 업데이트 필요

    rollup v4.59 미만 버전에는 고위험도 경로 순회 취약점(GHSA-mw96-cpmx-2vgc)이 있습니다. @backstage/cli, repo-tools, 여러 CLI 모듈이 이미 업데이트됐습니다. 업그레이드 헬퍼를 실행하고 lockfile을 갱신하세요. 워크스페이스 어딘가에 rollup 버전을 직접 고정했다면 v4.59+로 올려야 합니다. glob 의존성도 v7/v8/v11의 취약점을 해소하기 위해 v13으로 업그레이드됐습니다.

  • breaking업그레이드 전 토큰 디코딩 코드 점검 필수 — ent 클레임 기본 제거

    auth.omitIdentityTokenOwnershipClaim의 기본값이 true로 바뀌어 Backstage 사용자 토큰에 ent 소유권 클레임이 더 이상 포함되지 않습니다. 토큰을 직접 디코딩해 ent를 읽는 코드가 있다면 아무 값도 반환되지 않아 조용히 버그가 생깁니다. 코드베이스에서 raw 토큰 디코딩을 찾아 userInfo 코어 서비스로 교체하세요. 시간이 필요하다면 config에 auth.omitIdentityTokenOwnershipClaim: false를 일시적으로 추가할 수 있지만, 이 설정은 향후 릴리스에서 완전히 제거될 예정이므로 마이그레이션 계획을 세워야 합니다.

  • breakingfrontend-plugin-api 업그레이드 전 createSchemaFromZod를 configSchema로 교체

    @backstage/[email protected]에서 deprecated된 createSchemaFromZod 헬퍼가 삭제됐습니다. 이를 사용하는 extension이나 blueprint는 런타임에서 즉시 실패합니다. backstage.io/docs/frontend-system/architecture/migrations#150의 마이그레이션 문서를 참고해 configSchema 옵션으로 전환하세요. zod v3 스키마는 직접 지원되지 않으므로 import { z } from 'zod/v4' 방식을 사용하거나 zod v4로 업그레이드해야 합니다.

주요 변경 (7)
  • BREAKING: auth.omitIdentityTokenOwnershipClaim 기본값이 true로 변경 — 토큰에 ent 클레임이 더 이상 포함되지 않아 대규모 조직의 HTTP 헤더 크기 문제 해소
  • BREAKING: frontend-plugin-api에서 deprecated된 createSchemaFromZod 헬퍼 제거 — configSchema 옵션(zod v4)으로 마이그레이션 필요
  • BREAKING: @backstage/ui에서 React 17 지원 종료 — 최소 버전은 React 18
  • 카탈로그 백엔드 데드락 수정: 다중 레플리카 환경에서 SELECT ... FOR UPDATE SKIP LOCKED가 트랜잭션 없이 호출되어 발생하던 PostgreSQL 40P01 오류 해결
  • 보안 패치: rollup v4.59+(GHSA-mw96-cpmx-2vgc 경로 순회 취약점) 및 glob v13으로 업그레이드
  • backend-defaults에서 PostgreSQL AWS RDS IAM 인증 지원 — 정적 비밀번호 대신 단기 토큰 사용 가능
  • Auth0 프로바이더가 federated logout을 수행하도록 개선 — federatedLogout: true 설정 시 상위 IdP 세션도 함께 종료
원문

containerd

Kubernetes Core2026년 4월 14일

containerd v2.2.3은 spdystream의 CVE-2026-35469를 패치하고, 병렬 언팩 시 whiteout 누락 버그, tar 추출 경쟁 조건, Go 1.24 심링크 회귀 등 여러 버그를 수정했습니다.

  • securityCVE-2026-35469 패치: 즉시 v2.2.3으로 업그레이드

    CVE-2026-35469는 containerd가 스트리밍 연결에 사용하는 moby/spdystream에서 발견된 취약점입니다. 이번 릴리스에 spdystream v0.5.1이 포함되어 수정됐습니다. 2.2.x 버전을 운영 중이라면 다음 정기 점검을 기다리지 말고 지금 바로 업그레이드하세요.

  • breaking병렬 언팩 whiteout 버그 — 영향받은 이미지는 재풀링 필요

    병렬 언팩이 활성화된 환경에서 레이어 간 파일 삭제를 표시하는 whiteout 파일이 무시되는 버그가 있었습니다. overlayfs와 병렬 언팩을 함께 사용했다면 레이어 삭제 시맨틱이 제대로 적용되지 않았을 수 있습니다. 업그레이드 후 병렬 언팩으로 받은 이미지는 재풀링해서 레이어 상태를 확인하는 것이 좋습니다.

  • enhancementGo 1.24 + NixOS 계열 환경의 컨테이너 기동 실패: 이번 릴리스로 해결됩니다

    Go 1.24로 빌드된 바이너리에서 rootfs 내 사용자/그룹 조회 시 절대 심링크 처리에 회귀가 생겼습니다. /etc/passwd나 /etc/group이 심링크인 NixOS 계열 시스템에서 주로 나타나는 문제입니다. Go 1.24 빌드로 전환한 뒤 사용자 조회 실패나 컨테이너 기동 오류를 겪었다면 v2.2.3 업그레이드로 해결됩니다.

주요 변경 (5)
  • spdystream v0.5.1 업그레이드로 CVE-2026-35469 보안 패치 적용
  • 병렬 언팩 시 whiteout이 무시되던 버그 수정 — 이미지 레이어 정합성에 직결되는 문제
  • tar 추출 경로의 TOCTOU 경쟁 조건 강화
  • runc v1.3.5로 업데이트
  • /etc/passwd, /etc/group 절대 심링크 해석 수정 — Go 1.24 빌드 및 NixOS 계열 시스템에서의 회귀 해소
원문

containerd

Kubernetes Core2026년 4월 14일

containerd 2.0.8은 CVE-2026-35469 보안 패치, CRI 에러 메시지의 인증 정보 노출 수정, containerd 재시작 후 CNI DEL이 실행되지 않던 버그 수정을 포함합니다.

  • securityCVE-2026-35469 대응: 즉시 2.0.8로 업그레이드

    CVE-2026-35469는 moby/spdystream 의존성에 존재하는 취약점입니다. 2.0.x를 운영 중인 클러스터라면 다음 유지보수 주기를 기다리지 말고 2.0.8로 올리세요. 해당 advisory의 심각도를 확인한 뒤 업그레이드 우선순위를 판단하기 바랍니다.

  • security과거 파드 이벤트 로그에서 인증 정보 노출 여부 점검

    이번 수정 이전에는 레지스트리 인증 정보 등 URL에 포함된 민감 데이터가 CRI gRPC 에러 메시지와 파드 이벤트에 평문으로 기록될 수 있었습니다. Datadog, Splunk, ELK 등 외부 로깅 백엔드로 파드 이벤트를 수집 중이라면, 최근 로그에서 노출된 쿼리 파라미터가 없는지 점검하세요. 2.0.8부터는 containerd 내부에서 마스킹 처리됩니다.

  • breaking업그레이드 후 CNI 네트워크 정리가 정상 동작하는지 확인

    이번에 수정된 CNI DEL 버그로 인해, containerd 재시작 이후 파드를 삭제할 때 CNI 플러그인 정리가 실행되지 않아 노드에 네트워크 상태가 남아 있을 수 있습니다. 2.0.8로 업그레이드한 뒤에는 containerd 재시작을 경험한 노드에서 파드 삭제 시 CNI DEL이 제대로 호출되는지 검증하세요. 이전에 고아 네트워크 인터페이스나 IP 할당 충돌이 발생했다면 이 버그가 원인이었을 가능성이 높습니다.

주요 변경 (5)
  • CVE-2026-35469: spdystream v0.4.0 → v0.5.1 업데이트로 취약점 해소
  • CRI 에러 sanitization: gRPC 에러 반환 전 쿼리 파라미터 포함 민감 정보를 자동 마스킹 처리
  • CNI DEL 버그 수정: containerd 재시작 후 파드 삭제 시 CNI DEL이 실행되지 않던 문제 해결
  • opencontainers/selinux v1.11.1 → v1.13.1 업데이트
  • Go 툴체인 1.25.9 / 1.26.2로 업데이트
원문

containerd

Kubernetes Core2026년 4월 14일

containerd 2.1.7은 spdystream의 CVE-2026-35469를 패치하고, gRPC 자격 증명 누출 방지 및 tar 추출 TOCTOU 경쟁 조건 수정 등 보안 강화 변경을 포함합니다.

  • securityCVE-2026-35469 패치를 위해 즉시 2.1.7로 업그레이드

    moby/spdystream의 CVE-2026-35469가 이번 릴리스에서 수정됐습니다. spdystream은 CRI 스트리밍 경로에서 사용되므로 exec/attach/port-forward를 쓰는 Kubernetes 워크로드가 잠재적으로 영향을 받습니다. 모든 노드의 containerd를 2.1.7로 업그레이드하세요. 설정 변경 없이 바이너리 교체 후 데몬 재시작만 하면 됩니다.

  • securitypod 이벤트를 통한 자격 증명 누출 경로 차단

    이번 수정 전까지 레지스트리 자격 증명이 포함된 원시 오류가 pod 이벤트에 노출될 수 있었습니다. 네임스페이스 범위 사용자에게 pod 이벤트 접근을 허용하는 클러스터라면 자격 증명이 로그나 이벤트 스트림에 노출됐을 가능성이 있습니다. 영향받은 클러스터에서 사용된 레지스트리 pull secret을 교체한 뒤 2.1.7로 업그레이드하세요.

  • enhancementCNI DEL 버그 수정으로 재시작 후 네트워크 자원 누수 방지

    기존에는 containerd 재시작 후 정리되는 샌드박스에 CNI DEL이 호출되지 않아 IP 등 네트워크 자원이 누수됐습니다. 노드 재시작 후 스테일 IP나 CNI 상태 이상을 겪은 적 있다면 이 버그가 원인일 가능성이 높습니다. 2.1.7로 업그레이드하고, 기존 누수 상태를 정리하려면 containerd 재시작 전 노드를 드레인하는 편이 안전합니다.

주요 변경 (5)
  • spdystream v0.5.1 업그레이드로 CVE-2026-35469 패치
  • gRPC 오류 sanitization으로 pod 이벤트 내 자격 증명 노출 차단
  • tar 추출 시 TOCTOU 경쟁 조건 수정
  • containerd 재시작 후 CNI DEL이 정상 실행되도록 수정
  • runc v1.3.5로 업데이트, 사용자 네임스페이스에서 읽기 전용 바인드 마운트 플래그 보존
원문

containerd

Kubernetes Core2026년 4월 14일

v1.7.31은 spdystream의 CVE-2026-35469를 패치하고, 재시작 후 CNI DEL이 실행되지 않던 버그와 gRPC 에러를 통한 자격증명 노출 문제를 수정합니다.

  • securityCVE-2026-35469 패치: 즉시 v1.7.31로 업그레이드

    CVE-2026-35469는 SPDY 멀티플렉싱에 쓰이는 moby/spdystream 라이브러리의 취약점입니다. 수정본은 이번 릴리스에 포함된 spdystream v0.5.1에 담겨 있습니다. 1.7.x 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 특히 CRI 스트리밍 서버가 노출되어 있거나 kubectl exec/attach/port-forward 트래픽이 containerd를 통해 흐르는 클러스터라면 더욱 시급합니다.

  • security파드 이벤트 로그에서 자격증명 노출 여부 점검

    원시 에러 메시지에 레지스트리 자격증명이 포함된 채로 gRPC를 통해 반환되고 파드 이벤트에 노출되는 버그가 있었습니다. 업그레이드 후, 수정 전 기간의 파드 이벤트 로그(kubectl get events 또는 로그 수집 시스템)를 검토해 인증 토큰, 비밀번호, 이미지 풀 시크릿이 포함된 항목이 있는지 확인하세요. 노출된 자격증명이 발견되면 즉시 교체해야 합니다.

  • breaking업그레이드 후 CNI 네트워크 정리 동작 검증 필요

    CNI DEL 버그 수정으로, 기존에 containerd 재시작 후 스테일 네트워크 상태를 남기던 컨테이너가 이제 제대로 정리됩니다. 올바른 동작이지만, CNI DEL이 생략된다고 가정하는 자동화 스크립트나 워크플로가 있다면 미리 테스트하세요. 비정상 재시작 이력이 있는 노드는 업그레이드 후 첫 파드 삭제 시 정리 작업이 실행될 수 있습니다.

주요 변경 (5)
  • CVE-2026-35469 대응: spdystream v0.2.0 → v0.5.1 업그레이드
  • containerd 재시작 후 CNI DEL이 실행되지 않던 버그 수정 — 네트워크 정리가 조용히 건너뛰어지던 문제 해결
  • gRPC 에러 메시지 정제로 레지스트리 자격증명이 파드 이벤트에 노출되던 문제 수정
  • runc 바이너리를 v1.3.5로 업데이트
  • tar 추출 과정의 TOCTOU 경쟁 조건 버그 수정
원문

NATS

Networking & Messaging2026년 4월 14일

v2.12.7은 ACL 우회 보안 버그, 리프노드 패닉, JetStream 컨슈머 stuck 상태, 그리고 2.12.6에서 유입된 MQTT JWT 회귀 버그를 수정한 버그픽스 릴리스입니다.

  • securitydeny ACL이나 큐 그룹을 사용 중이라면 즉시 업그레이드 필요

    이번 릴리스에서 두 가지 ACL 시행 버그가 수정됐습니다. 와일드카드가 중첩된 deny ACL이 제대로 적용되지 않았고, 큐 구독이 비큐 deny 규칙을 통째로 우회할 수 있었습니다. deny 기반 ACL, 특히 와일드카드나 큐/비큐 혼합 구독을 보안 모델에 활용 중이라면 필수 업그레이드입니다. 업그레이드 후 deny 규칙이 의도대로 동작하는지 반드시 검증하세요.

  • breaking2.12.6에서 MQTT + auth callout을 쓰고 있다면 즉시 업그레이드

    2.12.6에서 MQTT 클라이언트의 JWT가 auth callout 서비스로 전달되지 않는 회귀 버그가 있었습니다. 인증 로직이 조용히 무시되거나 실패했을 가능성이 있습니다. 2.12.7로 업그레이드 후 MQTT 클라이언트 인증이 전 구간에서 정상 동작하는지 확인하세요.

  • enhancementJetStream 스토리지 한도, 이제 재시작 없이 상향 조정 가능

    max_mem_store와 max_file_store를 config reload만으로 늘릴 수 있게 됐습니다. 단, 줄이는 것은 여전히 reload로 지원되지 않습니다. 피크 트래픽 구간에 다운타임 없이 용량을 확장할 수 있어 운영 유연성이 높아졌습니다. 평소 여유 있게 스토리지를 설계하되, 필요 시 즉각 확장하는 방식으로 활용하세요.

주요 변경 (5)
  • ACL 보안 수정: 와일드카드 deny 패턴 중첩 시 미적용 버그, 큐 구독이 비큐 deny 규칙을 우회하던 문제 해결
  • MQTT 회귀 버그 수정: 2.12.6부터 MQTT 클라이언트의 JWT가 auth callout에 전달되지 않던 문제 해결
  • JetStream 컨슈머 수정: 삭제된 메시지가 pending 상태에 남아 max_ack_pending이 stuck되는 문제 해결
  • 리프노드 안정성: 계정 resolve 실패 시 패닉 및 pre-CONNECT 가드 관련 패닉 다수 수정
  • JetStream 성능: subject purge가 관련 filestore 블록만 스캔하도록 개선, 쓰기 직후 캐시 과도 축출 문제 수정
원문

NATS

Networking & Messaging2026년 4월 14일

v2.11.16은 보안 패치 릴리스로, 큐 구독의 ACL 우회, 리프노드 인바운드 메시지 권한 누락, 와일드카드 deny 패턴 미적용 등 여러 인가 취약점을 수정했습니다. ACL에 의존하는 환경이라면 즉시 업그레이드해야 합니다.

  • security큐 구독을 통한 ACL 우회 — 즉시 패치 필요

    비큐 구독에 적용된 deny 규칙을 큐 구독자가 우회할 수 있었습니다. 멀티테넌트 환경이나 subject 단위 접근 제어를 쓰고 있다면 기존 deny 규칙이 제대로 적용되지 않았을 가능성이 있습니다. v2.11.16으로 업그레이드하고, ACL 설정 전체를 재검토하세요.

  • security리프노드 ACL 검사 누락 — 리프 설정 점검 필수

    리프노드 인바운드 메시지가 ACL 권한 검사를 통과하지 않고 처리되는 경로가 존재했습니다. 계정별 또는 사용자별 권한을 리프노드에 적용 중이라면, 무단 데이터 접근이 발생했을 가능성을 배제할 수 없습니다. 업그레이드 후 리프노드 자격증명과 권한 설정을 재확인하세요.

  • breakingno_auth_user 범위 변경 — 리프노드 연결에 영향 가능

    no_auth_user가 이제 클라이언트 연결에만 적용됩니다. 리프노드 등 비클라이언트 연결에서 no_auth_user를 암묵적으로 사용하던 구성이 있다면, 업그레이드 후 해당 연결에 명시적인 자격증명이 필요해집니다. 프로덕션 리프노드에 배포하기 전에 스테이징 환경에서 반드시 검증하세요.

주요 변경 (5)
  • 큐 구독이 비큐(non-queue) ACL deny 규칙을 우회하던 문제 수정
  • ACL deny 블록의 중첩 와일드카드 패턴이 올바르게 적용되지 않던 문제 수정
  • no_auth_user 옵션이 클라이언트 연결로만 범위 제한됨
  • 리프노드 인바운드 메시지 전체 경로에서 ACL 권한 검사가 누락되던 문제 수정 및 pre-CONNECT 패닉 버그 수정
  • WebSocket 전용 no_auth_user 설정 시 fast-path에서 올바르게 적용되도록 수정
원문

TiKV

Storage & Data2026년 4월 14일

TiKV v8.5.6은 컬럼 수준 권한 관리, 다차원 슬로우 쿼리 규칙, FK 체크 공유 잠금 지원과 함께 crossbeam skiplist 메모리 누수, 비관적 트랜잭션 데이터 불일치 등 주요 버그 13건을 수정했습니다.

  • security컬럼 수준 권한으로 민감 데이터 격리 — 기존 권한 설정을 재검토하세요

    TiDB가 MySQL 호환 컬럼 수준 GRANT/REVOKE를 지원합니다. 지금까지 뷰(View) 기반으로 특정 컬럼(PII, 금융 데이터 등) 접근을 제한했다면 이제 권한 레이어에서 직접 제어할 수 있습니다. 민감 컬럼이 포함된 테이블을 감사하고 최소 권한 원칙에 따라 컬럼 수준 GRANT를 적용하세요. 기존 권한 감사 결과가 컬럼 수준 제어를 반영하지 못했을 수 있으므로 사용자 권한 목록을 전면 재검토할 필요가 있습니다.

  • breaking통계 Version 1 지금 바로 마이그레이션 — 다음 릴리스에서 제거됩니다

    이번 릴리스에서 tidb_analyze_version=1이 공식 deprecated 처리됐고, 향후 버전에서 제거됩니다. 모든 인스턴스에서 SHOW VARIABLES LIKE 'tidb_analyze_version'으로 현황을 확인하세요. v1을 사용 중인 경우 v2로 전환하고 해당 테이블에 ANALYZE를 다시 실행해야 합니다. Version 2는 히스토그램 정확도가 더 높고 앞으로 유일하게 지원되는 방식입니다. 제거 시점에 쫓기기 전에 미리 전환하는 게 낫습니다.

  • enhancementFK 체크 공유 잠금 활성화로 쓰기 집중 워크로드 경합 해소

    소수의 부모 테이블 행을 참조하는 자식 테이블에 고동시 INSERT/UPDATE가 발생한다면 현재 배타적 잠금 경합이 심할 겁니다. tidb_foreign_key_check_in_shared_lock=ON으로 설정하고 스테이징에서 벤치마크해 보세요. 부모 테이블에 공유 잠금을 사용하면 FK 체크가 서로를 블록하지 않습니다. 잠금 의미 구조가 바뀌는 만큼 운영 적용 전 반드시 검증이 필요합니다. 비관적 트랜잭션 환경이라면 prewrite 재시도 불일치 버그(#11187) 수정도 포함됐으므로 TiKV 노드 패치 버전을 확인하세요.

주요 변경 (6)
  • 컬럼 수준 GRANT/REVOKE 지원 — MySQL과의 오랜 권한 호환성 격차 해소
  • tidb_slow_log_rules로 인스턴스/세션/SQL 단위에서 Query_time, Digest, Mem_max, KV_total 등 복합 조건 기반 슬로우 쿼리 로그 세밀 제어 가능
  • tidb_foreign_key_check_in_shared_lock=ON 설정 시 FK 체크에 공유 잠금 사용 — 대용량 자식 테이블 동시 쓰기 경합 완화
  • TiKV에 부하 기반 컴팩션 도입 — MVCC 읽기 오버헤드를 감지해 핫 Region을 자동으로 우선 컴팩션
  • 통계 Version 1(tidb_analyze_version=1) 및 TiDB Lightning 웹 UI 지원 중단(v8.5.7에서 제거 예정)
  • crossbeam skiplist 메모리 누수, 비관적 트랜잭션 prewrite 재시도 시 데이터 불일치, 디스크 가득 찬 노드에서 팔로워 읽기 차단 등 핵심 버그 수정
원문

wasmCloud

Orchestration & Management2026년 4월 14일

v2.0.3은 NATS 구독자 초기화 경쟁 조건 버그 수정, Kubernetes EndpointSlice 지원 추가, 컨테이너 비루트 소유권 설정, Helm 차트 확장 구성을 포함합니다.

  • security즉시 업그레이드: 컨테이너가 기본적으로 비루트로 실행됩니다

    이전 릴리스는 루트 소유권으로 실행되어 컨테이너 보안 관점에서 문제가 있었습니다. 이번 릴리스부터 비루트 소유권이 기본값으로 변경됐습니다. 볼륨 마운트나 루트 권한에 의존하는 init 컨테이너가 있다면 프로덕션 적용 전 반드시 테스트하고, 필요하면 파드 스펙의 fsGroup 또는 runAsUser 설정을 조정하세요.

  • breakingHelm 차트 이미지 태그 기본값 변경 — values 파일을 점검하세요

    기본 이미지 태그가 더 이상 하드코딩된 값을 사용하지 않고 chart.yaml의 appVersion을 따릅니다. values 파일에서 태그를 명시적으로 오버라이드하고 있다면 대부분 그대로 동작하겠지만, 기존 기본값 방식으로 이미지 버전을 고정했던 경우라면 차트 업그레이드 후 배포된 이미지 버전을 반드시 확인하세요.

  • enhancementKubernetes 1.21 이상이라면 EndpointSlice를 활성화하세요

    EndpointSlice는 기존 Endpoints API를 대체하는 방식으로, 백엔드 수가 많을 때 확장성이 훨씬 뛰어납니다. kube-apiserver 부하를 줄이고 기존 Endpoints API의 스케일 한계를 피하려면 Helm values에서 EndpointSlice 옵션을 활성화하세요. Kubernetes 1.21 이상 환경이라면 지금 바로 적용할 수 있습니다.

주요 변경 (6)
  • NATS 구독자 초기화 시 발생하는 경쟁 조건(race condition) 수정
  • Kubernetes EndpointSlice 지원 추가 — 백엔드 수가 많은 서비스 환경에서 필수
  • 컨테이너 소유권을 비루트(non-root)로 변경해 기본 보안 강화
  • Helm 차트에 TLS 설정, 커스텀 어노테이션, 레이블 옵션 추가
  • Helm 차트 기본 이미지 태그가 하드코딩된 값 대신 chart.yaml의 appVersion을 따르도록 변경
  • WASIp3 지원이 피처 플래그 뒤에 추가됨 — 실험적 기능으로 프로덕션 사용 불가
원문

Prometheus

Observability2026년 4월 13일

Prometheus v3.11.2은 웹 UI의 저장형 XSS 취약점(CVE-2026-40179)을 패치하고 Consul SD 버그 2건을 수정합니다. UI가 외부에 노출된 환경이라면 즉시 업그레이드하세요.

  • securityPrometheus UI가 노출된 환경이라면 CVE-2026-40179 즉시 패치

    스크레이프 대상이 메트릭 이름이나 레이블 값을 조작하면 UI에 악성 스크립트를 심을 수 있는 저장형 XSS입니다. 운영팀 외 사용자가 Prometheus UI에 접근할 수 있는 환경(내부 대시보드, 페더레이션 구성 등)이라면 즉각 v3.11.2로 업그레이드하세요. 당장 업그레이드가 어렵다면 네트워크 정책이나 인증 프록시로 UI 접근을 제한하는 것이 먼저입니다.

  • breaking업그레이드 후 Consul SD 스크레이프 대상 변경 여부 반드시 확인

    Consul Health API에 filter 파라미터가 잘못 적용되던 버그가 수정됐습니다. 의도치 않게 해당 동작에 의존하고 있었다면 업그레이드 후 발견되는 서비스 목록이 달라질 수 있습니다. 프로덕션 배포 전에 Consul SD 설정을 검토하고, 스크레이프 대상이 예상과 일치하는지 검증하세요.

  • enhancementConsul SD의 `health_filter`로 비정상 서비스 제거 간소화

    새로 추가된 `health_filter` 필드를 사용하면 SD 레이어에서 직접 Consul Health API 응답을 필터링할 수 있습니다. 지금까지 릴레이블링 규칙으로 비정상 인스턴스를 걸러내고 있었다면, `health_filter: healthy`로 설정해 그 규칙들을 정리하세요. 불필요한 타깃 변동(churn)도 줄어듭니다.

주요 변경 (3)
  • 보안: UI 툴팁·메트릭 탐색기에서 메트릭 이름·레이블 값 미이스케이프로 인한 저장형 XSS — CVE-2026-40179
  • Consul SD: Health API 필터링을 위한 `health_filter` 필드 신규 추가
  • Consul SD: filter 파라미터가 Health API에 잘못 적용되던 버그 수정
원문

OpenTelemetry

Observability2026년 4월 13일

v0.150.0은 소규모 버그 수정 릴리스입니다. print-config --unredacted 출력 누락, 내부 OTLP 익스포터 헤더 노출, debug 익스포터 인덱스 범위 초과 등 세 가지 버그를 고쳤습니다.

  • securitymarshaled config에서 내부 OTLP 익스포터 헤더 redact 처리

    내부 텔레메트리 OTLP 익스포터의 헤더가 config를 marshal할 때 평문으로 노출됐습니다. 헤더에 인증 토큰이 담길 수 있으므로 설정 스냅샷을 로그나 저장소에 기록하는 팀은 기존 저장본을 점검하세요. 업그레이드 후에는 marshal 시 자동으로 redact됩니다.

  • enhancementprint-config --unredacted 모드의 기본값 누락 버그 수정

    print-config 명령의 --unredacted 모드가 기본값 옵션을 모두 누락했던 버그가 수정됐습니다. confmap.WithUnredacted MarshalOption 도입으로 컴포넌트 기본값이 이제 정상 출력됩니다. 설정 감사나 디버깅에 print-config를 쓴다면 업그레이드 후 재실행해 출력이 완전한지 확인하세요.

주요 변경 (5)
  • 전 컴포넌트 semconv 패키지 1.38.0 → 1.40.0 업데이트
  • debug 익스포터의 프로파일 딕셔너리 인덱스 범위 초과 접근 수정
  • pdata/pprofile: 읽기 전용 입력에 대해 방어적 복사 적용
  • print-config --unredacted가 기본값 필드를 정상 출력하도록 수정
  • config marshal 시 내부 텔레메트리 OTLP 익스포터 헤더 자동 redact
원문

cert-manager

Security2026년 4월 11일

webhook.config와 webhook.volumes를 동시에 설정할 때 발생하는 Helm 차트 YAML 생성 버그를 수정하고, 취약점 해소를 위해 Go 1.26.2로 업그레이드한 패치 릴리스입니다.

  • security의존성 취약점 패치 포함 — 다음 유지보수 창에 업그레이드 예약

    Go 런타임과 의존성을 보고된 취약점 해소 목적으로 업데이트했습니다. 릴리스 노트에 구체적인 CVE ID가 명시되진 않았지만, cert-manager는 클러스터 내 인증서 발급을 담당하는 특권적 위치에 있는 컴포넌트입니다. 보안 패치는 미루지 않는 게 좋습니다.

  • breakingwebhook.config와 webhook.volumes를 함께 쓰고 있다면 즉시 업그레이드

    Helm values에 webhook.config와 webhook.volumes를 모두 설정한 환경이라면, 지금까지 잘못된 YAML이 생성됐을 가능성이 높습니다. 웹훅이 의도와 다른 설정으로 배포됐을 수 있으므로, v1.20.2로 업그레이드하고 재배포한 뒤 웹훅 파드의 볼륨 마운트와 설정이 정상인지 반드시 확인하세요.

주요 변경 (3)
  • webhook.config와 webhook.volumes를 함께 설정했을 때 잘못된 YAML이 생성되던 버그 수정
  • Go 런타임을 1.26.2로 업그레이드
  • 보고된 취약점 해소를 위한 Go 의존성 업데이트
원문

OpenFGA

Security2026년 4월 10일

v1.14.1은 AuthZEN 디스커버리의 호스트 헤더 포이즈닝 취약점을 패치하고 취약한 Docker 의존성을 제거했습니다. ListObjects 성능도 소폭 개선됐습니다.

  • securityAuthZEN 호스트 헤더 포이즈닝 취약점, 즉시 패치 필요

    AuthZEN의 well-known 디스커버리 엔드포인트가 요청의 Host 헤더로 URL을 구성하고 있었습니다. 공격자가 이를 악용하면 클라이언트를 악성 엔드포인트로 유도할 수 있었습니다. AuthZEN 디스커버리 메타데이터를 외부에 노출하고 있다면 v1.14.1로 즉시 업그레이드하세요. 별도 설정 변경은 불필요하지만, 서버 설정의 authzen.baseURL이 올바르게 지정되어 있는지 확인하는 것이 좋습니다.

  • security테스트 바이너리를 컨테이너 이미지에 포함하고 있다면 점검 필요

    github.com/docker/docker 패키지는 알려진 CVE가 있으며 테스트 코드에서만 사용됐습니다. 프로덕션 빌드 자체는 영향이 없지만, 파이프라인에서 테스트 바이너리나 vendor 디렉터리를 컨테이너 이미지에 포함하는 경우 업그레이드 후 취약한 패키지가 제거됐는지 확인하세요.

  • enhancementKubernetes 환경에서 셧다운 타임아웃 명시적으로 설정하세요

    새로 추가된 셧다운 타임아웃 옵션으로 OpenFGA가 종료 전 진행 중인 요청을 얼마나 기다릴지 제어할 수 있습니다. 설정이 없으면 파드 재시작 시 요청 오류가 발생할 수 있습니다. Kubernetes의 terminationGracePeriodSeconds보다 약간 짧게 설정해 두면 안전한 트래픽 전환이 가능합니다.

주요 변경 (5)
  • 보안 수정: AuthZEN 디스커버리 메타데이터가 요청의 Host 헤더 대신 설정된 baseURL을 사용하도록 변경
  • 취약한 github.com/docker/docker 테스트 의존성 제거 후 Moby 클라이언트 & API로 교체
  • 서버 셧다운 타임아웃 설정 옵션 추가 — Kubernetes 환경의 graceful drain에 유용
  • ListObjects 힙 할당 감소로 실질적인 레이턴시 개선
  • 캐시 키 생성 시 fmt 제거 및 제어 문자 정규화 범위를 튜플, 조건, 컨텍스트까지 확장
원문

Dapr

Orchestration & Management2026년 4월 10일

Dapr 1.17.4는 워크플로우 정확성, Pulsar OOM 위험, Placement 지연으로 인한 Actor 동결, Go 표준 라이브러리 보안 취약점 등 7개 버그를 수정했습니다.

  • securityGo 표준 라이브러리 CVE 패치 — 즉시 업그레이드 권장

    Go 1.25.9는 archive/tar, crypto/tls, crypto/x509, html/template, 컴파일러에서 발견된 취약점을 수정합니다. Dapr의 모든 바이너리와 Docker 이미지가 패치된 툴체인으로 재빌드됐습니다. 설정 변경 없이 버전만 1.17.4로 올리면 됩니다.

  • breakingPulsar processMode 동작 변경 — 컴포넌트 설정 검토 필수

    기존에 Pulsar 컴포넌트 YAML에 processMode를 설정했다면 그 값은 사실상 무시되고 있었습니다. 업그레이드 후에는 설정값이 실제로 적용됩니다. processMode: sync로 순서 보장을 기대했지만 실제로는 async 모드로 돌고 있었다면, 업그레이드 후 동작이 달라집니다. async 모드는 이제 maxConcurrentHandlers(기본값 100)로 동시성이 제한됩니다. 운영 배포 전 Pulsar 컴포넌트 메타데이터를 반드시 점검하고 처리량 동작을 테스트하세요.

  • enhancementPlacement 지연으로 인한 Actor·워크플로우 동결 위험 해소

    Placement 전파 동결 버그는 롤링 업데이트 중 연쇄적인 헬스 체크 실패를 유발할 수 있었고, Kubernetes가 Pod를 비정상으로 판단해 재시작하면서 상황이 더 악화되는 패턴이었습니다. 1.17.4부터는 느린 피어 감지 시 치명적 종료 대신 재연결을 시도합니다. 롤링 업데이트 중 Actor 행(hang)이나 zombie daprd 프로세스를 경험한 적 있다면 이 버그가 원인이었을 가능성이 큽니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.

주요 변경 (5)
  • Pulsar pub/sub가 컴포넌트 YAML의 processMode를 올바르게 읽고 async 모드에서 동시성 한도를 적용 — 기존에는 고부하 시 Pod OOM 가능성 있었음
  • 원격 앱이 오프라인 상태일 때 크로스 앱 워크플로우가 PENDING으로 무한 대기하던 문제 수정 — 디스패치별 2초 타임아웃과 사전 저장 로직 적용
  • ContinueAsNew 고이벤트량 환경에서 이벤트 유실·중복 처리 수정 — 상태 스냅샷/복원과 inbox 교체로 두 가지 근본 원인 해결
  • 느린 사이드카 하나가 전체 네임스페이스의 Actor·워크플로우 작업을 동결시키던 문제 수정 — Placement 타임아웃 시 재연결 로직으로 전환
  • 멀티노드 클러스터에서 스케줄러 Pod 재시작 후 잡 트리거가 무관한 클러스터 이벤트 전까지 멈추던 문제 수정 — 커넥터별 독립 재시도 방식으로 변경
원문

Helm

Kubernetes Core2026년 4월 9일

차트 추출 시 발생하는 경로 순회 취약점을 수정한 보안 패치입니다. 외부 출처 차트를 사용하는 환경은 즉시 업그레이드하세요.

  • security차트 추출 경로 순회 취약점 — 즉시 업그레이드 필요

    Chart.yaml의 차트 이름에 '..' 같은 점-세그먼트를 사용하면 Helm이 의도된 추출 디렉토리 밖으로 파일을 쓸 수 있는 전형적인 경로 순회 공격입니다. 퍼블릭 저장소, 서드파티 레지스트리, 또는 완전히 신뢰할 수 없는 출처의 차트를 파이프라인에서 사용하고 있다면 즉시 v3.20.2로 업그레이드하세요. 내부에서만 작성한 차트를 에어갭 환경에서 운영하는 팀은 위험도가 낮지만, 다음 유지보수 윈도우에 업그레이드하는 것이 바람직합니다.

주요 변경 (3)
  • GHSA-hr2v-4r36-88hr 수정: Chart.yaml의 점-세그먼트(dot-segment) 이름을 이용해 차트 추출 경로를 의도치 않은 디렉토리로 우회할 수 있는 취약점 패치
  • 기능 변경 없음 — 순수 보안 수정 릴리스
  • 다음 패치 릴리스(4.1.5 / 3.20.3)는 2026년 4월 8일 예정
원문

Linkerd

Networking & Messaging2026년 4월 9일

프록시 v2.348.0 업데이트와 Go/Rust/JS 의존성 정리가 전부인 유지보수 릴리스입니다. 기능 변경이나 버그 수정은 없습니다.

  • security웹 대시보드 lodash 업데이트 — 긴급도는 낮지만 SBOM 확인 권장

    lodash가 4.17.23에서 4.18.1로 올라갔습니다. Linkerd 대시보드는 보통 내부망에서 접근하므로 외부 노출 위험은 낮습니다. 다만 팀에서 프론트엔드 의존성 CVE를 관리하고 있다면 SBOM 도구에서 열린 권고 사항이 해소됐는지 확인하세요.

  • enhancement프록시 v2.348.0 — 런타임 변경 여부는 프록시 릴리스 노트 별도 확인

    실질적인 런타임 변경이 있을 수 있는 컴포넌트는 프록시뿐입니다. 릴리스 노트에 프록시 수준의 세부 내용은 나오지 않으므로, 특정 수정 사항이나 동작 변경을 추적 중이라면 linkerd2-proxy v2.348.0 릴리스 노트를 따로 확인한 뒤 프로덕션 배포를 결정하세요.

  • enhancement프록시 업데이트가 필요한 경우가 아니면 업그레이드 서두를 필요 없음

    순수 유지보수 릴리스입니다. edge 빌드를 꾸준히 추적 중이라면 업그레이드 자체는 부담이 없습니다. edge-26.4.1에서 올라와야 할 기능적 이유는 없는 만큼, 프록시 변경 사항이 직접적으로 필요한 팀만 업그레이드를 검토하면 충분합니다.

주요 변경 (5)
  • 프록시 v2.348.0으로 업데이트
  • tokio 런타임 1.50.0 → 1.51.1 (한 사이클에 두 단계 업그레이드)
  • gRPC-Go 1.80.0으로 업데이트
  • 웹 대시보드 lodash 4.18.1로 업데이트
  • destination 컨트롤러 API 테스트 추가로 회귀 감지 커버리지 강화
원문

Helm

Kubernetes Core2026년 4월 9일

Helm v4.1.4는 보안 전용 패치로, 차트 경로 탈출, 플러그인 서명 우회, 플러그인 버전 경로 탈출 등 세 가지 취약점을 수정했습니다.

  • security즉시 업그레이드 — 세 CVE 모두 외부 입력으로 악용 가능

    차트 추출 경로 우회와 플러그인 버전 경로 탈출은 파일시스템의 임의 위치에 파일을 쓸 수 있게 합니다. 서명 우회 취약점은 배포 채널을 제어할 수 있는 공격자가 서명되지 않은 플러그인을 설치하도록 허용합니다. 외부 또는 반신뢰 소스에서 차트나 플러그인을 가져오는 CI/CD 파이프라인이 있다면, 이번 패치 이전 버전에서는 노출 상태입니다. 유지보수 윈도우를 기다리지 말고 v4.1.4(또는 4월 8일 출시 예정인 v3.20.3)로 즉시 업그레이드하세요.

  • security업그레이드 전 설치된 플러그인 출처를 반드시 점검

    GHSA-q5jf-9vfq-h4h7 취약점으로 인해, 플러그인 검증이 활성화된 상태에서도 .prov 파일이 없으면 서명되지 않은 플러그인이 설치될 수 있었습니다. 업그레이드 전에 'helm plugin list'로 설치된 플러그인을 확인하고 출처를 수동 검증하세요. 업그레이드 후에는 공식 소스에서 플러그인을 재설치해 서명 검증이 올바르게 동작하는지 확인하는 게 좋습니다.

  • enhancementCI 파이프라인에서 Helm 버전을 v4.1.4로 명시적 고정

    'latest' 또는 마이너 버전 태그로 Helm을 참조하고 있다면 v4.1.4로 정확히 고정하세요. 이번 릴리스에서 Helm 팀이 CodeQL 액션을 커밋 SHA로 고정한 것처럼, 파이프라인의 모든 툴체인 의존성에 동일한 원칙을 적용하는 것이 좋습니다.

주요 변경 (4)
  • GHSA-hr2v-4r36-88hr: Chart.yaml의 dot-segment 이름을 악용해 지정된 디렉터리 외부로 파일 추출 경로를 우회 가능
  • GHSA-q5jf-9vfq-h4h7: .prov 파일 누락 시 플러그인 서명 검증이 통과되어 서명되지 않은 플러그인 설치 허용
  • GHSA-vmx8-mqv2-9gmg: 플러그인 메타데이터 version 필드의 경로 탈출로 Helm 플러그인 디렉터리 외부에 임의 파일 쓰기 가능
  • 기능 변경이나 동작 추가 없음 — 순수 보안 수정만 포함
원문

Keycloak

Security2026년 4월 8일

Keycloak 26.6.0은 JWT Authorization Grant, Federated Client Auth, Workflows, 무중단 패치 릴리스를 정식 지원으로 격상하면서, UMA·SCIM·Organizations 관련 보안 버그 다수를 수정했습니다.

  • securitySCIM·UMA 보안 취약점 즉시 패치 필요

    SCIM에서 IDOR 방식의 리소스 수정 및 그룹 관리 권한 우회가 가능했던 두 가지 버그가 수정됐습니다. UMA 권한 부여는 만료된 ID 토큰이나 다른 클라이언트용 토큰을 수락하는 문제도 함께 고쳐졌습니다. SCIM이나 UMA를 사용 중이라면 즉시 26.6.0으로 업그레이드하세요. 별도 설정 변경은 불필요하지만, 사용 중인 SCIM 플러그인/익스텐션이 새 유효성 검사와 호환되는지 확인하세요.

  • breaking$ 문자 포함 시크릿은 KCRAW_ 프리픽스로 전환해야 함

    시크릿 매니저 등에서 $ 문자가 포함된 패스워드를 환경변수로 주입할 경우, KC_ 프리픽스는 SmallRye 표현식 평가로 값을 묵시적으로 변조합니다. KC_<KEY> 대신 KCRAW_<KEY>를 사용하면 값이 그대로 유지됩니다. 업그레이드 전에 기존 환경변수를 전수 점검하세요. ${ 또는 $$ 패턴이 포함된 시크릿은 이전 버전에서 이미 깨져 있을 수 있습니다.

  • enhancementOperator 배포에서 무중단 롤링 업데이트 활성화

    무중단 패치 릴리스가 기본 활성화됐습니다. Operator로 Keycloak을 운영 중이라면 업데이트 전략을 명시적으로 Auto로 설정하세요. 아울러 새로 도입된 HTTP Graceful Shutdown 기본값(지연 1초, 타임아웃 1초)을 검토하고, 리버스 프록시의 연결 드레이닝이 더 길게 걸리는 환경(특히 비-Kubernetes 환경이나 장기 연결 사용 구성)에서는 해당 값을 늘려 설정하세요.

주요 변경 (7)
  • JWT Authorization Grant(RFC 7523)와 Federated Client Authentication 정식 지원 — 클라이언트별 시크릿 관리 없이 외부→내부 토큰 교환 가능
  • 무중단 패치 릴리스 기본 활성화 — Operator 사용 시 업데이트 전략을 Auto로 설정해야 효과 적용
  • KCRAW_ 환경변수 프리픽스 도입 — $ 문자 포함 패스워드의 SmallRye 표현식 평가로 인한 묵시적 변조 문제 해결
  • UMA 권한 부여가 만료된 ID 토큰 및 다른 클라이언트 발행 토큰을 거부하도록 수정 (#46716, #46717)
  • SCIM IDOR 버그 수정 — PUT 엔드포인트의 body ID 재정의 공격 및 그룹 관리 권한 우회 패치 (#46658, #47536)
  • OTP와 비밀번호 브루트포스 보호를 기본적으로 분리해 OTP 우회 공격 차단 (#46164)
  • Keycloak 및 KeycloakRealmImport CRD가 v2beta1로 승격
원문

OpenFGA

Security2026년 4월 3일

v1.14.0은 ListObjects의 잠재적 데드락을 수정하고, 교집합 알고리즘 성능을 개선하며, BatchCheck 캐싱을 추가합니다. PostgreSQL 사용자에게 영향을 주는 SQL 직렬화 버그도 함께 수정됩니다.

  • securityPostgreSQL 사용자: SQL 직렬화 수정 적용 필수

    TupleOperation 직렬화 버그와 pgx.ErrNoRows 오류 처리 문제는 PostgreSQL 환경에서 데이터 불일치나 잘못된 오류 처리로 이어질 수 있습니다. Postgres 기반으로 OpenFGA를 운영 중이라면 이 수정 사항만으로도 업그레이드 이유가 충분합니다. 업그레이드 후 튜플 쓰기/읽기 동작을 반드시 검증하세요.

  • breakingCVE-2026-33729 검토 후 즉시 업그레이드

    릴리스 노트에 CVE-2026-33729가 명시적으로 언급됩니다. 마이너 릴리스에 CVE 업데이트가 포함된 경우 즉각 대응이 필요합니다. CVE 세부 내용이 공개되기 전에 v1.14.0으로 업그레이드하고, 배포 환경의 노출 범위를 점검하세요.

  • enhancement고동시성 환경에서 ListObjects 데드락 수정이 핵심

    ListObjects 파이프라인의 데드락은 실제 프로덕션 부하에서만 나타나는 유형의 버그입니다. ListObjects를 대량으로, 특히 동시 호출 환경에서 사용하고 있다면 이 수정이 필수적입니다. 업그레이드 후 실제 동시성 패턴으로 ListObjects 스트레스 테스트를 실행해 안정성을 확인하세요.

  • enhancementBatchCheck 캐싱으로 대규모 권한 검사 레이턴시 절감

    튜플이나 조건이 겹치는 BatchCheck를 반복 호출하는 경우, 새 캐싱 레이어가 레이턴시와 백엔드 부하를 낮춰줄 겁니다. 별도 설정 변경 없이 자동 적용되는 것으로 보이지만, 새로 추가된 튜플 이터레이터 쿼리 통계를 활용해 실제 환경에서 개선 효과를 모니터링하세요.

주요 변경 (5)
  • ListObjects 파이프라인 알고리즘의 잠재적 데드락 수정으로 동시 부하 환경에서의 안정성 향상
  • 교집합(intersection) 알고리즘 개선으로 레이턴시 감소 및 메모리 사용량 절감
  • BatchCheck 결과 캐싱 추가로 중복 권한 검사 요청 감소
  • PostgreSQL 백엔드의 TupleOperation 직렬화 버그 및 pgx.ErrNoRows 오류 처리 수정
  • 튜플 이터레이터 쿼리 통계 추가로 DB 쿼리 동작 관찰 가능성 개선
원문

Lima

Kubernetes Core2026년 4월 3일

Lima v2.1.1은 Windows 바이너리 아티팩트 추가와 소수의 엣지 케이스 버그 수정에 집중한 패치 릴리스이며, nerdctl 보안 업데이트가 포함되어 있습니다.

  • securitynerdctl 배포판 업데이트로 BuildKit·CNI 보안 패치 적용

    번들된 nerdctl이 v2.2.1에서 v2.2.2로 올라가면서 BuildKit 0.28.1과 CNI plugins 1.9.1이 함께 업데이트됐습니다. 두 업스트림 모두 보안 수정이 포함되어 있습니다. Lima의 nerdctl 템플릿으로 컨테이너 워크로드를 운영 중이라면 v2.1.1로 빠르게 업그레이드하고, BuildKit 및 CNI plugins 릴리스 노트에서 본인 환경에 해당하는 CVE를 직접 확인하세요.

  • enhancementWindows 사용자는 공식 바이너리로 전환

    v2.1.1부터 Lima의 Windows 바이너리가 공식 릴리스에 포함됩니다. 팀 내 Windows 개발자(예: WSL2 기반 Lima 사용자)가 있다면 커스텀 빌드 대신 공식 릴리스 바이너리를 사용하도록 안내하세요. 온보딩이 간소화되고 검증된 빌드를 일관되게 유지할 수 있습니다.

  • enhancement기업 환경 Mac 사용자의 UID 범위 오류 해결

    macOS 게스트가 이제 관례적인 UID 범위 밖의 값도 수용합니다. LDAP이나 Active Directory로 관리되는 기업 Mac에서 Lima를 사용하다 원인 불명의 오류를 겪었던 경우라면 이번 수정으로 해결됩니다. 별도 설정 변경 없이 업그레이드만 하면 됩니다.

주요 변경 (5)
  • 공식 릴리스에 Windows 바이너리 아티팩트 추가 — Windows에서 소스 빌드 불필요
  • macOS 게스트: 비표준 UID 범위 허용 — 기업 디렉토리(LDAP 등) 환경에서 발생하던 오류 해결
  • Virtualization Framework(vz): `audio.device=none` 설정이 무시되던 버그 수정
  • nerdctl v2.2.2로 업그레이드 — BuildKit 0.28.1, CNI plugins 1.9.1 보안 패치 포함
  • AlmaLinux Kitten 10 템플릿에 riscv64 아키텍처 지원 추가
원문

Linkerd

Networking & Messaging2026년 4월 2일

프록시 두 차례 업데이트(v2.346.0, v2.347.0), 멀티클러스터 RBAC 누락 리소스 추가, Viz Prometheus 포트명 설정 수정이 핵심입니다. 나머지는 의존성 유지보수입니다.

  • security암호화 의존성 패치 업데이트 — 꾸준한 업그레이드 주기 유지

    openssl, rustls-webpki, aws-lc-rs, aws-lc-sys 모두 패치 버전 업데이트됐습니다. 공개된 CVE는 없지만 프록시 핵심 암호화 라이브러리인 만큼, 여러 릴리스를 건너뛰지 말고 정기적인 edge 업그레이드 주기를 유지하는 게 좋습니다.

  • breakingViz 사용 중이라면 업그레이드 후 Prometheus 메트릭 확인 필수

    admin 포트명 변경에 맞게 Prometheus 설정이 수정됐습니다. 이전 edge 빌드에서 업그레이드한 경우, 대시보드 메트릭이 정상적으로 표시되는지 바로 확인하세요. 수정 전에는 스크레이프가 조용히 실패하고 있었을 수 있으므로, Prometheus 타겟 상태를 직접 점검하는 게 좋습니다.

  • enhancement멀티클러스터 사용자: AuthorizationPolicy 커버리지 재검토

    멀티클러스터 익스텐션에 Server 및 AuthorizationPolicy 리소스가 누락되어 있었습니다. 업그레이드 후 크로스 클러스터 인가 정책이 의도대로 적용되는지 확인하세요. 기본 정책 설정에 따라 특정 트래픽 경로에서 예상치 못한 허용/차단이 발생했을 수 있습니다.

주요 변경 (5)
  • 프록시 v2.346.0 → v2.347.0 두 차례 업데이트 — 해당 프록시 릴리스의 버그 수정 포함
  • 멀티클러스터: Server/AuthorizationPolicy 리소스 누락 문제 수정으로 크로스 클러스터 RBAC 적용 범위 보완
  • Viz: Prometheus 스크레이프 설정이 변경된 admin 포트명과 불일치하던 문제 수정 — 메트릭 누락이 발생했을 수 있음
  • openssl, rustls-webpki, aws-lc-rs, zerocopy 등 암호화 관련 의존성 패치 업데이트
  • @olix0r(Oliver Gould) 명예 메인테이너(emeritus) 전환
원문
← 최신이전 →