RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Backstage

CI/CD & App Delivery2026년 5월 19일

v1.51.0은 6개의 브레이킹 체인지와 카탈로그 쿼리 성능 대폭 개선, 새로운 AiResource 엔티티 종류, MCP/OIDC 보안 강화를 담고 있습니다. 업그레이드 전 마이그레이션 시간을 반드시 확보하세요.

  • breaking대규모 설치 환경은 배포 전 카탈로그 DB 마이그레이션 SQL 선행 실행 필수

    이번 마이그레이션은 search 테이블에 커버링 인덱스와 UNIQUE 제약을 추가합니다. 데이터가 많은 환경에서는 처리 시간이 길어질 수 있어, 릴리즈 노트에서도 배포 전 SQL 명령을 수동으로 먼저 실행하도록 명시적으로 권고하고 있습니다. 그냥 배포하면 예측 불가한 다운타임이 생길 수 있으니 changelog에서 정확한 SQL을 확인하고 진행하세요.

  • breaking업그레이드 전 OIDC 패턴 및 MsgGraph 설정 반드시 검토

    OIDC의 CIMD/DCR 기본 패턴이 와일드카드 '*'에서 특정 MCP 클라이언트 기본값으로 바뀌었습니다. 커스텀 MCP 클라이언트가 있다면 allow list에 명시적으로 추가하지 않으면 조용히 동작을 멈춥니다. Microsoft Graph는 이제 비활성 계정을 기본으로 제외하므로, 비활성 사용자를 인입해야 한다면 업그레이드 전에 필터를 명시적으로 설정해두세요. NavItemBlueprint는 PageBlueprint의 title/icon 파라미터로, PolicyQueryUser의 token/expiresInSeconds는 credentials로 각각 마이그레이션해야 합니다.

  • enhancement대규모 조직은 Microsoft Graph 증분 인입 모듈로 전환 검토

    신규 msgraph-incremental 모듈은 사용자와 그룹을 한 페이지씩 처리하고 커서 상태를 저장합니다. 파드가 재시작되더라도 전체 재인입 없이 이전 지점부터 이어갈 수 있어, 수만 명 규모의 조직에서는 실질적인 운영 부담이 줄어듭니다. 기존 MicrosoftGraphOrgEntityProvider는 전체 데이터셋을 메모리에 올리는 방식이라 대규모 환경에서는 새 모듈로 전환하는 게 낫습니다.

주요 변경 (6)
  • 6개 브레이킹 체인지: NavItemBlueprint 제거, PortableSchema.schema 메서드 전용 변경, OIDC/CIMD/DCR 패턴 강화, PolicyQueryUser 정리, 카탈로그 페이지네이션 동작 변경, Microsoft Graph 비활성 사용자 기본 제외
  • 카탈로그 백엔드 쿼리 성능 대폭 개선 — PostgreSQL 인덱스 활용으로 페이지네이션 응답 시간이 수 초에서 수 밀리초 수준으로 단축; 대규모 설치 환경에서는 배포 전 SQL 마이그레이션 명령 선행 실행 권장
  • 새로운 AiResource 카탈로그 엔티티 종류 및 mcp-server API 서브타입 추가로 AI 워크로드 모델링 지원 확대
  • Microsoft Graph 증분 인입 모듈 신규 추가 — 커서 기반 메모리 효율적 인입, 파드 재시작 후 마지막 페이지부터 재개
  • 스캐폴더 폼 데코레이터 안정(public) API로 승격; always()·failure() 스텝 제어 함수 추가
  • TechDocs에 외부 폰트 다운로드 비활성화 옵션 추가(에어갭 환경 지원); 약 24.8일 이상 스케줄 태스크의 타이머 오버플로 버그 수정
원문

OpenTelemetry

Observability2026년 5월 19일

v0.152.1은 버그 수정이 중심인 릴리스로, snappy 압축 해제 보안 수정과 Prometheus 메트릭 이름 회귀 버그 수정이 실무적으로 가장 중요합니다.

  • securityconfighttp snappy 수정으로 압축 페이로드 메모리 노출 위험 해소

    `pkg/confighttp`에서 snappy 압축 해제 관련 버그 세 건이 수정됐습니다. 압축 해제 라이브러리의 패닉을 잡아 HTTP 400을 반환하고, `max_request_body_size`를 버퍼 할당 전에 체크하도록 바뀌었습니다. 특히 크기 제한을 버퍼 할당 전에 적용하는 변경은, 악의적으로 조작된 압축 페이로드로 메모리를 급격히 소비시키는 공격을 막습니다. 신뢰할 수 없는 출처에서 OTLP HTTP 압축 요청을 받는다면 즉시 업그레이드하세요.

  • breaking텔레메트리 host를 명시 설정했다면 Prometheus 메트릭 이름 변경 확인 필요

    텔레메트리 설정의 `host` 필드를 명시적으로 지정했던 경우, Prometheus 메트릭 이름이 이 릴리스 전후로 달라질 수 있습니다. 버그로 인해 `WithoutScopeInfo`, `WithoutUnits`, `WithoutTypeSuffix`가 기본값 `true` 대신 `false`로 동작했기 때문에, scope 레이블이나 suffix가 붙은 이름으로 메트릭이 노출됐을 가능성이 있습니다. 업그레이드 후 메트릭 이름이 다시 바뀔 수 있으니, 관련 대시보드와 알람 쿼리를 확인하세요.

  • enhancementexporter in-flight 메트릭을 대시보드에 추가하세요

    `pkg/exporterhelper`에 `otelcol_exporter_in_flight_requests` UpDownCounter 메트릭이 추가됐습니다. exporter별 동시 요청 수를 직접 볼 수 있어서, 워커 풀 포화 여부를 기존보다 훨씬 쉽게 파악할 수 있습니다. 업그레이드 후 대시보드에 추가해 두세요.

주요 변경 (7)
  • exporter당 동시 export 요청 수를 추적하는 `otelcol_exporter_in_flight_requests` 메트릭 신규 추가
  • `pkg/confighttp` snappy 압축 해제 버그 3건 수정: 패닉 복구(400 반환), body 정리, 할당 전 크기 제한 적용
  • `pcommon.Value.AsString`이 map·slice 값에서 `<`, `>`, `&`를 HTML 이스케이프하지 않도록 변경 — 이스케이프된 출력에 의존하는 코드가 있다면 확인 필요
  • 정상적인 클라이언트 연결 해제 시 발생하던 gRPC `connection reset by peer` 메시지가 더 이상 WARN 레벨로 출력되지 않음
  • 텔레메트리 host 명시 설정 시 Prometheus 기본값이 잘못 적용되던 버그 수정
  • 트레이스 프로세서가 없을 때 noop tracer provider 반환으로 불필요한 오버헤드 제거
  • API: `xconfmap.Validator` deprecated — `confmap.Validator`와 `confmap.Validate`로 마이그레이션 필요
원문

SPIRE

Security2026년 5월 19일

SPIRE v1.15.0은 HashiCorp Vault 키 관리자 플러그인, rootless Podman 지원, PROXY 프로토콜 속도 제한을 추가하고 sigstore 증명을 정식 기능으로 승격했습니다. CLI JSON 출력 변경 사항은 업그레이드 전 반드시 확인해야 합니다.

  • breaking업그레이드 전 CLI JSON 파싱 코드 전수 점검

    CLI가 JSON 출력 시 객체를 슬라이스로 감싸던 방식이 제거됐습니다. spire-server 또는 spire-agent CLI의 JSON 출력을 파싱하는 스크립트, 파이프라인, 자동화 도구는 배열 대신 단일 객체를 받게 되어 동작이 깨질 겁니다. 프로덕션 배포 전에 비운영 환경에서 반드시 검증하세요.

  • breaking'bootstrapped' 레이블 변경으로 메트릭 쿼리 점검 필요

    메트릭 레이블 오타('bootstraped' → 'bootstrapped')가 수정됐습니다. 기존 레이블명을 참조하는 Prometheus 쿼리, Grafana 대시보드, 알림 규칙이 있다면 업그레이드 후 조용히 매칭이 끊깁니다. v1.15.0 배포 전에 관련 항목을 모두 찾아 수정하세요.

  • enhancementVault 운영 중이라면 Vault Key Manager 플러그인으로 통합 검토

    조직에서 HashiCorp Vault를 이미 운영 중이라면, 별도의 AWS KMS나 Azure Key Vault 없이 키 저장소를 Vault로 통합할 수 있습니다. 온프레미스나 멀티클라우드 환경에서 특히 유용합니다. 다만 기존 키는 자동으로 마이그레이션되지 않으니 키 이관 계획을 별도로 수립한 뒤 전환하세요.

  • enhancementsigstore 증명 프로덕션 적용 시점 도래

    k8s 및 docker 어테스터의 sigstore 기반 증명이 정식 기능으로 승격됐습니다. 실험적 플래그 때문에 도입을 미뤄왔다면 이번 릴리스가 적기입니다. 스테이징 환경에서 셀렉터 동작을 먼저 검증한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • HashiCorp Vault Key Manager 플러그인 추가 — AWS KMS, Azure Key Vault 외 새로운 키 저장 옵션 확보
  • CLI JSON 출력 호환성 변경: 객체가 더 이상 슬라이스로 감싸지지 않아 기존 파싱 도구가 깨질 수 있음
  • k8s 및 docker 어테스터의 sigstore 지원이 실험적 단계를 벗어나 정식 기능으로 승격
  • Docker 워크로드 어테스터가 rootless Podman을 지원 — 비루트 컨테이너 런타임 환경 커버리지 확대
  • GCP IIT 노드 어테스터가 서비스 계정 이메일 조회 시 더 이상 'use_instance_metadata: true' 불필요
  • 메트릭 레이블 오타 수정: 'bootstraped' → 'bootstrapped' — 대시보드 및 알림 규칙 업데이트 필요
원문

Keycloak

Security2026년 5월 19일

Keycloak 26.6.2는 세션 고정 공격, XSS, 접근 제어 우회, 리다이렉트 URI 검증 우회, 암호화 취약점 등 16개 CVE를 수정한 보안 집중 패치입니다. 즉시 업그레이드해야 합니다.

  • security즉시 업그레이드 — 계정 탈취 및 개인정보 노출 CVE 다수 포함

    이번 릴리스는 표준 OIDC 플로우와 관리 API에 직접 영향을 주는 취약점들을 수정합니다. 세션 고정으로 인한 계정 탈취(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 위조된 클라이언트 데이터를 통한 토큰 노출(CVE-2026-7571), 계정 리소스 조회를 통한 개인정보 열거(CVE-2026-37981) 등이 포함됩니다. 이론적 위협이 아니라 실제 운영 환경에서 악용 가능한 수준입니다. 변경 관리 프로세스가 있더라도 긴급 패치로 처리해야 합니다.

  • securityFreeMarker RCE 취약점 — 업그레이드 전 커스텀 로그인 테마 점검 필수

    #47915 이슈로 추적된 취약점은 FreeMarker 템플릿에서 임의의 Java 객체를 인스턴스화하고 OS 명령을 실행할 수 있는 문제였습니다. 사용자 입력이 FTL 파일에 반영되는 커스텀 로그인 테마를 운영 중이라면 지금 바로 감사하세요. 수정 후에는 FTL 내 JS 블록에 새로운 이스케이프 처리가 적용되므로, 특히 frontchannel-logout.ftl을 포함한 커스텀 테마가 업그레이드 후에도 정상 동작하는지 반드시 테스트해야 합니다.

  • securityWebAuthn AAGUID 정책 우회 — 기존 등록 자격증명 재검토 필요

    CVE-2026-6856으로 인해 WebAuthn 등록 시 Packed Self-Attestation을 통해 AAGUID 허용 목록 정책을 우회할 수 있었습니다. 규제 환경에서 특정 FIDO2 보안 키만 허용하도록 AAGUID 제한을 설정한 경우, 정책에 위반되는 자격증명이 이미 등록되어 있을 가능성이 있습니다. 업그레이드 후 최근 등록된 WebAuthn 자격증명을 검토하고, 하드웨어 증명이 컴플라이언스 요구사항이라면 재등록을 요구하는 방안을 검토하세요.

주요 변경 (5)
  • 계정 탈취로 이어지는 OIDC 세션 고정(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 액세스 토큰 노출(CVE-2026-7571), 조직 템플릿 Stored XSS(CVE-2026-37980) 등 16개 CVE 패치
  • Packed Self-Attestation을 통한 WebAuthn AAGUID 정책 우회 수정 — 이전까지는 하드웨어 인증기 정책 집행이 불완전했음
  • OIDC 인트로스펙션 엔드포인트에 audience 제한 적용 — 경량 액세스 토큰의 클레임 누출 차단
  • FreeMarker 템플릿에서 Java 객체 인스턴스화 및 OS 명령 실행 가능했던 RCE급 취약점 수정
  • 26.7 스키마 변경 시에도 JDBC_PING이 깨지지 않도록 개선하여 롤링 업그레이드 안정성 향상
원문

hami

AI & ML2026년 5월 19일

v2.9.0은 HAMi-DRA(NVIDIA) 프로덕션 전환, Ascend HAMi-core 모드, VastAI 디바이스 지원을 추가하고 스케줄러 DoS 취약점을 패치합니다. Prometheus 메트릭 이름이 변경되어 업그레이드 전 대시보드 점검이 필요합니다.

  • security스케줄러 DoS 취약점 및 Go 보안 업그레이드 적용 필요

    이번 릴리즈에서 스케줄러 HTTP 라우트에 io.LimitReader를 추가해 DoS 공격 경로를 차단했고(이슈 #554), Go를 1.26.2로 업그레이드해 upstream 보안 패치도 반영했습니다. HAMi 스케줄러가 신뢰할 수 없는 네트워크에 노출된 환경이라면 빠르게 업그레이드하세요.

  • breakingPrometheus 메트릭 이름 변경 — 업그레이드 전 대시보드 점검 필수

    Prometheus 메트릭·레이블 이름이 best practices 기준으로 변경됐습니다. HAMi vGPU 메트릭 기반의 대시보드나 알림 규칙을 운영 중이라면, 업그레이드 전에 변경된 메트릭 이름을 반드시 확인하고 수정하세요. 업데이트된 dashboard.md를 참고하면 됩니다. Prometheus Operator를 쓴다면 새로 추가된 ServiceMonitor Helm 옵션도 함께 검토할 만합니다.

  • enhancementHAMi-DRA(NVIDIA) 프로덕션 준비 완료 — 도입 검토 시작

    HAMi-DRA(NVIDIA)가 이번 버전부터 프로덕션 사용 가능 상태로 전환됐습니다. Kubernetes 1.26 이상을 쓰면서 기존 device plugin 방식 외에 세밀한 GPU 리소스 관리가 필요하다면 지금이 DRA를 검토할 시점입니다. DRA는 스케줄러가 GPU 리소스를 인식하는 방식 자체를 바꾸므로, 프로덕션 적용 전에 별도 클러스터에서 먼저 검증하세요.

주요 변경 (6)
  • Ascend 디바이스용 HAMi-core 모드 추가 및 성능 최적화, 최신 벤치마크 공개
  • HAMi-DRA(NVIDIA) 프로덕션 사용 가능 전환; Volcano-vgpu-device-plugin v0.19 동기화로 CDI 지원 추가
  • 스케줄러 HTTP 라우트에 io.LimitReader 적용으로 DoS 방어; Go 1.26.2로 업그레이드
  • Prometheus 메트릭·레이블 이름 best practices 기준으로 변경 — 기존 대시보드 수정 필요
  • VastAI 디바이스 지원 추가; Ascend 910C SuperPod 모듈 페어 할당 지원; CDI 모드 MIG 버그 수정
  • 스케줄러 calcScore, leaderelection, ondelpod 등 여러 nil 포인터/패닉 버그 수정으로 안정성 개선
원문

hami

AI & ML2026년 5월 19일

hami v2.8.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

OpenCost

Observability2026년 5월 18일

v1.120.2는 보안 취약점 패치, 메모리 누수 수정, AWS CUR 2.0 지원, OVH 클라우드 프로바이더 추가, cosign 이미지 서명 등 실무적으로 중요한 변경이 많은 릴리즈입니다.

  • securityCVE-2026-34986 패치 — 즉시 업그레이드

    GHSA-xmrv-pmrh-hhx2와 CVE-2026-34986에 해당하는 Go 의존성 취약점이 수정됐습니다. v1.119.x 또는 이전 v1.120.x를 운영 중이라면 지금 바로 v1.120.2로 올리세요. 업그레이드 후 취약점 스캐너로 해당 패키지가 실제로 해소됐는지 확인하는 것을 잊지 마세요.

  • enhancementAdmission 파이프라인에 cosign 서명 검증 정책 추가

    OpenCost 이미지가 이제 cosign 키리스 서명과 SLSA 프로버넌스 증명을 포함합니다. Kyverno나 Connaisseur 같은 Admission Controller를 쓰고 있다면, opencost 이미지에 서명 검증 정책을 추가하세요. 규제 환경에서 OpenCost를 운영하는 팀이라면 공급망 보안 관점에서 놓치면 안 되는 변경입니다.

  • enhancementAWS CUR 2.0 전환 및 스팟 데이터 피드 설정 정리

    AWS 빌링을 이미 CUR 2.0으로 전환한 경우 OpenCost에서 직접 연동 가능합니다. 스팟 데이터 피드를 사용하지 않는다면 새로 추가된 비활성화 토글을 켜세요 — 불필요한 경고 로그와 설정 폴링을 없앨 수 있습니다. 스팟 워크로드가 많은 팀은 스팟 가격 API 캐싱 덕분에 AWS API 호출량도 줄어듭니다.

주요 변경 (5)
  • 취약한 Go 의존성 패치 (GHSA-xmrv-pmrh-hhx2, CVE-2026-34986) — 즉시 업그레이드 필요
  • AWS CUR 2.0 지원 추가, 스팟 데이터 피드 비활성화 토글 및 스팟 가격 API 캐싱 레이어 도입
  • 스크레이프 타겟 파싱의 메모리 누수 수정 및 CPU 카운터 오버플로우/리셋 보호 추가
  • cosign 키리스 서명과 SLSA 프로버넌스 증명으로 컨테이너 이미지 공급망 보안 강화
  • OVH 클라우드 프로바이더 추가, 어노테이션 기반 PV 가격 설정, Ki/Mi/Gi/Ti 단위 PV 용량 파싱 수정
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.30은 AI 트래픽용 실험적 agentgateway, 앰비언트 모드 CIDR 지원, TrafficExtension API를 도입하고, 디버그 엔드포인트 인증을 기본 활성화로 변경했습니다.

  • breaking디버그 엔드포인트 인증이 기본 활성화 — 업그레이드 전 도구 점검 필수

    ENABLE_DEBUG_ENDPOINT_AUTH=true가 기본값이 되면서 포트 15010의 syncz, config_dump 엔드포인트에 인증이 강제됩니다. 인증 없이 이 엔드포인트를 호출하는 내부 대시보드, 스크립트, 모니터링 도구는 업그레이드 후 즉시 오류가 납니다. 업그레이드 전에 포트 15010을 호출하는 모든 컴포넌트를 파악하고, 인증을 추가하거나 DEBUG_ENDPOINT_AUTH_ALLOWED_NAMESPACES로 허용 네임스페이스를 지정하세요.

  • breakingWasmPlugin에서 TrafficExtension API로 마이그레이션 계획 수립 시작

    TrafficExtension이 공식 확장 API로 지정됐고, 앞으로 신규 기능은 WasmPlugin이 아닌 TrafficExtension에만 추가됩니다. WasmPlugin이 즉시 제거되지는 않지만, 프로덕션에서 Wasm 확장을 운영 중이라면 1.31 전에 TrafficExtension으로 전환 테스트를 마쳐두는 것이 좋습니다.

  • enhancement앰비언트 모드에서 CIDR ServiceEntry로 외부 IP 라우팅 단순화

    기존에는 앰비언트 모드에서 ServiceEntry에 개별 IP를 일일이 나열해야 했습니다. CIDR 지원으로 서브넷 단위로 커버가 가능해졌으니, 동적 IP를 쓰는 외부 DB나 온프레미스 서비스의 엔드포인트 목록을 CIDR로 통합해 운영 부담을 줄이세요.

주요 변경 (5)
  • 실험적 agentgateway 도입: AI/MCP 트래픽 전용 Envoy 대체 데이터 플레인, PILOT_ENABLE_AGENTGATEWAY=true로 활성화
  • 포트 15010 디버그 엔드포인트(syncz, config_dump) 인증이 기본값으로 활성화됨 — 기존 도구 영향 주의
  • TrafficExtension API가 WasmPlugin을 대체하는 프록시 확장 메커니즘으로 지정됨
  • 앰비언트 모드에서 ServiceEntry CIDR 주소 지원, 웨이포인트 XFCC 합성, HBONE 윈도우 크기 조정 가능
  • 사이드카에서 앰비언트 모드로의 단계적·가역적 마이그레이션 가이드 공개
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.29.3은 AuthorizationPolicy 우회 취약점과 XDS 네임스페이스 간 설정 노출 문제 등 두 건의 보안 패치를 포함하며, 멀티클러스터 데드락과 AWS EKS 환경 문제도 수정했습니다.

  • security접미사 매칭 사용 중인 AuthorizationPolicy 즉시 점검 및 업그레이드 필요

    source.principals와 source.namespaces 필드에 포함된 점(.), 대괄호([) 등 정규식 메타문자가 Envoy SafeRegex에 이스케이핑 없이 삽입됐습니다. 예를 들어 'spiffe://cluster.local/ns/foo/sa/bar.admin'을 허용하는 정책이 'spiffe://cluster.local/ns/foo/sa/barXadmin' 같은 의도치 않은 identity까지 허용할 수 있었습니다. 와일드카드(*) 접두사를 사용하는 principals 규칙을 모두 점검하고, 1.29.3으로 즉시 업그레이드하세요.

  • securityXDS 디버그 엔드포인트 접근 이력 감사 필요

    StatusGen이 서빙하는 /debug/syncz와 /debug/config_dump 엔드포인트에 네임스페이스 경계 검증이 없었습니다. 네임스페이스 A의 워크로드가 네임스페이스 B의 Envoy 설정 전체를 열람할 수 있었던 셈입니다. 멀티테넌트 클러스터를 운영 중이라면 API 서버 감사 로그에서 해당 엔드포인트 접근 이력을 확인하고, 1.29.3으로 즉시 업그레이드하세요.

  • breaking멀티클러스터 운영 시 업그레이드 후 클러스터 연결/해제 동작 검증 필요

    멀티클러스터 시크릿 컨트롤러에서 원격 클러스터 업데이트 중 발생하던 데드락이 수정됐습니다. 기존에 컨트롤 플레인이 멀티클러스터 환경에서 간헐적으로 멈추는 증상을 겪었다면 이 수정으로 해결됩니다. 업그레이드 후 클러스터 조인/이탈 워크플로우를 스테이징 환경에서 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

주요 변경 (5)
  • 보안 수정: source.principals(접미사 매칭) 및 source.namespaces의 정규식 메타문자 미이스케이핑으로 인한 AuthorizationPolicy 우회 취약점 패치
  • 보안 수정: XDS 디버그 엔드포인트(/debug/syncz, /debug/config_dump)에 동일 네임스페이스 권한 검증 추가 — 기존에는 모든 인증된 워크로드가 타 네임스페이스 설정 덤프를 조회 가능했음
  • 멀티클러스터 시크릿 컨트롤러의 원격 클러스터 업데이트 중 데드락 수정
  • 리프 인증서의 NotAfter 시간이 서명 CA 만료 시간을 초과할 수 있던 문제 수정
  • AWS EKS 환경에서 Security Groups for Pods(branch ENI) 사용 시 kubelet 헬스 프로브 실패 문제 수정
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.28.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Litmus

Observability2026년 5월 18일

Litmus 3.29.0은 gRPC CVE 패치, 동시 조정(concurrent reconcile) 환경에서의 중복 실험 트리거 버그 수정, Prometheus 메트릭 지원 추가를 담고 있습니다.

  • securityCVE-2026-33186 패치 — 즉시 3.29.0으로 업그레이드

    gRPC 라이브러리가 CVE-2026-33186 취약점 수정을 위해 v1.79.3으로 올라갔습니다. 3.29.0 미만 버전을 운영 중이라면 컨트롤 플레인이 취약한 상태입니다. 다음 스프린트로 미룰 문제가 아니니 즉시 업그레이드하세요.

  • breaking업그레이드 후 event-tracker 트리거 동작 검증 필요

    동시 reconcile 환경에서의 중복 실험 트리거 수정은 event-tracker의 레이스 컨디션 처리 방식을 바꿉니다. 자동화 카오스 주입에 event-tracker를 사용 중이라면, 업그레이드 후 파이프라인을 테스트해 트리거 횟수가 의도한 대로인지 확인하세요. 기존에 중복 실행이 실험 커버리지 공백을 가리고 있었을 수도 있습니다.

  • enhancementPrometheus 메트릭을 기존 대시보드에 연동하세요

    ChaosCenter가 이제 Prometheus 메트릭을 네이티브로 노출합니다. 시작 가이드와 유닛 테스트가 함께 제공되어 연동이 어렵지 않습니다. Litmus를 스크랩 타겟으로 추가하고, 실험 성공/실패율, 실행 시간, 인프라 연결 상태 등을 추적하면 카오스 워크플로우의 오랜 관측 가능성 공백을 메울 수 있습니다.

주요 변경 (5)
  • 보안: CVE-2026-33186 대응을 위해 gRPC v1.79.3으로 업그레이드
  • 버그 수정: event-tracker의 동시 reconcile 환경에서 카오스 실험이 중복 실행되던 문제 해결
  • 신규 기능: ChaosCenter에 Prometheus 메트릭 추가(유닛 테스트 및 시작 가이드 포함)
  • 버그 수정: 인프라 연결이 끊긴 상태에서도 실험 중지 가능
  • 버그 수정: CronWorkflow 실행 이력 페이지가 공백으로 표시되던 UI 문제 해결
원문

Kyverno

Security2026년 5월 18일

Kyverno v1.18.1은 v1.18.0에서 발생한 generate 정책 및 mutate-existing 정책의 회귀 버그 두 건을 수정한 패치 릴리스입니다.

  • breaking클러스터 범위 리소스 generate 정책 사용 중이라면 즉시 업그레이드 필요

    v1.18.0에서 ClusterRole, Namespace, CRD 등 클러스터 범위 리소스를 대상으로 한 GeneratingPolicy가 조용히 동작하지 않았습니다. v1.18.1로 업그레이드한 뒤, v1.18.0 운영 기간 동안 생성되었어야 할 리소스가 실제로 존재하는지 확인하고, 누락된 리소스는 수동 생성이나 정책 재트리거로 보정하세요.

  • breakingv1.18.0에서 mutate-existing 정책이 잘못 적용되었을 가능성 있음

    UpdateRequest에 AdmissionRequest 컨텍스트가 전달되지 않아, 요청 정보(사용자 정보, object, oldObject)를 조건이나 패치에 활용하는 규칙이 의도와 다르게 동작했습니다. v1.18.1로 업그레이드한 후 v1.18.0 운영 중 변경된 리소스 상태를 감사하고, 영향받은 리소스를 올바른 상태로 되돌렸는지 검증하세요.

  • enhancementgenerate 또는 mutate-existing 정책 사용자라면 v1.18.0은 건너뛰세요

    두 수정 모두 main 브랜치에서 체리픽된 것으로, 해당 기능을 쓴다면 v1.18.0은 사실상 결함 버전입니다. v1.17.x에서 업그레이드를 검토 중이라면 v1.18.0 대신 v1.18.1부터 테스트를 시작하세요.

주요 변경 (3)
  • GeneratingPolicy에서 클러스터 범위 리소스 생성이 동작하지 않던 버그 수정
  • mutate-existing 정책의 UpdateRequest에 AdmissionRequest가 전달되지 않던 버그 수정
  • 신규 기능 및 API 변경 없음 — 버그 수정만 포함
원문

The Update Framework (TUF)

Security2026년 5월 18일

v7.0.0은 Windows 위임 경로 매칭 보안 취약점(GHSA-qp9x-wp8f-qgjj)을 수정하고, ngclient의 Updater() 생성자 시그니처를 변경한 메이저 릴리스입니다.

  • securityWindows 환경이라면 즉시 v7.0.0으로 업그레이드하세요

    GHSA-qp9x-wp8f-qgjj는 Windows에서 위임 경로 매칭이 의도와 다르게 동작해, 신뢰해서는 안 될 타겟이 검증을 통과할 수 있는 취약점입니다. Windows 클라이언트가 하나라도 있다면 즉시 패치해야 합니다. Linux/macOS는 직접적인 영향은 없지만, 어차피 업그레이드 필요성은 동일합니다.

  • breakingUpdater() 호출 코드 전수 점검 필요

    'bootstrap'이 선택적 인자에서 명시적 키워드 인자로 바뀌었습니다. 기존에 bootstrap을 생략하고 Updater()를 호출하던 코드는 즉시 TypeError가 발생합니다. 코드베이스 전체에서 Updater() 호출 부분을 찾아 bootstrap=None을 추가하는 것으로 간단히 해결됩니다. 호출 지점마다 한 줄 수정이지만, 빠뜨리면 런타임 오류로 직결됩니다.

  • enhancementsecuresystemslib.hash 의존성 제거 예고에 미리 대비하세요

    이번 릴리스는 securesystemslib.hash 제거의 시작점입니다. 커스텀 TUF 확장이나 내부 코드에서 securesystemslib.hash를 직접 import하거나 사용하고 있다면, 차기 릴리스에서 완전히 제거되기 전에 마이그레이션 계획을 세워두는 것이 좋습니다.

주요 변경 (5)
  • Windows에서 위임 경로 매칭이 잘못 동작하던 보안 취약점(GHSA-qp9x-wp8f-qgjj) 수정
  • Updater() 생성자에서 'bootstrap'이 이제 명시적 키워드 인자로 필수화됨
  • 기존 동작을 유지하려면 bootstrap=None을 명시적으로 전달해야 함
  • 향후 securesystemslib.hash 의존성 제거를 위한 사전 준비 작업 포함
  • 문서 오류 다수 수정
원문

Buildpacks

CI/CD & App Delivery2026년 5월 16일

pack v0.40.6은 'builder inspect'의 신뢰 감지 버그를 수정하고 heroku/builder:26을 기본 신뢰 빌더 목록에 추가한 소규모 패치 릴리스입니다.

  • breaking신뢰 감지 버그 우회 코드 제거 필요

    'builder inspect'가 신뢰된 빌더를 untrusted로 잘못 표시하던 문제 때문에 CI 스크립트에 '--trust-builder' 플래그나 별도 우회 로직을 추가했다면, v0.40.6으로 업그레이드 후 해당 코드를 제거하세요. 불필요한 신뢰 override는 보안 관점에서도 정리하는 게 맞습니다.

  • enhancementheroku/builder:26 신뢰 설정 별도 구성 불필요

    Heroku 스택 26을 사용하는 팀은 더 이상 빌더를 수동으로 신뢰 처리할 필요가 없습니다. v0.40.6으로 업그레이드하고 설정 파일이나 파이프라인에 남아 있는 heroku/builder:26 관련 명시적 신뢰 설정을 정리하세요.

주요 변경 (3)
  • 'builder inspect'에서 신뢰된 빌더를 untrusted로 잘못 표시하던 버그 수정
  • heroku/builder:26을 기본 신뢰 빌더 목록에 추가
  • 이 릴리스로 생성된 빌더에 lifecycle v0.21.0 기본 탑재
원문

Dapr

Orchestration & Management2026년 5월 15일

Dapr v1.17.7은 워크플로우 안정성, 메시징 정확성, 컨트롤 플레인 복원력을 겨냥한 집중적인 버그 수정 릴리스입니다. 워크플로우, Kafka, RabbitMQ를 운영 중이라면 즉시 업그레이드를 권장합니다.

  • security1.18에서 다운그레이드했거나 Ed25519/RSA 키를 사용 중이라면 Sentry를 즉시 업그레이드하세요

    dapr/kit의 타입 스위치 버그로 인해 Ed25519 및 RSA 발급자 키가 있을 때 Sentry가 'unsupported key type'으로 시작에 실패하고 크래시 루프에 빠집니다. Sentry가 크래시 루프 상태이면 mTLS 인증서 발급과 갱신이 모두 중단됩니다. 만료되지 않은 인증서를 가진 사이드카는 계속 동작하지만, 파드 재시작이나 인증서 만료 시 조용히 인증이 실패합니다. 트러스트 번들을 마이그레이션할 필요 없이 1.17.7로 업그레이드하는 것만으로 해결됩니다.

  • breaking스케줄러 etcd 컴팩션 모드 변경 — PVC 용량 점검 필수

    내장 etcd의 컴팩션 방식이 주기(10분) 기반에서 리비전(100만) 기반으로 바뀌고, 기본 스토리지 크기가 1Gi에서 16Gi로 늘어납니다. Kubernetes StatefulSet의 volumeClaimTemplates는 불변이라 기존 1Gi PVC는 자동으로 조정되지 않습니다. 워크플로우를 실제로 운영 중이라면 업그레이드 전에 현재 PVC 사용률을 확인하고, 용량이 부족하다면 클러스터에서 직접 PVC를 먼저 확장해야 합니다. Helm 차트는 기존 PVC 크기를 덮어쓰지 않도록 lookup 헬퍼를 사용하지만, 자동 확장은 하지 않습니다.

  • enhancement업그레이드 전 워크플로우 페이로드 크기 비율 대시보드를 미리 구성하세요

    새로 추가된 dapr_runtime_workflow_payload_size_ratio와 dapr_runtime_workflow_activity_payload_size_ratio 메트릭은 페이로드 크기를 --max-body-size 대비 비율로 표현합니다. 업그레이드 후 histogram_quantile(0.99, ...) > 0.9 조건으로 Prometheus 알림을 설정해두면, 워크플로우가 0.95 임계치에 걸려 Stall 상태가 되기 전에 미리 감지할 수 있습니다. 페이로드가 크거나 히스토리가 긴 워크플로우를 운영 중이라면 특히 유용합니다. --max-body-size가 명시적으로 설정된 경우에만 메트릭이 기록된다는 점도 참고하세요.

주요 변경 (7)
  • 워크플로우 상태 저장에 낙관적 동시성(ETag) 도입 — Placement 리밸런싱 중 히스토리 무결성 보장
  • Ed25519/RSA 발급자 키 사용 시 Sentry 크래시 루프 수정 — 1.18에서 다운그레이드했거나 키를 교체한 환경에서 치명적
  • Kafka 정상 종료 시 인플라이트 메시지를 드레인한 후 컨슈머 세션을 닫아 중복 처리 제거
  • RabbitMQ 구독 재시작 시 동일 연결의 형제 구독이 함께 종료되던 연쇄 장애 수정
  • 스케줄러 내장 etcd 기본값을 워크플로우 부하 패턴에 맞게 재조정 — 컴팩션 방식이 주기 기반에서 리비전 기반으로 변경, 신규 설치 기본 스토리지 16Gi로 증가
  • WatchHosts 스트림 재연결 중 스케줄러가 일시적으로 불가용할 때 daprd가 스스로 종료되던 문제 수정
  • 워크플로우 페이로드 크기 비율 메트릭 2개 추가 — Stall 발생 전 사전 용량 계획 가능
원문

Linkerd

Networking & Messaging2026년 5월 15일

네이티브 사이드카가 GA로 승격되어 기본 활성화됐고, Server 리소스가 다른 네임스페이스 워크로드에 영향을 줄 수 없도록 보안 수정이 적용됐습니다.

  • securityServer 네임스페이스 격리 수정 — 크로스 네임스페이스 Server 리소스 즉시 점검

    Server 리소스가 자신이 속한 네임스페이스 외부 워크로드에 더 이상 영향을 줄 수 없도록 수정됐습니다. 의도적이든 실수든 크로스 네임스페이스로 작동하던 Server 정책이 있다면, 업그레이드 후 조용히 적용이 중단됩니다. 전체 네임스페이스의 Server 리소스를 점검하고 인가 정책이 여전히 의도대로 동작하는지 확인하세요.

  • breaking네이티브 사이드카 기본 활성화 — 업그레이드 전 클러스터 점검 필수

    Kubernetes init 컨테이너(restartPolicy: Always)를 사용하는 네이티브 사이드카 지원이 GA로 승격되면서 기본 활성화됐습니다. 클러스터가 Kubernetes 1.29 미만이라면 인젝션이 깨집니다. 지원되는 버전이더라도 admission webhook, 파드 라이프사이클 가정 등 워크로드 호환성을 사전에 확인하세요. 프로덕션 적용 전 스테이징에서 반드시 검증하고, 이전 동작이 필요하다면 install/upgrade 시 피처 플래그를 명시적으로 비활성화해야 합니다.

  • enhancementlinkerd-proxy PodMonitor에서 honorTimestamps 설정 가능

    Prometheus Operator를 사용 중이고 Linkerd 프록시 메트릭에서 타임스탬프 불일치(오래된 샘플, 순서 역전 등)가 발생했다면, 이제 Helm 차트에서 PodMonitor의 honorTimestamps를 직접 설정할 수 있습니다. 메트릭 수집 파이프라인에 민감한 팀이라면 다음 Helm 업그레이드 시 기본값에 맡기지 말고 명시적으로 지정하세요.

주요 변경 (6)
  • 네이티브 사이드카 인젝션 GA 승격 및 기본 활성화 — 별도 피처 게이트 불필요
  • 보안 수정: Server 리소스가 타 네임스페이스 워크로드에 영향을 줄 수 없도록 제한
  • 멀티클러스터 환경의 게이트웨이 liveness 동기화 개선
  • rustls 0.23.40, openssl, aws-lc-rs 업데이트로 암호화 스택 갱신
  • 프록시 v2.352.0, Go 툴체인 1.25.10, Helm 3.21.0으로 업그레이드
  • linkerd-proxy PodMonitor의 honorTimestamps 설정 가능해짐
원문

Buildpacks

CI/CD & App Delivery2026년 5월 15일

Buildpacks v0.40.5이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Helm

Kubernetes Core2026년 5월 14일

Helm v3.21.0은 Kubernetes 클라이언트 라이브러리를 v1.36으로 올리고, OpenTelemetry CVE를 패치하며, OCI 인덱스 차트 풀 버그를 수정합니다. v3 EOL이 가까워지고 있습니다.

  • securityOpenTelemetry CVE 패치를 위해 즉시 업그레이드

    이번 릴리스에서 OpenTelemetry 패키지의 CVE를 직접 수정했습니다. CI/CD 파이프라인이나 자동화 툴링에서 Helm을 사용 중이라면 다음 패치 릴리스를 기다리지 말고 지금 바로 v3.21.0으로 올리세요.

  • breakingHelm v4 마이그레이션 계획을 지금 시작해야 합니다

    릴리스 노트에 Helm v3 EOL이 명시적으로 경고됩니다. v3.22.0이 Kubernetes v1.37을 타깃으로 하는 마지막 주요 피처 릴리스가 될 수 있습니다. 커스텀 플러그인이나 Helm CLI, Go SDK를 기반으로 한 자동화 코드가 있다면 지금부터 v4 변경 사항을 검토하세요.

  • enhancement멀티아키텍처 레지스트리 환경에서 OCI 인덱스 차트 풀 재검토

    OCI 이미지 인덱스 매니페스트에서 차트를 풀하는 버그가 수정됐습니다. 멀티아키텍처 환경에서 이 문제를 회피하기 위해 다이제스트 직접 참조나 특정 매니페스트 태그를 써왔다면, 해당 워크어라운드가 더 이상 필요하지 않을 수 있으니 검토해 보세요.

주요 변경 (5)
  • Kubernetes 클라이언트 라이브러리 v1.36으로 업그레이드
  • OpenTelemetry 패키지 CVE 보안 패치 적용
  • OCI 이미지 인덱스에서 차트 풀링 버그 수정
  • 차트 dot-name 경로 버그 수정
  • 차트 기본값이 빈 맵일 때 nil 값이 올바르게 유지되도록 수정
원문

Helm

Kubernetes Core2026년 5월 14일

Helm v4.2.0은 Kubernetes 1.36 클라이언트 지원, mustToToml 템플릿 함수 추가, generateName 리소스에 대한 dry-run 서버 모드 수정, 그리고 post-renderer YAML 파싱 버그 수정을 포함합니다.

  • breakingCI 스크립트에서 deprecated 플래그 제거

    --hide-notes와 --render-subchart-notes가 deprecated됐고 향후 릴리스에서 제거될 가능성이 높습니다. helm install, upgrade, template 명령을 쓰는 CI 파이프라인과 스크립트를 지금 점검해서 해당 플래그를 미리 제거해두세요. 나중에 강제로 마이그레이션하는 상황을 피할 수 있습니다.

  • enhancementTOML 템플릿에서 mustToToml로 전환

    mustToToml은 mustToJson과 동일하게 동작합니다. TOML 직렬화에 실패할 경우 빈 출력이나 잘못된 결과를 내놓는 대신 명시적 에러를 반환합니다. 차트 템플릿에서 toToml을 쓰고 있다면 mustToToml로 교체해 렌더링 실패를 즉시 감지할 수 있도록 하세요.

  • enhancementgenerateName 리소스에 대한 서버 사이드 dry-run 재검증

    이전에는 --dry-run=server가 name 대신 generateName을 사용하는 리소스를 건너뛰어서 검증이 된 것처럼 보였습니다. 이제 수정됐으므로, generateName을 사용하는 차트에 대해 서버 사이드 dry-run을 다시 실행해보세요. 기존에 조용히 무시되던 검증 오류가 드러날 수 있습니다.

주요 변경 (5)
  • Kubernetes 클라이언트 라이브러리를 v1.36으로 업그레이드
  • 에러 안전 방식의 mustToToml 템플릿 함수 추가
  • --dry-run=server가 generateName 리소스를 제대로 처리하도록 수정
  • --hide-notes, --render-subchart-notes 플래그 deprecated 처리
  • post-renderer에서 YAML 구분자 처리, 줄 끝 문자 보존, 훅 충돌 문제 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.19.4는 크래시 방지, IPsec 안정성, Cluster Mesh 정확성 등 20개 이상의 버그를 수정한 안정성 중심 패치 릴리스입니다.

  • securitymoby/spdystream 보안 픽스 포함 — 즉시 업그레이드 권장

    github.com/moby/spdystream가 v0.5.1로 보안 업데이트됐습니다. 이 의존성은 Kubernetes API 통신 경로에서 사용됩니다. 릴리스 노트에 CVE 번호는 명시되지 않았지만, v1.19.3을 유지하면 노출이 지속됩니다. 업그레이드를 서두르세요.

  • breaking수동 관리 EndpointSlice에 service-proxy-name 레이블 추가 필수

    --k8s-service-proxy-name을 설정하고 EndpointSlice를 직접 관리하는 경우, 업그레이드 후 service.kubernetes.io/service-proxy-name 레이블이 없는 슬라이스는 Cilium 감시 대상에서 완전히 제외됩니다. 트래픽 단절로 이어지므로 업그레이드 전에 반드시 수동 관리 슬라이스를 점검하고 누락된 레이블을 추가하세요.

  • enhancementIPsec, WireGuard, Cluster Mesh 사용 환경은 이번 패치 우선 적용

    이번 릴리스에 데이터 플레인 안정성 핵심 수정 세 가지가 포함됩니다. IPsec 키 교체 중 롤링 재시작 시 패킷 드롭, MTU 제약 환경에서 IPv6 + WireGuard 무음 패킷 손실, 다중 포트 서비스에서 Cluster Mesh 백엔드 누락이 모두 해소됩니다. 이 기능 중 하나라도 사용 중이라면 이번 패치를 업그레이드 우선순위 1순위로 올리세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 에이전트가 Fatal 대신 재시도하도록 수정
  • IPsec 롤링 재시작 + 키 교체 시 패킷 드롭 수정: XFRM 상태 준비 완료 후 SPI 광고 지연 처리
  • IPv6 활성화 시 WireGuard MTU를 최솟값(1280)으로 고정해 터널+암호화 환경의 무음 패킷 손실 방지
  • EndpointSlice 감시가 서비스 프록시 이름 레이블 기준으로 필터링됨 — 수동 관리 슬라이스에 레이블 추가 필요
  • 여러 서비스 포트가 동일 대상 포트를 공유할 때 Cluster Mesh 글로벌 서비스 백엔드 누락 문제 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

v1.17.16은 CiliumLocalRedirectPolicy의 네임스페이스 간 트래픽 하이재킹 취약점, IPsec 에이전트 패닉, 스태틱 파드 ID 해석 오류를 수정한 패치 릴리스입니다.

  • security업그레이드 전 LRP addressMatcher 설정 점검 필수

    이번 LRP addressMatcher 변경은 실제 공격 경로를 막은 것입니다. 기존에는 한 네임스페이스의 정책이 다른 네임스페이스의 Service 프론트엔드를 덮어쓰고 트래픽을 가로챌 수 있었습니다. 업그레이드 후에는 기존 Service 프론트엔드와 겹치는 addressMatcher를 가진 LRP가 조용히 동작을 멈춥니다 — 트래픽 리다이렉션이 예상대로 작동하지 않을 수 있습니다. 업그레이드 전에 모든 CiliumLocalRedirectPolicy 오브젝트의 addressMatcher 항목이 기존 Service와 충돌하는지 확인하세요. 기존 동작이 꼭 필요하다면 --enable-lrp-address-matcher-override=true 플래그를 사용할 수 있지만, 이는 임시 방편으로만 쓰고 정책을 재설계하는 것이 맞습니다.

  • securityIPsec 사용 중이라면 즉시 업그레이드 — 에이전트 크래시 위험

    parseSPI 패닉 취약점은 잘못된 형식의 IPsec 패킷 하나로 Cilium 에이전트를 크래시시킬 수 있어, 해당 노드의 네트워킹 전체가 다운될 수 있습니다. IPsec 투명 암호화를 사용하는 클러스터라면 단순한 서비스 거부(DoS) 위험이 됩니다. 복잡한 공격 기법이 필요 없기 때문에 IPsec 환경이라면 v1.17.16으로 빠르게 업그레이드하세요.

  • breakingLRP addressMatcher 동작 변경 — 하위 호환성 없음

    단순한 버그 수정이 아닌 동작 방식 자체가 바뀐 변경입니다. Service ClusterIP나 외부 IP와 겹치는 addressMatcher를 사용하는 LRP는 이전에는 동작했더라도 이제는 거부되거나 무시됩니다. 운영 환경에 적용하기 전에 반드시 비운영 환경에서 LRP 설정을 검증하세요. --enable-lrp-address-matcher-override=true 플래그로 이전 동작을 되살릴 수는 있지만, 그것은 취약점이 있는 동작을 다시 허용하는 셈임을 명심하세요.

주요 변경 (5)
  • CiliumLocalRedirectPolicy addressMatcher가 기존 Service 프론트엔드 덮어쓰기를 차단 — 네임스페이스 간 트래픽 하이재킹 및 서비스 맵 손상 방지, 기존 동작은 별도 플래그로 복원 가능
  • IPsec: 잘못된 형식의 SPI 입력 처리 시 parseSPI에서 발생하던 패닉 수정 — 에이전트 크래시 위험 제거
  • CNI 파드 UID가 쿠버네티스 미러 파드 UID와 다른 스태틱 파드의 엔드포인트 ID 해석 오류 수정
  • CiliumNode 동기화 관련 클러스터 풀 IPAM 메트릭이 쿠버네티스에 제대로 등록되지 않던 문제 수정
  • 보안 의존성 업데이트: moby/spdystream v0.5.1로 업그레이드 (보안 패치)
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.18.10은 에이전트 크래시, IPsec 패닉, Cluster Mesh 백엔드 누락, IPAM 데이터 레이스를 수정한 안정성 패치 릴리스입니다.

  • securitymoby/spdystream 및 x/net 보안 업데이트 포함

    github.com/moby/spdystream 보안 수정과 x/net v0.53 업그레이드가 함께 포함됐습니다. 두 패키지 모두 네트워크 계층 의존성입니다. 전이적 의존성 CVE까지 추적하는 정책을 운영 중이라면 이번 패치만으로도 업그레이드 이유는 충분합니다.

  • breakingIPsec 패닉 위험 해소를 위한 암호화 클러스터 즉시 업그레이드

    잘못된 형식의 IPsec 입력이 들어올 경우 parseSPI에서 패닉이 발생해 에이전트 프로세스 전체가 중단될 수 있습니다. IPsec 암호화를 사용 중이라면 우선순위 업그레이드 대상으로 분류하세요. 잘못된 패킷 하나나 설정이 맞지 않는 피어 노드만으로도 에이전트가 죽을 수 있습니다.

  • enhancement타겟 포트 공유 서비스를 쓰는 Cluster Mesh 환경은 반드시 업그레이드

    여러 포트가 같은 타겟 포트를 가리키는 서비스에서 글로벌 백엔드가 조용히 누락되는 버그가 있었습니다. 단일 클러스터 내에서는 정상 동작하지만 크로스 클러스터 라우팅이 실패하는 증상이 나타납니다. 업그레이드 후 hubble observe나 서비스 엔드포인트 점검으로 영향받은 서비스를 직접 확인하세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 Fatal 종료 대신 재시도하도록 수정
  • 잘못된 SPI 입력으로 인한 IPsec 패닉 수정 — 암호화 클러스터의 노드 중단 방지
  • 여러 서비스 포트가 동일한 타겟 포트를 가리킬 때 Cluster Mesh 글로벌 서비스 백엔드가 누락되던 문제 수정
  • CiliumLocalRedirectPolicy가 백엔드 파드 준비 전에 기존 서비스 프런트엔드를 덮어쓰던 문제 수정
  • MultiPoolManager IPAM 데이터 레이스 해결 및 보안 패치 포함한 x/net v0.53 업그레이드
원문

Jaeger

Observability2026년 5월 13일

Jaeger v2.18.0은 OTEL 메트릭 구조 변경과 min-step API 제거라는 두 가지 브레이킹 체인지와 함께, ES/OpenSearch 헤더 포워딩, UI 상태 관리의 Redux→Zustand 전환 등 굵직한 변화를 담고 있습니다.

  • breaking업그레이드 전 메트릭 대시보드 전수 점검

    OTEL 컬렉터 패키지 업그레이드로 Jaeger 내부 메트릭 이름과 구조가 바뀌었습니다. Grafana 대시보드, Prometheus 알림 규칙, 모니터링 쿼리를 모두 검토해야 합니다. 가능하면 구버전과 신버전을 병행 실행하며 메트릭 차이를 먼저 확인하세요. min_step 제거는 영향 범위가 좁지만, metricstore API를 직접 호출하는 커스텀 도구가 있다면 반드시 코드 수정 후 업그레이드해야 합니다.

  • enhancement커스텀 헤더 인증을 쓴다면 헤더 포워딩 기능 즉시 활용 가능

    ES/OpenSearch 클러스터에 JWT나 IAM 프록시 헤더 같은 커스텀 인증 헤더가 필요한 환경이라면, 이번에 추가된 헤더 포워딩 기능이 기존 workaround를 대체할 수 있습니다. 멀티 테넌트 환경에서 요청 헤더로 스토리지 라우팅을 제어하는 구성에도 그대로 적용됩니다. jaeger-query 또는 gRPC 스토리지 플러그인 설정에서 구성하면 됩니다.

  • enhancementClickHouse 단일 스토리지로 트레이스와 SPM을 함께 쓸 수 있는 시점 임박

    ClickHouse SPM이 이번 릴리스에서 호출률, 오류율, 지연시간을 모두 지원하게 됐고 TTL도 추가됐습니다. 아직 실험적 단계라 프로덕션 투입은 이르지만, ClickHouse를 이미 운영 중이거나 Prometheus 없이 SPM을 쓰고 싶다면 지금 스테이징 환경에서 테스트를 시작하기 좋은 타이밍입니다.

주요 변경 (6)
  • 브레이킹: OTEL 컬렉터 패키지 업그레이드로 메트릭 이름과 구조 변경 — 기존 대시보드와 알림 규칙 검토 필수
  • 브레이킹: metricstore에서 min_step API 제거 — 해당 엔드포인트를 직접 호출하는 도구는 수정 필요
  • 신규: UI가 브라우저 URL에서 베이스 경로를 자동 감지 — 리버스 프록시 환경에서 수동 설정 불필요
  • 신규: ES/OpenSearch 및 gRPC 스토리지 백엔드로 커스텀 헤더 포워딩 가능 — 인증 토큰 전달에 유용
  • 실험적: ClickHouse SPM이 호출률, 오류율, 지연시간 및 TTL 지원까지 갖추며 빠르게 성숙 중
  • UI 브레이킹: 구형 브라우저 지원 중단 — IE 및 매우 오래된 Chromium/Firefox 사용자는 영향 받음
원문

Argo

CI/CD & App Delivery2026년 5월 13일

v3.2.12는 UI 로그 줄 넘침 버그, lint 중첩 문제, URL 유효성 검사 함수 노출 등 소규모 버그를 수정한 패치 릴리스입니다.

  • enhancement로그 뷰어 줄 바꿈 버그 영향받는다면 즉시 적용

    Argo CD 로그 뷰어에서 줄 바꿈 토글을 켰을 때 로그가 컨테이너 영역을 벗어나는 UX 버그가 있었습니다. 이번 패치로 깔끔하게 수정됐으니, 해당 기능을 자주 쓰는 팀이라면 다음 배포 때 바로 반영하면 됩니다. 별도 설정 변경은 필요 없습니다.

  • enhancement다음 정기 유지보수 창에 일반 패치로 적용 권장

    Breaking Change나 CVE는 없습니다. spdystream 의존성 업데이트도 경미한 수준입니다. 긴급성은 낮지만, 향후 마이너 버전 업그레이드 전 3.2.x를 최신 상태로 유지하는 것이 좋습니다.

주요 변경 (5)
  • 줄 바꿈 토글 활성화 시 로그 줄이 컨테이너를 벗어나던 UI 버그 수정 (#27586)
  • URL 유효성 검사 함수를 외부에서 사용할 수 있도록 export 처리 (#27816)
  • lint 로직의 불필요한 중첩 구조 수정 (#27815)
  • github.com/moby/spdystream 0.5.0 → 0.5.1 의존성 업데이트
  • 모든 컨테이너 이미지 cosign 서명 및 SLSA Level 3 프로버넌스 유지
원문

Argo

CI/CD & App Delivery2026년 5월 12일

Argo CD v3.3.10은 권한 검증 시 nil 패닉, 로그 UI 오버플로우 버그를 수정하고 CVE 해소를 위해 Go를 1.25.9로 올린 패치 릴리스입니다.

  • securityGo 1.25.9 CVE 수정 — 즉시 업그레이드 권장

    Go 런타임을 1.25.9로 올린 이유가 CVE 해소입니다. 릴리스 노트에 CVE ID가 명시되지 않았지만, 안정 브랜치에서 보안 목적으로 런타임을 교체했다면 다음 정기 점검까지 미룰 이유가 없습니다. 3.3.x를 운영 중이라면 지금 바로 3.3.10으로 업그레이드하세요.

  • breaking서버사이드 diff의 시크릿 마스킹 동작 변경 — 자동화 파이프라인 점검 필요

    서버사이드 diff 결과에 HideSecretData가 이제 정상 적용됩니다. 기존에는 diff 출력에 시크릿 값이 그대로 노출되었을 수 있는데, 업그레이드 후에는 마스킹 처리됩니다. diff 출력을 파싱하는 자동화 스크립트나 감사 도구가 있다면 업그레이드 전에 반드시 확인하세요.

  • enhancementnil APIResource 패닉 수정 — 컨트롤러 비정상 재시작 해소

    일부 커스텀 또는 비표준 API 그룹을 사용하는 환경에서 ArgoCD 컨트롤러가 이유 없이 재시작되는 현상이 있었다면, 이번 패닉 수정이 원인이었을 가능성이 높습니다. 3.3.10으로 올리면 해당 환경의 안정성이 개선됩니다.

주요 변경 (5)
  • Go 런타임을 1.25.9로 업그레이드해 3.3 브랜치의 CVE 해소
  • APIResource가 nil일 때 권한 검증기에서 패닉이 발생하던 버그 수정
  • 로그 뷰어의 줄 바꿈 토글 시 컨테이너 오버플로우 발생 문제 수정
  • gitops-engine의 서버사이드 diff 결과에 HideSecretData가 올바르게 적용되도록 수정
  • OpenTelemetry SDK를 1.43.0으로 업그레이드
원문

Argo

CI/CD & App Delivery2026년 5월 12일

Argo CD v3.4.2는 권한 검증기의 패닉 버그 수정, 서버사이드 diff의 시크릿 노출 패치, 그리고 문제가 있던 리비전 최적화 롤백을 포함한 패치 릴리스입니다.

  • security서버사이드 diff에서 시크릿 값 노출 가능 — 즉시 업그레이드 필요

    서버사이드 diff 미리보기를 사용하는 경우 Secret 리소스의 민감한 값이 UI 또는 API 응답에 그대로 노출될 수 있었습니다. 서버사이드 apply나 diff 기능을 쓰고 있다면 3.4.2로 즉시 업그레이드하세요. 노출이 의심된다면 ArgoCD API 접근 로그도 점검해보는 것이 좋습니다.

  • breakingUpdateRevisionForPaths 롤백으로 이전 동작 복원

    3.4.x에서 성능 최적화로 추가된 UpdateRevisionForPaths 호출 최소화 로직이 회귀 문제를 일으켜 롤백됐습니다. 해당 변경에 의존하던 동작이 있다면 업그레이드 후 경로 필터(path filter)를 사용하는 애플리케이션의 sync 동작을 집중적으로 모니터링하세요.

  • enhancement권한 검증기 패닉 수정으로 서버 안정성 향상

    비표준 CRD나 API 애그리게이션 환경에서 ArgoCD 서버 파드가 이유 없이 재시작되는 현상을 경험했다면 이 패치가 원인을 해결했을 가능성이 높습니다. 업그레이드 후 서버 파드 재시작 빈도가 줄어드는지 확인해 보세요.

주요 변경 (5)
  • 3.4.x에서 도입된 'UpdateRevisionForPaths 불필요 호출 방지' 최적화를 회귀 문제로 인해 롤백
  • APIResource가 nil일 때 권한 검증기에서 발생하던 nil 포인터 패닉 수정
  • 서버사이드 diff 결과에 HideSecretData가 적용되지 않던 버그 수정 — Secret 값이 UI/API diff 뷰에 노출될 수 있었음
  • OpenTelemetry SDK 1.43.0 및 moby/spdystream 0.5.1로 업데이트
  • 공급망 보안을 위한 CI 파이프라인 이미지 버전 고정 추가
원문

Kubernetes

Kubernetes Core2026년 5월 12일

v1.36.1은 ZFS 노드, Windows 네트워킹, kubeadm 클러스터 관리 등 8개 버그를 수정한 패치 릴리스입니다.

  • breakingZFS 노드 운영 중이라면 즉시 업그레이드 필요

    v1.36.0에서 cadvisor 플러그인 누락으로 ZFS 스토리지를 사용하는 노드의 kubelet이 시작되지 않습니다. v1.36.0을 ZFS 환경에 배포했다면 해당 노드들이 정상 작동하지 않을 가능성이 높으니, 추가 롤아웃 전에 반드시 v1.36.1로 패치하세요.

  • breakingWindows L2Bridge 사용자: DNS 타임아웃의 근본 원인 해소

    파드 IP가 재사용될 때 오래된 HNS 엔드포인트가 남아 트래픽이 엉뚱한 노드로 라우팅되는 문제였습니다. 증상이 DNS 설정 오류처럼 보여 원인 파악이 어렵습니다. Windows 노드에서 L2Bridge 네트워킹을 쓴다면 우선순위를 높여 이번 패치를 적용하세요.

  • enhancementkubeadm 부트스트랩, 느린 로드밸런서 환경에서도 안정화

    클라우드 환경에서 LB가 비동기로 프로비저닝될 때 kubeadm init이 실패하거나 의도치 않게 동작하는 경우가 있었습니다. 이제 부트스트랩 중에는 로컬 API 엔드포인트를 먼저 사용하고 이후 LB 엔드포인트로 전환하는 방식으로 수정됐습니다. 다음 클러스터 초기화나 업그레이드 전에 이 버전으로 올려두는 게 좋습니다.

주요 변경 (5)
  • ZFS 노드에서 kubelet이 기동되지 않던 cadvisor 플러그인 누락 문제 수정
  • Windows L2Bridge 환경에서 파드 IP 재사용 시 발생하던 HNS 엔드포인트 오염 및 DNS 타임아웃 수정
  • 대규모 클러스터(엔드포인트 1000개 이상)에서 kube-proxy의 불필요한 전체 동기화 작동 방지
  • kubeadm init 시 LB가 늦게 프로비저닝되는 환경에서 로컬 API 엔드포인트 우선 사용하도록 개선
  • kubeadm etcd 상태 확인 방식을 쿼럼 기반으로 변경, kube-apiserver용 전용 ClusterRole 분리
원문

Kubernetes

Kubernetes Core2026년 5월 12일

Kubernetes v1.35.5는 스케줄러 상태 오염, Windows 네트워킹, kube-proxy 대규모 클러스터 동작, kubeadm 초기화 문제를 수정한 패치 릴리스입니다.

  • breakingkubeadm 사용자: 업그레이드 후 kubeconfig 생성 동작 확인 필요

    kubeadm init이 admin.conf와 super-admin.conf 생성 시 controlPlaneEndpoint 대신 localAPIEndpoint를 사용하도록 바뀌었습니다. 커스텀 controlPlaneEndpoint 설정을 쓰는 클러스터라면 업그레이드 후 생성된 kubeconfig가 올바른지 반드시 검증하세요. 초기화 후 tooling이 controlPlaneEndpoint 기반 kubeconfig를 참조한다면 스테이징에서 먼저 테스트하는 것을 권장합니다.

  • enhancement대규모 클러스터: kube-proxy 업그레이드로 불필요한 전체 동기화 차단

    엔드포인트가 1000개를 넘는 환경에서 kube-proxy가 불필요한 full-sync를 반복 실행하고 있었습니다. 이번 패치로 해당 동작이 멈추므로, 바쁜 클러스터의 CPU와 네트워크 오버헤드를 직접 줄일 수 있습니다. 다음 유지보수 윈도우에 kube-proxy 업그레이드를 포함시키세요.

  • enhancement스케줄러 메모리 누수 수정 — 스케줄링 불안정 증상이 있다면 즉시 적용하세요

    동일한 이름의 Pod가 스케줄링 실패를 반복할 때 in-flight 상태 추적 데이터가 무한 증가하는 버그였습니다. 스케줄러 메모리 사용량이 지속적으로 증가하거나 스케줄링 지연이 관찰됐다면, 이 패치가 근본 원인을 해결합니다.

주요 변경 (5)
  • 스케줄러 버그 수정: 스케줄링 실패 후 동일한 이름으로 Pod를 교체할 때 in-flight 큐 상태가 누적되던 문제(메모리 무제한 증가 가능)
  • Windows L2Bridge 네트워크 수정: 노드 간 Pod IP 재사용 시 오래된 HNS 엔드포인트가 정리되지 않아 발생하던 DNS 타임아웃 해결
  • kube-proxy가 대규모 클러스터(엔드포인트 1000개 이상)에서 불필요한 전체 동기화를 수행하지 않도록 수정
  • kubeadm init 시 admin kubeconfig에 controlPlaneEndpoint 대신 localAPIEndpoint를 사용하도록 변경 — 느린 로드밸런서 환경의 부트스트랩 실패 해결
  • kubeadm etcd 상태 확인이 전체 멤버 대신 쿼럼 기반으로 동작하도록 개선
원문

Kubernetes

Kubernetes Core2026년 5월 12일

v1.34.8은 IPv6 CIDR 주소 할당 오류, 스케줄러 메모리 누수, Windows DNS 라우팅 장애, kubeadm 클러스터 부트스트랩 문제를 수정한 버그 픽스 패치입니다.

  • securitykubeadm: kube-apiserver kubelet 접근에 전용 ClusterRole 적용

    kube-apiserver의 kubelet 클라이언트가 이제 공용 역할 대신 'system:kubelet-api-admin' 전용 ClusterRole에 바인딩됩니다. kubeadm으로 관리되는 클러스터는 업그레이드 시 자동으로 적용되지만, 업그레이드 후 'kubectl get clusterrolebinding'으로 실제 적용 여부를 확인하는 것을 권장합니다.

  • breakingIPv6 클러스터: 업그레이드 전 ServiceCIDR 할당 상태 점검 필요

    64비트 IPv6 ServiceCIDR 버그로 인해 일부 클러스터에서 서브넷 범위를 벗어난 서비스 IP가 할당되어 있을 수 있습니다. v1.34.8로 업그레이드한 뒤 기존 서비스 IP가 설정된 서브넷 내에 있는지 확인하고, 범위를 벗어난 서비스는 재생성을 검토하세요. /64 IPv6 서비스 CIDR을 사용하는 클러스터에서 특히 확인이 필요합니다.

  • enhancement대규모 클러스터: kube-proxy full-sync 제거로 컨트롤 플레인 부하 감소

    1000개 이상의 엔드포인트를 운영하는 환경에서 kube-proxy가 대규모 클러스터 모드임에도 불필요한 full-sync를 수행해왔습니다. 이번 패치로 해당 동작이 제거됩니다. 별도 설정 변경 없이 업그레이드만으로 적용되며, 업그레이드 후 kube-proxy CPU 사용량을 모니터링해 개선 효과를 확인하세요.

주요 변경 (5)
  • 64비트 프리픽스 IPv6 ServiceCIDR에서 서브넷 범위 밖으로 주소를 할당하던 버그 수정
  • 동일 이름의 Pod가 스케줄링 실패 후 재생성될 때 in-flight 이벤트 상태가 무한히 쌓이던 스케줄러 메모리 누수 수정
  • Windows L2Bridge 환경에서 Pod IP 재사용 시 오래된 HNS 엔드포인트가 남아 DNS 타임아웃을 유발하던 문제 수정
  • 1000개 이상 엔드포인트 환경에서 kube-proxy가 불필요한 full-sync를 실행하던 문제 수정
  • kubeadm init 시 kubeconfig에 LocalAPIEndpoint를 사용하도록 변경하여 로드밸런서 지연 문제 해소, etcd 상태 확인도 쿼럼 방식으로 전환
원문

Kubernetes

Kubernetes Core2026년 5월 12일

v1.33.12는 kubeadm 버그 4건을 수정한 패치 릴리스로, 클러스터 초기화 안정성, etcd 헬스체크, kubelet API RBAC 강화에 집중했습니다.

  • securitykube-apiserver kubelet 클라이언트용 RBAC 역할 분리 적용

    kube-apiserver가 kubelet 클라이언트 자격증명에 전용 ClusterRole 'system:kubelet-api-admin'을 사용합니다. RBAC 경계가 명확해지고 자격증명 오용 시 영향 범위가 줄어듭니다. 기존 클러스터에 즉각적인 조치는 불필요하지만, kubeadm 업그레이드 후 RBAC 감사 목록에 해당 역할이 반영됐는지 확인하세요.

  • enhancement외부 로드밸런서 환경에서 kubeadm init을 쓴다면 업그레이드 권장

    기존에는 kubeadm init이 로드밸런서 엔드포인트를 kubeconfig에 기록했는데, 첫 번째 apiserver가 뜨기 전에는 LB가 아직 없는 경우가 많아 실패하는 닭-달걀 문제가 있었습니다. 이번 수정으로 초기화 시에는 localAPIEndpoint를 사용하도록 바뀌었습니다. 재시도 스크립트나 수동 kubeconfig 편집으로 우회하던 팀이라면 이 패치로 그 작업이 불필요해집니다.

  • enhancementetcd 쿼럼 기반 헬스체크로 오탐 실패 차단

    기존 헬스체크는 멤버 하나라도 비정상이면 kubeadm 작업 전체를 막았습니다. 쿼럼이 유지되는 한 작업이 진행되도록 바뀌었습니다. 3노드나 5노드 etcd 구성에서 멤버 하나의 장애로 kubeadm upgrade나 join이 실패했던 경험이 있다면, 이 패치가 그 문제를 해결해 줍니다.

주요 변경 (4)
  • kubeadm init이 controlPlaneEndpoint 대신 localAPIEndpoint를 가리키는 kubeconfig를 메모리에서 생성 — 로드밸런서 지연 문제 해결
  • 워커 노드의 kubeadm join에서 LocalAPIEndpoint 기본값 설정 로직 제거
  • kube-apiserver의 kubelet 클라이언트가 전용 ClusterRole 'system:kubelet-api-admin'을 사용하도록 변경
  • etcd 클러스터 헬스체크가 전체 멤버 기준에서 쿼럼 기준으로 전환 — 일부 멤버 비정상 상태에서도 작업 가능
원문

Flux

CI/CD & App Delivery2026년 5월 12일

Flux v2.8.7은 go-git의 CVE를 패치하고, ssa:IfNotPresent 어노테이션이 붙은 클러스터 범위 리소스가 매 조정 주기마다 삭제·재생성되던 버그를 수정한 패치 릴리스입니다.

  • securityCVE-2026-45022 패치를 위해 즉시 업그레이드

    이번 CVE는 Git 저장소를 직접 클론하고 상호작용하는 source-controller와 image-automation-controller에 영향을 줍니다. 외부 또는 반신뢰 Git 소스를 사용하는 환경이라면 우선순위를 높여 대응해야 합니다. 'flux install' 또는 Helm 릴리스를 v2.8.7로 업데이트하세요.

  • breakingssa:IfNotPresent를 사용하는 클러스터 범위 리소스 상태를 반드시 점검

    ClusterRole, CRD 등 네임스페이스 없는 클러스터 범위 리소스에 kustomize.toolkit.fluxcd.io/ssa: IfNotPresent 어노테이션을 사용하고 있었다면, 버그 수정 전까지 매 조정마다 리소스가 삭제·재생성됐을 수 있습니다. 업그레이드 후 해당 리소스 상태를 확인하고, 의존 워크로드가 조용히 영향을 받지는 않았는지 감사하세요.

  • enhancementv2.6에서 올라온다면 공식 업그레이드 절차 반드시 확인

    v2.6 → v2.8.7로 바로 올릴 경우, Flux 팀이 제공하는 v2.7+ 업그레이드 절차를 건너뛰면 문제가 생길 수 있습니다. 구버전 Flux를 운영 중인 환경이라면 업데이트 적용 전에 해당 가이드를 반드시 먼저 검토하세요.

주요 변경 (4)
  • go-git v5.19.0 업데이트로 CVE-2026-45022 수정 (source-controller, image-automation-controller)
  • ssa:IfNotPresent 어노테이션이 있는 네임스페이스 미지정 리소스가 매 조정마다 삭제·재생성되던 kustomize-controller 버그 수정
  • source-controller, kustomize-controller, image-automation-controller 전반의 fluxcd/pkg 의존성 업데이트
  • helm-controller v1.5.4, kustomize-controller v1.8.5, source-controller v1.8.4 컴포넌트 버전 업
원문

Open Policy Agent (OPA)

Security2026년 5월 12일

Open Policy Agent (OPA) v1.16.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Flatcar Container Linux

Provisioning & Runtime2026년 5월 11일

Flatcar stable-4593.2.1은 보안 전용 업데이트입니다. Linux 커널 CVE 130개 이상을 패치하고 커널을 6.12.87로 올렸습니다. 적용하려면 노드를 재부팅해야 합니다.

  • securityLinux 커널 CVE 130개 이상 패치 — 노드 재부팅 필요

    이번 릴리스는 CVE-2026-31xxx 및 CVE-2026-43xxx 시리즈에 걸쳐 130개 이상의 Linux 커널 CVE를 패치하며, 커널을 6.12.82부터 6.12.87까지 한꺼번에 올립니다. 안정 커널 백포트 배치가 대규모로 적용된 경우이므로 우선순위를 높게 두세요. update-operator를 사용 중이라면 롤링 재시작을 확인하고, 수동 관리 환경이라면 stable-4593.2.0 노드를 변경 주기에 맞춰 drain 후 재부팅하세요.

  • enhancementCA 인증서 NSS 3.123.1 업데이트 — 커스텀 CA 체인 확인

    ca-certificates가 NSS 3.123.1로 올라갔습니다. 컨테이너 내부가 아닌 OS 레벨에서 TLS 인증서 검증을 하는 서비스가 있다면, 노드 재부팅 후 커스텀 CA 체인이나 고정(pinned) 인증서에 영향이 없는지 확인하세요.

주요 변경 (4)
  • Linux 커널을 6.12.87로 업데이트 (6.12.82~6.12.87 포인트 릴리스 5개 포함)
  • CVE-2026-31xxx 및 CVE-2026-43xxx 시리즈 커널 CVE 130개 이상 패치
  • ca-certificates를 NSS 3.123.1로 업데이트
  • 유저스페이스 컴포넌트 변경이나 호환성을 깨는 변경 없음 — 순수 보안 업데이트
원문

OpenTelemetry

Observability2026년 5월 11일

v0.152.0에서는 telemetry host를 커스텀 설정할 때 Prometheus 메트릭 이름이 바뀌던 버그를 수정하고, 맵·슬라이스 값의 AsString HTML 이스케이프 동작을 변경했습니다. 익스포터 in-flight 요청 메트릭도 추가됐습니다.

  • breakingtelemetry host를 커스텀 설정했다면 Prometheus 메트릭 이름 검증 필요

    telemetry 섹션에서 host를 직접 지정한 Collector를 운영 중이라면, 업그레이드 후 Prometheus 메트릭 이름을 반드시 확인하세요. 이전 버전에서는 WithoutScopeInfo, WithoutUnits, WithoutTypeSuffix 필드가 잘못된 기본값(false)으로 설정되어 메트릭 이름 형식이 묵시적 기본 설정과 달라졌습니다. 이번 패치로 올바른 기본값이 적용되므로, 메트릭 이름 기반의 대시보드나 알럿이 있다면 업그레이드 전후 이름을 비교하세요.

  • breakingAsString 출력 변경 — 맵·슬라이스 값을 파싱하는 로직 점검

    pcommon.Value.AsString이 맵·슬라이스 값 내의 <, >, & 문자를 더 이상 HTML 이스케이프하지 않습니다. 파이프라인 다운스트림에서 &lt; 같은 이스케이프된 문자열을 파싱하거나 기대하는 로직이 있다면 업그레이드 후 동작이 달라집니다. attribute processor, 로그 파서, 익스포터 등에서 맵·슬라이스의 문자열 표현을 사용하는 부분을 점검하세요.

  • enhancementotelcol_exporter_in_flight_requests를 대시보드에 추가

    otelcol_exporter_in_flight_requests UpDownCounter가 익스포터별로 동시에 진행 중인 export 요청 수를 추적합니다. 별도 설정 없이 자동으로 노출되므로, Collector 대시보드에 추가해 워커 풀 포화 상태를 조기에 감지할 수 있습니다.

주요 변경 (5)
  • 익스포터별 동시 in-flight 요청 수를 추적하는 otelcol_exporter_in_flight_requests 메트릭 추가
  • pcommon.Value.AsString의 맵·슬라이스 값에서 HTML 이스케이프 제거 — ValueTypeStr과 동작 통일
  • telemetry host 명시 설정 시 Prometheus 기본값이 잘못 적용되던 버그 수정
  • snappy 디코딩 전에 max_request_body_size 적용, 디컴프레션 라이브러리 패닉 시 HTTP 400 반환으로 변경
  • 정상 클라이언트 연결 종료 시 gRPC 'connection reset by peer' 로그가 WARN으로 출력되던 문제 수정
원문

Harbor

Storage & Data2026년 5월 11일

Harbor v2.14.4는 세션 관리 버그, 스캐너 API 오류, DockerHub 토큰 인증 문제를 수정한 패치 릴리스로, Go 1.25.9 업그레이드와 보안 의존성 패치가 포함됩니다.

  • securitygo-jose 및 OTel SDK 보안 패치 포함 — 즉시 업그레이드 권장

    go-jose/go-jose와 go.opentelemetry.io/otel/sdk 패키지가 명시적으로 업데이트됐는데, 이런 경우 대부분 CVE 대응입니다. 외부 트래픽에 노출된 Harbor 인스턴스나 민감한 레지스트리 자격증명을 다루는 환경이라면 우선 적용하세요. v2.14.3에서 v2.14.4는 패치 버전 업그레이드라 호환성 위험이 낮습니다.

  • breaking세션 동작 변경 — 운영 배포 전 SSO 및 장기 세션 테스트 필수

    백그라운드 탭을 열어둔 상태에서 세션이 자동 유지되던 동작이 이번 수정으로 사라집니다. 설정된 세션 타임아웃대로 만료되므로, Harbor config의 세션 만료 시간을 재확인하고 사용자에게 변경된 동작을 사전 공지한 뒤 운영 환경에 적용하세요.

  • enhancementDockerHub 복제가 실패 중이라면 이 패치로 해결됩니다

    DockerHub API 변경 이후 복제 실패가 발생했다면 /v2/auth/token 엔드포인트 수정으로 해결됩니다. 업그레이드 후 DockerHub 복제 규칙을 수동으로 실행해 복제 작업 로그를 확인하세요. 자격증명 없이 배포 인스턴스를 편집할 때 발생하던 버그도 함께 수정됐으니 관련 설정도 재검증하세요.

주요 변경 (5)
  • 백그라운드 폴링이 세션 TTL을 갱신하지 않도록 수정 — 의도치 않은 세션 연장 방지
  • SessionRegenerate의 저장 인자 및 유효기간 처리 오류 수정
  • DockerHub 복제 어댑터가 /v2/auth/token 엔드포인트를 사용하도록 변경 — 허브 이미지 복제 실패 해결
  • 스캐너 API 버그 수정 — Trivy 등 Harbor API 연동 스캐너에 영향
  • Go 1.25.9 업그레이드, photon:5.0 베이스 이미지 적용, go-jose 및 OpenTelemetry SDK 의존성 버전 업
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.12.4는 웹훅 서버의 DoS 취약점(CVE-2026-44247)과 스케줄러 버그 2건을 수정한 보안 패치 릴리스입니다. v1.12.3 이하를 운영 중이라면 즉시 업그레이드하세요.

  • security웹훅 서버 OOM 취약점 즉시 패치 필요

    CVE-2026-44247은 웹훅 엔드포인트에 네트워크 접근이 가능한 파드가 대용량 HTTP 본문을 전송해 웹훅 서버를 OOM으로 종료시킬 수 있는 취약점입니다. CVSS 범위(Scope)가 'Changed'로 평가되어 공격 파드를 넘어 클러스터 전체 어드미션 제어가 마비될 수 있습니다. 즉시 v1.12.4로 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서비스에 접근 가능한 네임스페이스와 파드를 최소화하는 것이 우선입니다.

  • breaking멀티 큐 선점 결과가 잘못 적용됐을 가능성 점검

    preemptorTasks 덮어쓰기 버그로 인해 멀티 큐 선점을 사용하는 클러스터에서 스케줄링 결정이 잘못 이루어졌을 수 있습니다. QueueOrderFn이 무시되거나 우선순위 낮은 잡이 제대로 선점되지 않았을 가능성이 있습니다. 업그레이드 후 큐 선점 동작을 검토하고, 큐 순서 정책이 의도대로 적용되는지 확인하세요. 업그레이드 전 장시간 대기 중인 잡이 있었다면 원인일 수 있습니다.

  • enhancement스케줄러 재시작 시 발생하던 간헐적 오류 해소

    이벤트 핸들러 완료 대기 수정으로 Volcano 재시작 또는 롤링 업그레이드 직후 스케줄링이 불안정했던 현상이 해결됩니다. 별도 조치 없이 업그레이드만으로 충분하지만, 재시작 후 간헐적으로 스케줄링 실패가 관찰됐다면 이 버그가 원인이었을 가능성이 높습니다.

주요 변경 (3)
  • CVE-2026-44247: 웹훅 서버가 비정상적으로 큰 HTTP 요청 본문으로 OOM 유발 가능 — CVSS 6.8(보통)
  • 스케줄러 수정: 이벤트 핸들러 완료 전 스케줄링 시작을 방지해 시작 시 레이스 컨디션 해소
  • 스케줄러 수정: 멀티 큐 선점 시 preemptorTasks 덮어쓰기 버그 수정, QueueOrderFn이 정상 적용됨
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.13.3은 웹훅 서버의 DoS 취약점(CVE-2026-44247)을 패치하고 스케줄러 버그 4건을 수정합니다. v1.13.2 이하를 사용 중이라면 즉시 업그레이드하세요.

  • securityCVE-2026-44247 즉시 패치 필요 — v1.13.2 이하 전체 영향

    웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 임의 크기의 HTTP 바디를 전송해 웹훅 서버를 OOM으로 종료시킬 수 있습니다. 웹훅 서버가 죽으면 Job·Queue 어드미션이 전부 막히므로 멀티테넌트 클러스터에서 실질적 피해가 큽니다. 사용 중인 브랜치에 맞춰 v1.13.3(또는 v1.12.4, v1.14.2)으로 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서버의 443 포트 접근을 신뢰할 수 있는 소스로만 제한하세요.

  • breaking멀티 큐 선점 동작 변경 — 업그레이드 후 워크로드 검증 필요

    선점 관련 두 가지 수정으로 스케줄링 결정 결과가 달라질 수 있습니다. preemptorTasks 덮어쓰기 방지와 QueueOrderFn 적용으로, 기존에 선점하던 Job이 더 이상 선점하지 않거나 그 반대 상황이 생길 수 있습니다. 업그레이드 전에 스테이징 환경에서 멀티 큐 선점 시나리오를 반드시 검증하세요.

  • enhancement스케줄러 기동 시 경쟁 조건 제거 — 재시작이 잦은 환경에 유효

    OOM 재시작이나 롤링 업데이트로 스케줄러 파드가 자주 재시작되는 환경에서 특히 효과적입니다. 이전에는 초기화 완료 전에 스케줄링이 시작되는 좁은 경쟁 구간이 있었고, 이로 인해 이벤트 누락이 생길 수 있었습니다. 별도 설정 변경 없이 업그레이드만 하면 되며, 업그레이드 후 스케줄러 기동 로그에서 이상 징후를 확인하세요.

주요 변경 (5)
  • CVE-2026-44247 수정: 웹훅 서버의 HTTP 요청 바디 크기 제한 부재로 OOM 킬 유발 가능 — 웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 누구든 악용 가능
  • 스케줄러 수정: 멀티 큐 선점 시 preemptorTasks 맵이 덮어쓰이는 버그 제거로 잘못된 선점 결정 방지
  • 스케줄러 수정: 선점 액션에서 QueueOrderFn을 이제 올바르게 준수하여 큐 우선순위 정렬 일관성 확보
  • 기동 시 경쟁 조건(race condition) 수정: 이벤트 핸들러 초기화가 완료된 후에만 스케줄링 시작
  • 스냅샷 경로의 불필요한 deepcopy 제거로 메모리 할당 부담 감소
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.14.2는 웹훅 서버 OOM DoS CVE와 스케줄러 정확성 관련 다수의 버그를 수정합니다. 1.12/1.13/1.14 브랜치 사용자는 즉시 업그레이드해야 합니다.

  • securityCVE-2026-44247 즉시 패치 — 1.12/1.13/1.14 전 버전 영향

    웹훅 엔드포인트에 네트워크 접근 가능한 Pod이면 누구든 대용량 요청 바디를 전송해 웹훅 서버를 OOM으로 강제 종료할 수 있습니다. CVSS 6.8(Moderate)이지만 웹훅이 죽으면 클러스터 전체의 워크로드 어드미션이 차단되므로 실제 영향은 큽니다. 사용 중인 브랜치에 맞게 v1.14.2, v1.13.3, v1.12.4 중 하나로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서비스에 접근 가능한 Pod을 제한해 임시 완화 조치를 취하세요.

  • breaking1.14.x 신규 배포 후 스케줄러 패닉 여부 확인 필요

    초기 설치 시 레이스 컨디션으로 스케줄러가 패닉 후 재시작되는 버그가 있었습니다. 1.14.x 최근 배포 후 스케줄러 CrashLoopBackOff를 겪었다면 이 수정 사항이 원인입니다. 업그레이드 후 스케줄러 Pod이 안정적으로 유지되는지 확인하세요. 설정 변경은 불필요하지만, 조용한 재시작으로 스케줄링 사이클이 누락됐을 수 있으니 모니터링 알림 내역을 검토하세요.

  • enhancement멀티 큐 프리엠션 동작 정상화 — 프리엠션 정책 재검증 권장

    멀티 큐 프리엠션에서 preemptorTasks 덮어쓰기 문제와 QueueOrderFn이 무시되던 두 가지 버그가 함께 수정됐습니다. 커스텀 큐 정렬 함수와 함께 큐 간 프리엠션을 사용 중이라면, 이전까지 스케줄러가 설정대로 동작하지 않았을 가능성이 높습니다. 업그레이드 후 프리엠션 시나리오를 검증해 잡이 기대한 우선순위 순서대로 처리되는지 확인하세요. 설정 변경은 필요 없지만 실제 동작이 달라집니다.

주요 변경 (5)
  • CVE-2026-44247 수정: 웹훅 서버의 HTTP 요청 바디 크기 제한 부재로 OOM을 유발할 수 있었던 취약점 패치
  • 스케줄러 내 동시 맵 쓰기로 인한 패닉(무작위 재시작) 수정
  • 스케줄러 스냅샷 딥카피 로직 개선: 클론 내 공유 가변 객체가 데이터 레이스를 유발하던 버그 해결
  • 멀티 큐 프리엠션에서 preemptorTasks가 덮어쓰이던 문제 수정 — 잘못된 프리엠션 결정 방지
  • partitionPolicy/subGroupPolicy의 highestTierName이 HyperNode 티어 제약을 실제로 적용하도록 수정
원문

Kubescape

Security2026년 5월 8일

Kubescape v4.0.8은 VAP(Validating Admission Policy) 관련 버그 여러 건을 수정하고, deploy-library 명령에 --timeout 플래그를 추가한 패치 릴리스입니다.

  • breakingVAP 레이블 셀렉터 파싱 버그 — 기존 정책 재검증 필요

    기존 코드는 레이블 셀렉터를 '='로 단순 분리했고, DoubleEquals(==) 셀렉터도 잘못 허용했습니다. 복잡한 레이블 셀렉터를 사용하는 VAP 정책을 Kubescape로 생성한 적이 있다면, v4.0.8로 업그레이드 후 반드시 재생성하고 재검증하세요. 이전에 생성된 출력물이 올바르다고 가정하면 안 됩니다.

  • enhancement느린 클러스터에서는 --timeout 플래그로 배포 시간 조정

    deploy-library 명령의 새 --timeout 플래그로 VAP 라이브러리 배포 대기 시간을 직접 지정할 수 있습니다. API 서버 응답이 느린 클러스터나 CI 파이프라인처럼 시간 제한이 엄격한 환경에서는 기본값에 의존하지 말고 명시적으로 설정하세요. 파이프라인에 적용하기 전에 스테이징에서 적정값을 먼저 확인하세요.

  • enhancement클라우드 API 연동 환경에서는 업그레이드 후 스캔 결과 전송 확인

    클라우드 API 초기화 시 커넥터 URL이 설정 객체에 반영되지 않던 버그가 수정됐습니다. Kubescape의 클라우드 연동을 사용하는데 스캔 결과 전송이 불안정했다면, 업그레이드 후 스캔을 한 번 실행해 결과가 백엔드에 정상 도달하는지 확인하세요.

주요 변경 (5)
  • VAP deploy-library 명령에 배포 타임아웃 제어용 --timeout 플래그 추가
  • 레이블 셀렉터 파싱을 문자열 단순 분리 방식에서 쿠버네티스 공식 레이블 파서로 교체 — 복잡한 셀렉터의 오작동 방지
  • K8s 이름 및 네임스페이스 검증에 DNS 레이블 검증 헬퍼 적용
  • writeOutput에서 부모 디렉토리 자동 생성 처리 — 파일 쓰기 실패 문제 수정
  • 정상 종료 시 불필요한 인터럽트 시그널 로그 메시지 제거
원문

Kubescape

Security2026년 5월 8일

Kubescape v4.0.7은 입력 검증 강화, HTTP 핸들러 동시성 안전성 개선, ControlInput CRD 추가, 사이드카 없는 서비스 디스커버리 등 버그 수정과 사용성 개선에 집중한 릴리스입니다.

  • breaking임계값 플래그 조기 검증 — CI 파이프라인 확인 필수

    severity-threshold, compliance-threshold, fail-threshold 플래그가 이제 스캔 시작 전에 검증됩니다. 잘못된 값을 전달하는 스크립트나 CI 잡은 스캔을 완료하지 못하고 즉시 오류와 함께 종료됩니다. 업그레이드 전에 스캔 호출 명령어를 검토해 모든 임계값 플래그에 유효한 값이 지정되어 있는지 확인하세요.

  • enhancement서비스 디스커버리용 사이드카 제거 가능

    서비스 디스커버리가 쿠버네티스 API를 직접 호출하도록 바뀌었습니다. 기존에 Kubescape 서비스 디스커버리를 위해 사이드카를 운영하고 있었다면, 업그레이드 전에 배포 구성을 점검하고 불필요한 사이드카를 제거하세요. 중복 사이드카가 남아 있으면 예상치 못한 동작이 발생할 수 있습니다.

  • enhancementControlInput CRD로 클러스터 내 스캔 정책 중앙화

    새 ControlInput CRD를 사용하면 외부 파일 없이 클러스터 안에서 직접 컨트롤 입력을 관리할 수 있습니다. 라이브 클러스터 스캔에서만 활성화되므로 파일 기반 스캔 워크플로에는 영향이 없습니다. 업그레이드 후 CRD를 적용해 스캔 정책을 클러스터 내에서 통합 관리하는 것을 권장합니다.

주요 변경 (5)
  • 새로운 ControlInput CRD로 클러스터 내 컨트롤 설정 가능 — 라이브 클러스터 스캔 전용, 파일 기반 스캔에는 비활성화
  • 서비스 디스커버리가 사이드카 없이 쿠버네티스 API에서 직접 서비스 정보를 가져오도록 변경
  • HTTP 핸들러의 TLS 키를 환경 변수로 설정 가능하며, TLS 설정이 불완전하면 즉시 오류 반환
  • severity/compliance/fail 임계값 플래그가 스캔 실행 전에 조기 검증됨 — 모든 관련 서브커맨드 적용
  • YAML 파싱 방식을 바이트 분할에서 라인 스캐너로 교체, 버퍼 한도 상향, 파싱 오류가 무시되지 않고 노출됨
원문
← 최신이전 →