RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Keycloak

Security2026년 4월 2일

26.5.7은 권한 상승, 리다이렉트 URI 우회, 비인가 교차 사용자 권한 부여 등 7개 CVE를 수정한 긴급 보안 릴리스입니다. 즉시 업그레이드하십시오.

  • security즉시 패치 — 복수의 고위험 CVE 포함

    이번 릴리스에서 7개의 CVE가 수정됩니다. 권한 상승(CVE-2026-4282), 리다이렉트 URI 우회(CVE-2026-3872), 교차 사용자 권한 인젝션(CVE-2026-4636), 비인증 DoS(CVE-2026-4634)까지 공격 범위가 넓습니다. 특히 UMA 정책을 쓰거나 Admin REST API를 외부에 노출하는 환경이라면 긴급 패치로 취급해야 합니다. 변경 관리 프로세스를 최대한 단축해 26.5.7로 업그레이드하십시오.

  • security업그레이드 후 Admin API 접근 권한과 UMA 정책 구성 감사 필요

    CVE-2025-14083(Admin API 정보 노출)과 CVE-2026-4636(UMA 교차 사용자 권한 부여)은 엔드포인트 접근 제어가 제대로 적용되지 않았음을 보여줍니다. 업그레이드 후 Admin REST API에 접근 가능한 클라이언트와 서비스 계정을 점검하고, UMA 리소스 및 정책 정의에서 비정상적인 권한 부여 내역이 없는지 확인하십시오. 패치만으로는 이미 잘못 구성된 접근 경로를 닫을 수 없습니다.

  • enhancementQuarkus 3.27.3 업그레이드 — 런타임 동작 변경 여부 확인 권장

    Quarkus 런타임 업그레이드로 CVE-2026-1002(vertx-core 정적 파일 핸들러 캐시 조작 DoS)도 함께 수정됩니다. 커스텀 테마를 사용하거나 Keycloak을 통해 정적 콘텐츠를 제공한다면, 업그레이드 후 자산이 정상적으로 로드되는지 확인하십시오. Quarkus 마이너 버전 업그레이드는 기본 설정이 바뀌는 경우가 있으므로 로그인 플로우 스모크 테스트를 한 번 돌려보는 것이 좋습니다.

주요 변경 (5)
  • CVE-2025-14083: Admin REST API 접근 제어 미흡으로 비인가 사용자에게 정보 노출
  • CVE-2026-4282: SingleUseObjectProvider 격리 결함으로 위조된 인증 코드 생성 가능 — 권한 상승 위험
  • CVE-2026-3872: OIDC 인증 엔드포인트에서 ..;/ 경로 순회로 리다이렉트 URI 검증 우회
  • CVE-2026-4636: UMA 정책 리소스 인젝션으로 비인가 교차 사용자 권한 부여 가능
  • CVE-2026-4634: 스코프 처리 로직을 악용한 애플리케이션 수준 DoS — 인증 없이도 트리거 가능
원문

etcd

Kubernetes Core2026년 4월 1일

etcd v3.5.29는 3.5 브랜치의 유지보수 릴리스입니다. 릴리스 노트 자체에는 세부 변경 사항이 없어 CHANGELOG를 직접 확인해야 합니다.

  • security컨테이너 이미지 레지스트리 출처 검증

    CI/CD 파이프라인에서 etcd 이미지를 사용한다면, 기본 레지스트리인 gcr.io/etcd-development/etcd를 사용하는지 확인하세요. quay.io 미러는 보조 레지스트리라 최신 이미지 반영이 늦을 수 있습니다. 플로팅 태그 대신 이미지 다이제스트를 고정해 공급망 위험을 줄이세요.

  • breaking패치 릴리스라도 공식 업그레이드 가이드를 건너뛰지 마세요

    릴리스 노트가 명시적으로 3.5.x 패치 버전에도 브레이킹 체인지가 있을 수 있다고 경고합니다. 특히 Kubernetes 컨트롤 플레인 백엔드로 etcd를 운영 중이라면 스테이징 환경에서 먼저 검증하세요. etcd 업그레이드 실패는 클러스터 전체 장애로 이어질 수 있습니다.

  • enhancement업그레이드 전 CHANGELOG-3.5.md 확인

    이번 릴리스 노트에는 구체적인 변경 내용이 없습니다. etcd GitHub 저장소의 CHANGELOG-3.5.md에서 v3.5.29 항목을 직접 확인하세요. 3.5 브랜치 패치 릴리스에는 버그 픽스나 CVE 패치가 포함되는 경우가 많은데, 버전 번호만 보고 넘어가기 쉽습니다.

주요 변경 (4)
  • 3.5 안정 브랜치의 패치 릴리스
  • 구체적인 변경 내용은 CHANGELOG-3.5.md에서 직접 확인 필요
  • 컨테이너 이미지: 기본 레지스트리 gcr.io/etcd-development/etcd, 보조 레지스트리 quay.io/coreos/etcd
  • 패치 버전에도 브레이킹 체인지가 포함될 수 있으므로 업그레이드 가이드 사전 검토 필수
원문

Karmada

Orchestration & Management2026년 3월 31일

v1.16.4는 인증서 자동 갱신 중단, Helm 업그레이드 시 ca_crt 미렌더링, 그리고 무중단 축출 작업이 조용히 누락되는 레이스 컨디션 세 가지 버그를 수정합니다.

  • security인증서 자동 갱신이 조용히 멈춰 있었음 — 업그레이드 후 즉시 인증서 유효기간 점검

    SignerName 불일치로 인해 karmada-agent의 인증서 갱신 CSR이 한 번도 승인되지 않았습니다. 즉, 에이전트 인증서가 갱신 없이 만료되고 있었던 셈입니다. v1.16.4로 업그레이드한 뒤, 모든 멤버 클러스터의 karmada-agent 인증서 만료일을 확인하고 만료가 임박한 것은 수동으로 갱신을 트리거하세요. 이 수정 이전에 자동 갱신이 정상 동작했다고 가정하지 마세요.

  • breaking축출 레이스 컨디션으로 워크로드가 장애 클러스터에 방치됐을 수 있음

    컨트롤러 레플리카를 여러 개 운영하거나 ResourceBinding 변경이 잦은 환경이라면, 이번 수정 전에 taint된 클러스터나 비정상 클러스터에서 워크로드 축출이 조용히 실패했을 가능성이 있습니다. v1.16.4로 즉시 업그레이드한 뒤, 현재 클러스터 taint 상태와 ResourceBinding 상태를 점검해 누락된 축출 작업이 없는지 확인하세요.

  • breakingHelm 업그레이드로 ca_crt가 제대로 적용되지 않았다면 TLS 설정 재확인 필요

    {{ ca_crt }} 템플릿 변수가 Helm 업그레이드 시 렌더링되지 않아 TLS 설정이 잘못 배포됐을 수 있습니다. v1.16.3에서 Helm으로 업그레이드한 이력이 있다면, 배포된 시크릿과 차트 값에서 ca_crt가 올바르게 채워져 있는지 확인하세요. 문제가 의심된다면 v1.16.4로 다시 업그레이드해 재적용하세요.

주요 변경 (3)
  • karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
  • karmada-chart: Helm 업그레이드 시 {{ ca_crt }} 변수가 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
  • karmada-controller-manager: 여러 컨트롤러가 동일한 ResourceBinding/ClusterResourceBinding을 동시에 수정할 때 graceful eviction 작업이 조용히 누락되던 레이스 컨디션 수정
원문

Karmada

Orchestration & Management2026년 3월 31일

Karmada v1.15.7은 에이전트 인증서 갱신 교착 상태, Helm 차트 업그레이드 렌더링 오류, 그리고 무증상으로 eviction 작업을 누락시키던 경쟁 조건 버그 세 가지를 수정한 패치 릴리스입니다.

  • breaking에이전트 인증서 만료 여부를 즉시 점검하세요

    SignerName 불일치 버그로 인해 CSR이 승인되지 못했다면, karmada-agent의 인증서가 이미 만료됐거나 만료 임박 상태일 수 있습니다. v1.15.7로 업그레이드 전에 각 에이전트 인증서의 NotAfter 필드를 확인하고, 만료된 경우 수동 갱신을 먼저 진행하세요. 인증서 TTL이 짧은 환경일수록 긴급도가 높습니다.

  • breakingeviction 누락으로 문제 클러스터에 워크로드가 남아있을 수 있습니다

    graceful eviction의 경쟁 조건 버그로 인해, 클러스터에 taint가 추가되거나 장애 상태가 됐을 때 복수의 컨트롤러가 동시에 동작 중이었다면 eviction 작업이 무증상으로 누락됐을 가능성이 있습니다. 업그레이드 전에 ResourceBinding 및 ClusterResourceBinding 오브젝트에서 미처리된 eviction 조건을 점검하고, 영향받은 바인딩에 대해 업그레이드 후 eviction을 재트리거하세요.

  • breakingHelm 업그레이드 시 ca_crt 렌더링 결과를 반드시 검증하세요

    {{ ca_crt }}가 렌더링되지 않으면 TLS 설정이 리터럴 문자열로 남아 연결 오류로 이어집니다. v1.15.7로 Helm 업그레이드 후 배포된 Secret 또는 ConfigMap에서 ca_crt 값이 실제 인증서 데이터로 채워졌는지 확인하세요. 이전 업그레이드에서 문제가 발생했다면 해당 리소스를 재배포해야 합니다.

주요 변경 (4)
  • karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
  • karmada-chart: Helm 업그레이드 시 {{ ca_crt }}가 그대로 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
  • karmada-controller-manager: 여러 컨트롤러가 동일 ResourceBinding/ClusterResourceBinding을 동시 수정할 때 graceful eviction 작업이 조용히 누락되던 경쟁 조건 수정
  • 위 세 버그 모두 운영 환경에서 무증상으로 진행될 수 있어 즉각적인 업그레이드 및 상태 점검 필요
원문

Jaeger

Observability2026년 3월 30일

v2.17.0은 UI의 XSS 보안 취약점 수정, 사이드 패널 스팬 상세 보기·트레이스 로그 집계 등 주요 UI 기능 추가, 그리고 패닉 방지 및 클럭 스큐 수정 등 백엔드 안정성 개선을 포함합니다.

  • securityXSS 취약점 수정을 위해 UI를 즉시 업데이트하세요

    기존 UI는 트레이스 속성 값을 innerHTML로 렌더링해서, 스팬 데이터에 악성 HTML이 포함될 경우 XSS 공격에 노출될 수 있었습니다. v2.17.0에서 textContent로 교체하여 수정됐습니다. Jaeger UI를 여러 팀이 공유하거나 스팬 데이터를 외부 입력으로부터 받는 환경이라면 우선순위를 높여 v2.17.0 이미지로 재배포하세요.

  • breaking클럭 스큐 수정으로 스팬 종료 타임스탬프가 달라집니다 — 트레이스 데이터 검증이 필요합니다

    기존 클럭 스큐 조정기는 시작 시간만 보정하고 종료 시간은 그대로 뒀습니다. 이제 둘 다 보정되므로, 조정된 트레이스 데이터를 기반으로 SLO나 레이턴시 계산을 하는 팀은 업그레이드 후 대시보드와 알림 규칙을 실제 트레이스로 재검증해야 합니다.

  • enhancement사이드 패널 스팬 뷰로 트레이스 분석이 편해집니다

    기존에는 스팬 상세 정보가 인라인으로 펼쳐져서 타임라인 맥락이 사라졌습니다. 새 사이드 패널 모드에서는 타임라인을 유지하면서 스팬을 검사할 수 있습니다. 별도 설정 없이 UI에서 스팬을 클릭하면 바로 사용 가능하니, 팀의 디버깅 워크플로우 개선 사례로 공유해볼 만합니다.

주요 변경 (6)
  • 보안: UI에서 innerHTML을 textContent로 교체하여 XSS 공격 벡터 제거
  • 신규 UI 기능: 스팬 상세 정보를 인라인 대신 사이드 패널에서 열 수 있어 트레이스 분석 시 맥락 유지 가능
  • 신규 UI 기능: 트레이스 로그 뷰에서 모든 스팬 이벤트를 한 곳에 집계하여 디버깅 편의성 향상
  • 백엔드 수정: 클럭 스큐 조정기가 시작 타임스탬프뿐 아니라 종료 타임스탬프도 올바르게 보정
  • 백엔드 수정: jitter 계산 시 0 또는 서브 나노초 Duration으로 인한 패닉 방지 처리 추가 (프로덕션 크래시 #8149 수정)
  • 실험적 ClickHouse 백엔드: 쿼리 최적화 및 트레이스 ID 중복 제거 스키마 수정
원문

Dapr

Orchestration & Management2026년 3월 30일

Dapr v1.16.12는 gRPC 인증 우회 CVE 패치, Pulsar Avro/JSON 스키마 처리 버그 수정, 그리고 파드 재시작 후 최대 20분간 지속되던 Scheduler 클러스터 스톨 문제를 해결합니다.

  • securitygRPC 인증 우회(CVE-2026-33186) 패치를 위해 즉시 업그레이드

    CVE-2026-33186은 특정 조건에서 gRPC 인증을 우회해 비인가 요청을 허용합니다. Dapr 1.16.12 이전 모든 1.16.x 버전이 영향을 받으며, 의존성 패치 없이는 우회 방법이 없습니다. 즉시 업그레이드하세요.

  • breakingPulsar Avro + CloudEvents 스키마 등록 방식 변경 — 기존 토픽 점검 필요

    Dapr 1.16.0~1.16.11에서 Avro 스키마와 CloudEvents 래핑(기본값)을 함께 사용하는 Pulsar 토픽은 Schema Registry에 잘못된 스키마가 등록되어 있었습니다. 업그레이드 후에는 올바른 CloudEvents 엔벨로프 Avro 스키마로 등록됩니다. 기존 토픽의 Schema Registry 상태와 비-Dapr 컨슈머의 영향 여부를 확인하세요. 새로 추가된 rawSchema 메타데이터 옵션은 순수 raw 페이로드 전용 토픽에만 사용해야 합니다.

  • enhancementScheduler HA 환경에서 파드 재시작 후 20분 스톨 문제 해소

    Scheduler 3개 인스턴스 HA 구성에서 워크플로우나 액터 리마인더가 실행 중일 때 파드가 재시작되면 클러스터 전체가 최대 20분간 멈추는 문제가 있었습니다. 롤링 업데이트나 노드 유지보수 후 워크플로우나 리마인더가 설명 없이 지연됐다면 이 버그가 원인입니다. 이번 수정으로 트리거 전달이 컨텍스트 취소를 즉시 반영해 수초 내 쿼럼을 재확립합니다. 참고로 Dapr v1.17은 트리거 전달 경로 자체를 비동기 방식으로 재설계해 이 문제 유형 자체를 없앴습니다.

주요 변경 (5)
  • CVE-2026-33186 패치: gRPC 인증 우회를 허용하던 업스트림 의존성 업그레이드
  • Pulsar Avro 구독자가 바이너리 페이로드를 정상 디코딩하도록 수정 — 기존에는 JSON 언마샬 실패로 영구 재시도 루프에 빠졌음
  • Pulsar CloudEvents + Avro 스키마 등록 시 CloudEvents 엔벨로프 스키마로 올바르게 래핑, 브로커 측 불일치 해소
  • Pulsar JSON 스키마 토픽에서 발행 시 단순 JSON 파싱이 아닌 실제 구조적 유효성 검사 수행
  • Scheduler 파드 재시작 후 복구 시간이 최대 20분에서 5초 미만으로 단축 — 블로킹 트리거 전달 경로 수정
원문

Volcano

Orchestration & Management2026년 3월 30일

Volcano v1.13.2는 패치 릴리스로, NUMA 리소스 처리 패닉, GPU 리소스 오류, 스케줄러 스냅샷 상태 오염, Job 내 Terminating Pod 처리 오류 등 5건의 버그를 수정했습니다.

  • securityNUMA 스냅샷 패닉으로 스케줄러 프로세스가 중단될 수 있음 — NUMA 워크로드 확장 전 패치 적용

    스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 nil 포인터 또는 동시 쓰기 패닉이 발생하면 volcano-scheduler 프로세스 전체가 내려갑니다. NUMA 인식 클러스터에서는 Pod가 재시작될 때까지 스케줄링이 완전히 멈춥니다. 토폴로지 인식 워크로드를 운영 중이라면 워크로드 확장 전에 v1.13.2로 패치를 적용하세요.

  • breaking스케줄러 스냅샷 변이 버그, 스케줄링 결정 오염 가능 — 즉시 업그레이드 필요

    스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그(PR #5093)가 이번 릴리스에서 가장 심각한 수정 사항입니다. 여러 스케줄링 사이클이 상태를 공유하면 비결정적 스케줄링 동작이 발생하고, 원인 추적도 매우 어렵습니다. GPU나 멀티태스크 배치 워크로드를 부하 상태에서 운영 중이라면 v1.13.2로 즉시 업그레이드해야 합니다.

  • enhancementGPU 리소스 오류 수정으로 유령 할당 문제 해결

    GPU 리소스 집계 오류가 수정되어 노드가 과다 할당되거나 실제보다 낮은 활용률로 표시되던 문제가 해결됩니다. GPU Pod가 실제 용량이 있음에도 Pending 상태에 머물거나, GPU 노드에서 예기치 않은 스케줄링 실패가 반복되었다면 이번 패치로 해결될 가능성이 높습니다. 업그레이드 후 스케줄러 Pod를 재시작해 남아 있을 수 있는 낡은 리소스 상태를 초기화하세요.

주요 변경 (5)
  • Terminating 상태 Pod가 Job에서 조기에 제거되지 않고 올바르게 유지됨
  • 스케줄러 스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 발생 가능한 패닉 수정
  • GPU 리소스 집계 오류 수정 — 과다/과소 스케줄링으로 이어질 수 있던 문제
  • Prometheus 메트릭 클라이언트 업데이트로 지표 보고 오류 수정
  • 스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그 수정 — 스케줄링 사이클 간 상태 오염 방지
원문

cert-manager

Security2026년 3월 27일

v1.20.1은 OpenShift 업그레이드 차단 버그, Gateway API의 parentRef 중복 문제, gRPC 의존성 버전 업을 처리한 패치 릴리스입니다.

  • securitygRPC 버전 업은 스캐너 대응 수준 — 실제 위험 없음

    보고된 CVE는 cert-manager의 실제 코드 경로에 영향을 주지 않습니다. 다만 Trivy, Grype 같은 스캐너가 v1.20.0을 플래그하고 있었다면 v1.20.1로 업그레이드하면 해소됩니다. 긴급성은 낮지만, 파이프라인 노이즈를 줄이고 싶다면 업그레이드할 이유는 충분합니다.

  • breakingOpenShift 사용자: v1.20.0 건너뛰고 v1.20.1로 바로 업그레이드

    v1.20.0에서 order 컨트롤러의 ClusterRole에 issuer finalizer 권한이 빠진 채로 릴리스됐습니다. OpenShift는 RBAC 검증이 엄격해 이 문제가 업그레이드 자체를 막았습니다. v1.20.0 적용을 보류 중이었다면 v1.20.1로 직행하세요. 이미 v1.20.0을 적용했다면 업그레이드 후 order 컨트롤러의 ClusterRole에 finalizer 권한이 정상 포함됐는지 확인하세요.

  • enhancementGateway API 사용자: parentRef 중복으로 인한 라우팅 이상 여부 점검

    issuer config와 어노테이션 양쪽에 parentRef를 지정한 설정에서 v1.20.0은 중복된 parentRef 항목을 생성했습니다. 게이트웨이 구현체에 따라 예측 불가한 동작이 발생할 수 있습니다. v1.20.1로 업그레이드한 뒤, 두 방식을 동시에 쓰던 Certificate 리소스들을 점검해 중복이 제거됐는지 확인하세요.

주요 변경 (3)
  • order 컨트롤러에 누락된 issuer finalizer RBAC 추가 — OpenShift 사용자의 v1.20.0 업그레이드 차단 문제 해결
  • issuer config과 어노테이션 양쪽에 parentRef가 지정된 경우 Gateway API에서 중복 항목이 생성되던 버그 수정
  • 스캐너 경보 해소를 위한 google.golang.org/grpc 버전 업 (cert-manager에 실제 영향 없음)
원문

Emissary-Ingress

Networking & Messaging2026년 3월 26일

Emissary v4.0.1은 distroless 이미지와 순정 Envoy 1.36.2 기반으로 새로 구성된 Emissary 4의 실질적 첫 릴리스로, 업그레이드 전 반드시 확인해야 할 호환성 변경 사항이 다섯 가지입니다.

  • securityCVE 패치 포함 — 보안 목적만으로도 업그레이드할 이유 충분

    의존성 다수와 Python 인터프리터를 CVE 해소 목적으로 업데이트했습니다. 릴리스 노트에 CVE 번호가 명시되어 있지 않으므로, 구체적인 내용은 CHANGELOG를 직접 확인하세요. 이전 버전을 운영 중이라면 보안 패치만을 위해서라도 4.0.1로 올릴 이유가 충분합니다. 다만 호환성 변경 사항 대응 작업을 같은 유지보수 창에 묶어서 처리하는 게 효율적입니다.

  • breaking업그레이드 전 다섯 가지 호환성 변경 사항 전수 점검

    메이저 버전 변경인 만큼 호환성 변경 사항이 다섯 가지나 됩니다. 업그레이드 전 체크리스트: (1) Helm 저장소 URL을 GHCR로 변경하고 차트 버전을 4.0.1로 고정합니다. (2) v1 또는 v2 CRD를 사용 중이라면 values 파일에 enableLegacyVersions: true를 반드시 추가하세요. (3) diagd 설정에서 --metrics-endpoint 플래그를 제거합니다. (4) 배너 엔드포인트 설정을 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 이전합니다. (5) Edge Stack의 커스텀 에러 응답이나 헤더 케이스 기능에 의존하는 부분이 없는지 확인하세요. 순수 Emissary 사용자라면 대부분 문제없지만, 확인은 필요합니다.

  • enhancementARM64 클러스터에서 멀티아치 이미지 바로 활용 가능

    Emissary 4는 amd64와 arm64를 모두 지원하는 멀티아치 Docker 이미지를 제공합니다. Graviton이나 Ampere 기반 노드가 포함된 혼합 아키텍처 클러스터를 운영 중이라면, 커스텀 빌드나 nodeAffinity 설정 없이 그대로 배포할 수 있습니다.

주요 변경 (5)
  • distroless 이미지와 수정 없는 순정 Envoy 1.36.2로 전환 — Ambassador Edge Stack 전용 기능(커스텀 에러 응답, 헤더 케이스 변환) 완전 제거
  • Helm 차트 저장소가 GHCR(ghcr.io/emissary-ingress/)로 일원화되고, 차트 버전이 Emissary 릴리스 버전과 일치하도록 변경
  • 레거시 CRD 변환 웹훅(v1/v2 CRD) 기본 비활성화 — 사용하려면 enableLegacyVersions: true 및 enableV1: true를 명시적으로 설정해야 함
  • --metrics-endpoint 옵션 및 기본 배너 엔드포인트 제거 — 배너 기능은 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 대체
  • 멀티아치 Docker 이미지로 ARM64 지원 추가, Helm 차트의 CPU 제한 기본값 제거
원문

Dapr

Orchestration & Management2026년 3월 26일

Dapr v1.17.3은 gRPC 인증 우회(CVE-2026-33186)와 TIFF OOM DoS(CVE-2026-33809) 두 CVE를 패치하고, h2c 액터 응답 데이터 유실, Placement 연쇄 장애, Scheduler 무음 중단 등 고영향 버그를 수정했습니다.

  • security활성 CVE 두 건, 즉시 업그레이드 필요

    CVE-2026-33186은 gRPC 인증을 우회해 허가되지 않은 요청이 서비스에 도달할 수 있는 취약점입니다. CVE-2026-33809는 8바이트짜리 악성 TIFF 파일 하나로 사이드카가 약 4GB 메모리를 할당하다 OOM으로 크래시될 수 있습니다. 두 취약점 모두 v1.17.3에서만 수정됩니다. 우회 방법은 없으므로 긴급 패치로 처리하세요. 특히 이미지 데이터를 처리하는 Dapr 컴포넌트가 있거나 gRPC 엔드포인트를 외부에 노출하는 경우 즉각 대응이 필요합니다.

  • breakingh2c + 액터 사용 환경은 v1.17.2 이후 응답 데이터 유실 여부 확인 필수

    --app-protocol h2c로 액터를 운영 중이었다면, v1.17.2부터 액터 메서드 호출이 HTTP 200을 반환하면서도 본문이 비어 있었을 수 있습니다. 오류 없이 데이터만 사라지는 방식이라 발견이 어렵습니다. v1.17.3으로 업그레이드한 뒤, v1.17.2 도입 이후 처리된 액터 응답 데이터를 감사하고 캐시나 로그에 저장된 응답이 있다면 재검증하세요.

  • enhancementHA Scheduler 배포 환경: 업그레이드 후 전체 Scheduler 파드 재시작 권장

    Scheduler 무음 중단 버그는 etcd에 오래된 리더십 키를 남겨 쿼럼 수렴을 막습니다. 업그레이드 후 모든 Scheduler 파드를 동시에 재시작해 깨끗한 리더십 선출을 유도하세요. 이후 롤링 업데이트 과정에서 워크플로우 타이머, 예약 잡, 액터 리마인더가 무작위로 멈추는 현상은 더 이상 발생하지 않습니다.

주요 변경 (7)
  • CVE-2026-33186: 업스트림 의존성 업그레이드로 gRPC 인증 우회 취약점 수정
  • CVE-2026-33809: golang.org/x/image를 v0.38.0으로 업그레이드해 TIFF OOM DoS 취약점 수정
  • h2c(HTTP/2 cleartext) 환경에서 액터 메서드 응답 본문이 빈 채로 반환되던 문제 수정 — 컨텍스트 분리 및 파이프 오류 전파 방식으로 해결
  • 서비스 호출 및 액터 응답에서 오래된 Content-Length 헤더가 그대로 전달되어 unexpected EOF가 발생하던 문제 수정
  • 단일 느린 사이드카로 인해 전체 Placement 테이블이 초기화되던 연쇄 장애 수정 — 선택적 타임아웃 및 단계 진행 로직 적용
  • 클러스터 스케일업 후 Scheduler 인스턴스가 조용히 동작을 멈추던 채널 경쟁 조건 수정 — 논블로킹 이벤트 루프로 교체
  • v1.16.9부터 AKS Windows 노드에서 daprd가 시작 불가하던 문제 수정 — docker manifest 툴체인으로 복원
원문

gRPC

Networking & Messaging2026년 3월 26일

gRPC v1.80.0은 TLS 개인 키 오프로드, Python EventEngine 기본 활성화, 그리고 운영 안정성에 영향을 주는 Python AsyncIO 버그 수정을 중심으로 한 릴리스입니다.

  • security프로세스 메모리 내 개인 키 노출 제거 가능

    개인 키 오프로드 기능 덕분에 TLS 서명 연산을 외부에 위임할 수 있게 됐습니다. 규제 환경에서 운영 중이라면 v1.80.0으로 업그레이드하고, Python 서명자 구현 및 C++ 오프로드 경로를 활용해 인프로세스 키 저장 방식을 제거하세요.

  • breakingPython EventEngine 기본 활성화 — 반드시 스테이징에서 검증 필요

    EventEngine이 기본 I/O 백엔드로 전환되면서 Python gRPC의 I/O 처리, 스레딩, fork 동작 방식이 바뀝니다. 같은 릴리스에서 fork 지원 환경 변수 기본값이 한 차례 revert(PR #41769)된 점도 눈여겨봐야 합니다. 아직 안정화 중인 영역입니다. gunicorn pre-fork 같은 패턴을 쓰는 서버라면 프로덕션 배포 전 반드시 스테이징에서 충분히 검증하세요.

  • enhancementTLS 개인 키 오프로드로 보안 강화

    개인 키 오프로드 기능과 InMemoryCertificateProvider를 활용하면 개인 키를 HSM이나 KMS에 두고, 런타임 중 인증서를 교체할 수 있습니다. 컴플라이언스 요건이 있는 환경이라면 파일 기반 자격증명 로딩 방식을 새 서명자 인터페이스로 교체하는 것을 우선순위에 두세요.

주요 변경 (5)
  • TLS 개인 키 오프로드: 서명 연산을 외부 제공자(HSM, KMS 등)에 위임할 수 있어 프로세스 메모리에 개인 키를 노출하지 않아도 됨
  • InMemoryCertificateProvider 추가 — 서버 재시작 없이 런타임 중 인증서 동적 교체 가능
  • Python에서 EventEngine이 기본값으로 활성화되고, Python과 Ruby에서 fork 지원 추가
  • Python AsyncIO 버그 3건 수정: 비동기 클라이언트 멀티스레드 예외 처리, active_rpcs 음수 카운터, AIO Metadata 이터레이터 크래시
  • Ruby 4.0 네이티브 젬 빌드 지원 추가, C# Grpc.Tools의 ARM64 회귀 버그 수정
원문

Dapr

Orchestration & Management2026년 3월 26일

Scheduler HA 환경의 치명적 버그 3건(연쇄 충돌, 파티션 무응답, Windows AKS 기동 실패)이 수정되었으며, Go 1.25.8 보안 패치도 포함됩니다.

  • securityGo 1.25.8 보안 패치 — 업그레이드로 반영

    Go 1.25.8은 html/template, net/url, os 패키지의 취약점을 수정했습니다. v1.16.10 이하를 사용 중이라면 해당 취약점이 있는 바이너리를 그대로 실행하는 셈입니다. v1.16.11로 업그레이드하면 수정된 런타임이 자동으로 반영됩니다. Go 1.25.7로 빌드한 커스텀 서비스가 별도로 있다면 그쪽도 함께 재빌드하세요.

  • breakingHA 모드 Scheduler 운영 중이라면 즉시 업그레이드

    v1.16.0~v1.16.10의 멀티 인스턴스 Scheduler 배포는 두 가지 장애 패턴에 노출되어 있습니다. 첫째, 높은 잡 부하에서 연쇄 충돌이 발생합니다. 둘째, 인스턴스가 파티션 리스를 유지하면서도 잡을 실행하지 않는 무음 실패가 생깁니다. 두 경우 모두 전체 Scheduler 파드 재시작 없이는 복구가 안 됩니다. Dapr Workflows나 Actor Reminder, 예약 잡을 HA로 운영 중이라면 일반적인 파드 축출이나 롤링 업데이트만으로도 워크플로우가 멈출 수 있으니 긴급 업그레이드를 권장합니다.

  • breakingAKS Windows 사용자: v1.16.9부터 broken, 이번 릴리스에서 수정

    v1.16.9~v1.16.10 사이에 AKS Windows 노드에 Dapr를 배포했다면, daprd 사이드카가 계속 CrashLoopBackOff 상태였을 겁니다. Docker 매니페스트 생성 도구 변경으로 os.version 필드가 누락되면서 Windows 컨테이너 런타임이 잘못된 이미지 변형을 가져왔기 때문입니다. v1.16.11로 업그레이드하면 별도 설정 변경 없이 정상 동작이 복원됩니다.

주요 변경 (5)
  • Go 런타임 1.25.7 → 1.25.8 업그레이드: html/template, net/url, os 패키지 보안 취약점 패치
  • 높은 잡 처리량 중 리더십 변경 시 발생하던 'catastrophic state machine error' 충돌 수정 — 오래된 CloseJob 이벤트를 no-op으로 처리
  • 클러스터 스케일업 후 Scheduler 인스턴스가 파티션을 점유한 채 잡을 실행하지 않는 레이스 컨디션 수정
  • v1.16.9부터 AKS Windows 노드에서 daprd 사이드카가 CrashLoopBackOff로 기동 실패하던 문제 수정 — 이미지 매니페스트의 os.version 필드 복원
  • 두 Scheduler 버그 모두 v1.16.0~v1.16.10의 모든 HA 배포에 해당
원문

Argo

CI/CD & App Delivery2026년 3월 26일

gRPC CVE 보안 취약점 패치, 앱 정규화 시 잘못된 diff 감지 버그 수정, RollingSync UI 오류 수정이 포함된 패치 릴리스입니다. 보안 픽스만으로도 즉시 업그레이드할 이유가 충분합니다.

  • securityCVE-2026-33186 패치를 위해 v3.2.8로 즉시 업그레이드하세요

    이번 릴리스에서 가장 시급한 부분은 grpc-go CVE-2026-33186 완화 패치입니다. 3.2.x 버전을 운영 중이라면 지금 바로 3.2.8로 올리세요. 업그레이드 후에는 Argo CD 공식 문서의 절차에 따라 cosign으로 컨테이너 이미지 서명을 검증하는 것도 잊지 마세요.

  • breaking업그레이드 전후로 불필요한 Sync 이력을 점검하세요

    정규화 diff 버그로 인해 실제로는 동기화 상태였던 앱이 불필요하게 Sync되었을 수 있습니다. 업그레이드 후 변경사항 없이 자주 Sync된 앱의 이력을 확인해보세요. 오탐이었을 가능성이 높으며, Sync 빈도 기반으로 구성된 자동화나 알림이 있다면 기준값을 재조정해야 할 수도 있습니다.

  • enhancementRollingSync UI 개선으로 Progressive Delivery 가시성이 향상됩니다

    ApplicationSet의 RollingSync를 사용 중이고 특정 스텝이 UI에서 빈 칸으로 표시되는 문제를 겪었다면, 이번 패치로 해결됩니다. 별도 조치 없이 업그레이드만 하면 되며, 이후 UI에서 RollingSync 스텝 구성이 올바르게 표시되는지 한 번 확인해보는 것이 좋습니다.

주요 변경 (4)
  • Argo CD가 사용하는 gRPC 라이브러리의 보안 취약점 CVE-2026-33186 완화
  • 앱 정규화 과정에서 컨트롤러가 불필요한 diff를 감지하던 버그 수정
  • 레이블이 어떤 스텝에도 매칭되지 않을 때 RollingSync 스텝이 UI에 제대로 표시되지 않던 문제 수정
  • 컨테이너 이미지 cosign 서명 및 SLSA Level 3 프로버넌스 유지
원문

Argo

CI/CD & App Delivery2026년 3월 25일

gRPC CVE 패치와 RollingSync UI 버그 수정이 포함된 패치 릴리스입니다. 보안 수정 사항으로 인해 신속한 업그레이드가 권장됩니다.

  • securityCVE-2026-33186 대응을 위해 즉시 업그레이드하세요

    CVE-2026-33186은 Argo CD 내부 및 외부 gRPC 통신에 사용되는 grpc-go 라이브러리에서 발견된 취약점입니다. 3.1 브랜치에 완화 패치가 백포트되었으며, 3.1.13 미만의 모든 3.1.x 인스턴스가 영향을 받습니다. 정기 업데이트가 아닌 우선 패치로 취급하여 신속히 업그레이드하세요. 공급망 보안 정책을 운영 중이라면 업그레이드 후 cosign으로 이미지 서명을 검증하는 것도 잊지 마세요.

  • securitylodash 버전을 직접 고정한 경우 별도 점검이 필요합니다

    이번 lodash 4.17.23 업그레이드는 Argo CD UI 번들에만 적용됩니다. 팀 내 애플리케이션 코드나 CI 파이프라인에서 lodash를 별도로 고정하고 있다면, 해당 버전도 독립적으로 감사하세요.

  • enhancementRollingSync UI 수정으로 싱크 웨이브 오설정을 더 쉽게 발견할 수 있습니다

    기존에는 레이블이 일치하는 클러스터나 앱이 없는 RollingSync 스텝이 UI에서 그냥 숨겨졌습니다. 이번 수정으로 해당 스텝이 명시적으로 표시되어 잘못된 롤아웃 웨이브 설정을 바로 파악할 수 있습니다. 업그레이드 후 RollingSync를 적극 활용 중인 ApplicationSet을 점검하여 스텝 레이블이 의도한 클러스터 또는 앱과 실제로 매칭되는지 확인하세요.

주요 변경 (4)
  • grpc-go의 CVE-2026-33186 완화 — gRPC 통신을 사용하는 모든 배포에 영향
  • RollingSync에서 레이블이 일치하는 스텝이 없을 때 UI에 표시되지 않던 버그 수정
  • lodash 4.17.21 → 4.17.23 업그레이드로 프론트엔드 의존성 취약점 해소
  • 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 출처 증명 유지
원문

Chaos Mesh

Observability2026년 3월 25일

Chaos Mesh v2.8.2는 Go 및 UI 패키지 전반의 CVE를 해소하는 보안 패치 릴리스로, install.sh 제거 및 cert-manager 웹훅 충돌 버그 수정도 포함합니다.

  • securityCVE 대응 목적의 릴리스 — 즉시 업그레이드 필요

    이번 릴리스는 Go와 UI 전체 직접 의존성을 일괄 업그레이드해 CVE를 해소했습니다. 릴리스 노트에 구체적인 CVE ID는 명시되지 않았지만, 대상 범위가 '모든 직접 의존성'인 만큼 노출 범위가 넓을 수 있습니다. 특히 Chaos Mesh 대시보드가 외부 또는 내부 비신뢰 사용자에게 노출된 클러스터라면 v2.8.1 이하 버전에서 즉시 업그레이드하세요.

  • breakinginstall.sh 참조 제거 — 파일 자체가 삭제됨

    단순 사용 중단(deprecated) 수준이 아니라 파일이 완전히 삭제됐습니다. install.sh를 호출하는 CI/CD 파이프라인, 런북, 온보딩 문서가 있다면 업그레이드 즉시 오류가 발생합니다. 업그레이드 전에 관련 자동화 스크립트와 내부 문서를 Helm 차트 또는 공식 퀵스타트 가이드 기준으로 먼저 수정하세요.

  • enhancementcert-manager 사용 환경에서 SSA 충돌 해소 확인 필요

    cert-manager로 웹훅 인증서를 관리하는 경우, 웹훅 템플릿의 caBundle 플레이스홀더가 서버사이드 어플라이(SSA)의 필드 소유권 충돌을 유발했습니다. 조용히 재조정(reconciliation)을 망가뜨리는 유형의 버그입니다. v2.8.2로 업그레이드한 뒤 Helm 릴리스 또는 매니페스트를 다시 적용해 SSA가 필드 소유권을 깔끔하게 재계산하도록 해주세요. 웹훅 인증서 오류나 Helm diff 노이즈가 반복됐다면 이 문제가 원인이었을 가능성이 높습니다.

주요 변경 (5)
  • 알려진 CVE 해소를 위해 직접 의존 Go·UI 패키지 일괄 업그레이드
  • install.sh 삭제 — 더 이상 파일 자체가 존재하지 않음, Helm/kubectl이 유일한 설치 경로
  • Go 런타임 1.25.8로 업그레이드
  • 취약한 go-ethereum JSON-RPC를 creachadair/jrpc2로 교체
  • cert-manager 사용 시 caBundle 플레이스홀더로 인한 서버사이드 어플라이(SSA) 충돌 수정
원문

Rook

Storage & Data2026년 3월 24일

Rook v1.18.10은 OSD 안정성 버그 수정, RBAC 권한 축소, Ceph 익스포터 및 NFS 운영 개선에 집중한 패치 릴리스입니다.

  • security업그레이드 후 Rook RBAC 확인 필요 — nodes/proxy 권한 삭제됨

    오퍼레이터의 nodes/proxy RBAC 권한이 제거됐습니다. Rook 오퍼레이터 ServiceAccount에 해당 권한이 있다고 가정하는 커스텀 모니터링 도구나 파이프라인이 있다면 업그레이드 후 조용히 깨질 수 있습니다. 프로덕션 적용 전에 오퍼레이터 ServiceAccount를 사용하는 도구와 대시보드를 먼저 점검하세요.

  • breaking암호화 OSD 사용 클러스터는 업그레이드 후 키 로테이션 검증 필요

    암호화 OSD의 lockbox 키 로테이션 로직이 변경됐습니다. 비프로덕션 환경에서 먼저 업그레이드한 뒤 키 로테이션이 정상 동작하는지 직접 확인하세요. CephX 키 초기화 시 실패해도 기존 키를 보존하는 동작 변경도 에러 복구 시나리오에 영향을 줄 수 있으므로, 기존에 문서화된 장애 복구 절차도 함께 재검증하는 것이 좋습니다.

  • enhancementCephNFS에서 커스텀 이미지 지정 가능 — 매니페스트 업데이트 고려

    spec.server.image와 spec.server.imagePullPolicy 필드가 새로 생겨서 CephNFS 리소스별로 NFS Ganesha 이미지를 직접 지정할 수 있습니다. 규정 준수 목적으로 이미지를 고정하거나 패치된 이미지를 테스트해야 할 때 유용합니다. 기존에 우회 방법을 쓰고 있었다면 CephNFS 매니페스트를 정리할 좋은 시점입니다.

주요 변경 (5)
  • reconcile 시 고아 상태의 ceph-exporter 디플로이먼트 자동 정리
  • RBAC에서 nodes/proxy 권한 제거 — 오퍼레이터의 클러스터 권한 범위 축소
  • 암호화 OSD의 lockbox 키 로테이션 로직 수정
  • CephX 키 초기화 시 실패해도 기존 키를 덮어쓰지 않도록 변경
  • CephNFS에 spec.server.image 및 spec.server.imagePullPolicy 필드 추가
원문

NATS

Networking & Messaging2026년 3월 24일

v2.12.6은 MQTT, JetStream, WebSocket, 리프노드, mTLS 등 핵심 서브시스템에서 CVE 11건을 수정한 긴급 보안 릴리스입니다. 2.12.5에서 발생한 JetStream 컨슈머 할당 손실 회귀 버그도 함께 수정됐습니다.

  • security즉시 업그레이드 필요 — 핵심 서브시스템 전반에 CVE 11건 패치

    이번 릴리스는 MQTT(3건), JetStream(2건), 리프노드(2건), WebSocket(1건), mTLS(1건), 커맨드라인 자격증명(1건), 퍼블리시 권한(1건)에 걸친 CVE를 모두 수정합니다. 이 기능들을 프로덕션에서 하나라도 사용 중이라면 구버전을 유지할 이유가 없습니다. 자신의 배포 환경에서 영향 받는 서브시스템을 확인하고 MQTT·리프노드 사용자는 특히 빠르게 적용하세요.

  • breakingJWT 크기 1MB 제한이 신규 적용됨

    1MB를 초과하는 JWT는 거부됩니다. 대부분의 환경에는 영향이 없지만, 대규모 권한 세트나 복잡한 계정 구조로 JWT를 발급하는 경우 업그레이드 전에 JWT 크기를 반드시 확인하세요. 오퍼레이터 JWT와 동적으로 발급되는 자격증명을 점검하는 것이 좋습니다.

  • breaking2.12.5에서 JetStream 컨슈머 할당 무음 유실 가능 — 업그레이드 후 확인 필수

    2.12.5의 회귀 버그로 인해 비동기 스냅샷을 사용하는 클러스터 환경에서 스트림 업데이트 시 컨슈머 할당이 조용히 사라질 수 있었습니다. 2.12.5 클러스터 JetStream을 운영 중이라면 업그레이드 전후로 컨슈머 수를 비교해 데이터 손실 여부를 확인하세요. 이번 릴리스 주기에서 운영 측면에서 가장 위험한 버그입니다.

주요 변경 (5)
  • MQTT, JetStream, WebSocket, 리프노드, mTLS, 자격증명 처리 관련 CVE 11건 패치
  • JetStream 회귀 버그 수정: 비동기 스냅샷 활성화 클러스터에서 스트림 업데이트 시 컨슈머 할당이 유실되던 문제 (2.12.5에서 도입)
  • JWT 크기 상한 1MB 신규 적용
  • MQTT 보안 강화: 모니터링 엔드포인트에서 패스워드 노출 차단, 암묵적 권한 범위 제한, 세션 복원 시 클라이언트 ID 검증 추가
  • WebSocket 파서 재작성으로 압축 프레임의 무제한 메모리 할당 문제 해결
원문

NATS

Networking & Messaging2026년 3월 24일

v2.11.15는 MQTT, 리프노드, WebSocket, JetStream, mTLS에 걸쳐 CVE 11건을 패치하는 긴급 보안 릴리스입니다. 해당 기능을 사용 중이라면 즉시 업그레이드해야 합니다.

  • securityCVE 11건 — 즉시 업그레이드 필수

    이번 릴리스는 NATS의 주요 기능 전반에 걸친 CVE를 패치합니다. MQTT 사용자의 노출 범위가 가장 넓은데, 모니터링 엔드포인트에서의 비밀번호 유출, 클라이언트 ID 불일치를 이용한 세션 탈취, 잘못된 패킷으로 인한 패닉이 모두 포함됩니다. WebSocket 배포 환경에서는 DoS에 악용될 수 있는 무제한 메모리 할당 경로가 있었고, 리프노드와 mTLS도 별도 취약점이 수정됐습니다. 개발, 스테이징, 프로덕션 전 클러스터를 v2.11.15로 올리세요.

  • breakingMQTT 클라이언트 ID 문자 제한 — 기존 클라이언트 연결 불가 가능성

    MQTT 클라이언트 ID에 NATS 특수문자(`.`, `>`, `*`, 공백, 탭)가 포함되면 연결이 거부됩니다. IoT 기기 명명 규칙에 이 문자를 쓰는 경우가 많으니 업그레이드 전 전체 클라이언트 ID를 점검하세요. 아울러 기존에 더 넓은 범위로 허용되던 암묵적 권한이 `$MQTT.sub.*`와 `$MQTT.deliver.pubrel.*`로 축소됐으니, 이에 의존하는 클라이언트가 있다면 권한 설정을 재검토해야 합니다.

  • enhancement트레이스 로그와 모니터링 엔드포인트의 시크릿 자동 마스킹

    이전까지는 커맨드라인 시크릿이 expvar 모니터링 출력과 트레이스 로그에 그대로 노출됐습니다. 이제 자동으로 마스킹됩니다. 모니터링 포트를 스크래핑하거나 트레이스 로그를 외부 시스템(로그 수집기, SIEM 등)으로 전송해왔다면, 과거 수집 데이터에 시크릿이 포함됐을 수 있으니 데이터 로테이션이나 삭제를 검토하세요. 추가 설정 없이 자동 적용됩니다.

주요 변경 (5)
  • CVE 11건 패치 — MQTT(3), 리프노드(2), JetStream(2), WebSocket(1), mTLS(1), 자격증명 노출(1), 퍼블리시 권한 우회(1)
  • MQTT 보안 강화: 모니터링/어드바이저리 엔드포인트에서 비밀번호 노출 차단, 클라이언트 ID 불일치 시 세션 복원 차단, 암묵적 권한을 $MQTT 접두어로 제한
  • WebSocket 파서 개선으로 압축/비압축 프레임의 무제한 메모리 할당 경로 차단 — DoS 공격 벡터 제거
  • Nats-Trace-Dest 헤더에 퍼블리시 권한 검사 추가 — 권한 없는 클라이언트는 무시되지 않고 오류 반환
  • JetStream 계정 퍼지 시 경로 순회 버그 및 대형 예약 오버플로우로 인한 티어 한도 위반 버그 수정
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.33.3은 Envoy를 v1.35.9로, grpc-go를 v1.79.3으로 올린 보안 패치 릴리스이며, 예제 매니페스트 정리가 포함됩니다.

  • securityEnvoy 보안 수정을 위해 즉시 업그레이드 검토

    이번 릴리스의 핵심은 Envoy v1.35.9 업그레이드입니다. 데이터 플레인의 실질적인 보안 취약점을 수정하므로, 외부 트래픽에 노출된 클러스터라면 빠르게 롤아웃 계획을 잡으세요. grpc-go의 CVE-2026-33186은 Contour에는 영향이 없지만, Envoy 수정만으로도 업그레이드 이유는 충분합니다.

  • breaking커스텀 매니페스트에서 hostPort: 8002 의존성 확인

    예제 매니페스트를 복사하거나 확장해서 사용 중이고, 노드에서 직접 Envoy 메트릭을 수집하는 데 hostPort: 8002를 사용하고 있다면 주의가 필요합니다. 업스트림 예제에서 해당 설정이 삭제됐으므로, 업그레이드 전에 매니페스트와 모니터링 파이프라인에 이 설정이 남아 있는지 먼저 확인하세요.

주요 변경 (4)
  • Envoy v1.35.9로 업그레이드 — 보안 취약점 수정 목적
  • grpc-go v1.79.3 업데이트, CVE-2026-33186 패치 (Contour 자체는 영향 없음)
  • 예제 매니페스트에서 Envoy 메트릭용 hostPort: 8002 제거
  • Kubernetes 1.32 ~ 1.34 버전에서 테스트 완료
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.32.4는 보안 패치 릴리스로, Envoy를 v1.34.13으로, grpc-go를 CVE-2026-33186 대응 버전으로 업그레이드하고 예시 매니페스트를 소폭 정리했습니다.

  • securityEnvoy 보안 수정을 위해 즉시 업그레이드하세요

    이번 릴리스의 핵심은 Envoy v1.34.13 업데이트입니다. 이 버전 범위의 Envoy 릴리스에는 보안 수정이 포함되어 있으므로, Envoy v1.34.13 체인지로그를 직접 확인해 실제 트래픽 패턴에 영향을 주는 CVE가 있는지 파악하세요. grpc-go CVE-2026-33186은 Contour에 직접 영향을 주지 않지만, 의존성 그래프 정리 차원에서라도 업그레이드를 서두르는 게 낫습니다.

  • breakinghostPort 8002를 참조하는 커스텀 매니페스트를 확인하세요

    예시 매니페스트에서 Envoy 메트릭 컨테이너의 hostPort 8002가 제거됐습니다. 업스트림 매니페스트를 기반으로 배포 파이프라인을 구성했다면 diff에서 이 변경이 나타납니다. 더 중요한 건, Prometheus 스크레이프 설정이나 방화벽 규칙에서 해당 호스트 포트를 직접 참조하고 있다면, 업그레이드 전에 ClusterIP 서비스나 파드 IP 등 대체 경로로 메트릭 엔드포인트에 접근 가능한지 먼저 확인해야 합니다.

주요 변경 (3)
  • 보안 취약점 수정 및 안정성 개선을 위해 Envoy v1.34.13으로 업데이트
  • CVE-2026-33186 패치가 포함된 grpc-go v1.79.3으로 업데이트 (Contour 자체는 해당 CVE에 영향 없음)
  • 예시 매니페스트에서 Envoy 메트릭 hostPort 8002 항목 제거
원문

Contour

Networking & Messaging2026년 3월 23일

Contour v1.31.5는 보안·안정성 패치 릴리스입니다. Envoy v1.34.13 업그레이드, CVE-2026-33186 대응 grpc-go 업데이트, 예시 매니페스트 소폭 정리가 포함됩니다.

  • securityEnvoy 보안 픽스 포함 — 업그레이드를 미루지 마세요

    Envoy v1.34.13에는 보안 취약점 수정이 포함되어 있습니다. 릴리스 노트에 개별 CVE가 명시되지 않았지만, .13 포인트 릴리스 수준의 Envoy 패치는 가볍게 볼 수 없습니다. 커스텀 Envoy 설정이 많다면 스테이징에서 먼저 검증 후 운영에 반영하되, 업그레이드 자체는 빠르게 진행하세요.

  • securityCVE-2026-33186: 패치 완료, Contour는 직접 영향 없음

    grpc-go v1.79.3 업데이트로 CVE-2026-33186이 패치됐지만, Contour 코드는 취약한 경로를 사용하지 않습니다. 다만 Contour 바이너리에 해당 의존성이 번들되므로 업그레이드하면 자연스럽게 포함됩니다. 긴급 배포까지는 불필요하고, 다음 정기 유지보수 시 적용하면 됩니다.

  • breakingEnvoy 메트릭 hostPort 8002 제거 — 커스텀 매니페스트 확인 필요

    예시 매니페스트에서 Envoy 메트릭 hostPort: 8002가 삭제됐습니다. Contour 공식 예시를 기반으로 매니페스트를 구성하고 호스트 레벨 메트릭 스크래핑을 이 포트에 의존하고 있다면, 스크래핑 설정과 매니페스트를 함께 수정해야 합니다. Helm 또는 Operator로 배포한 경우라면 대부분 영향이 없지만, 명시적으로 템플릿에 추가한 케이스는 점검하세요.

주요 변경 (3)
  • 보안 취약점 수정 및 안정성 개선을 위해 Envoy v1.34.13으로 업그레이드
  • CVE-2026-33186 패치를 포함한 grpc-go v1.79.3으로 업데이트 (Contour 자체는 취약 경로에 해당 없음)
  • 예시 매니페스트에서 Envoy 메트릭 hostPort: 8002 항목 제거
원문

OpenFGA

Security2026년 3월 23일

OpenFGA v1.13.0은 AuthZen v1.0 표준 지원, Check v1/v2 캐시 분리, 리졸버 패닉 처리 강화를 주요 변경사항으로 담았습니다.

  • security리졸버 패닉으로 인한 서버 다운 위험 — 즉시 업그레이드 권장

    파이프라인 기본 리졸버에서 처리되지 않은 패닉이 발생하면 OpenFGA 프로세스 전체가 종료될 수 있었습니다. 이번 수정으로 패닉이 에러로 변환되어 서버가 계속 실행됩니다. 복잡한 권한 그래프 평가 중 OpenFGA가 예기치 않게 재시작되는 문제를 겪었다면 바로 이 원인입니다. 가용성에 직접 영향을 주는 수정이므로 빠른 업그레이드를 권장합니다.

  • breakingCheck v1/v2 캐시 분리로 캐시 히트율 변동 가능 — 용량 설정 재검토 필요

    기존에는 Check v1과 v2가 캐시를 공유했는데, 이제 완전히 분리됩니다. 두 API 버전을 동시에 사용하는 환경이라면 전체 캐시 히트율이 낮아지거나 메모리 사용 패턴이 달라질 수 있습니다. 업그레이드 후 캐시 용량 설정을 재확인하고, 모니터링 대시보드에서 캐시 히트율 지표를 주의 깊게 살펴보세요.

  • enhancementAuthZen v1.0으로 크로스 시스템 권한 부여 연동 검토

    AuthZen v1.0은 CNCF 생태계 전반의 권한 부여 API 상호운용 표준으로 자리잡는 중입니다. 여러 정책 엔진을 연동하거나 멀티 시스템 권한 부여 레이어를 구성 중이라면, 이번 릴리스에서 새로운 AuthZen 엔드포인트를 먼저 테스트해 보세요. 지금 도입하면 나중에 구조를 뜯어고치지 않아도 생태계 방향과 자연스럽게 맞춰집니다.

주요 변경 (4)
  • AuthZen v1.0 표준 구현 — CNCF 권한 부여 상호운용성 스펙을 공식 지원
  • Check v1과 v2 API의 캐시가 분리되어 버전 간 캐시 오염 방지
  • 파이프라인 기본 리졸버에서 발생하는 패닉을 잡아 에러로 반환 — 프로세스 크래시 방지
  • List-objects 추적 스팬 개선 — 발신자별 메시지 통계가 단일 스팬으로 집계되어 가시성 향상
원문

Cilium

Networking & Messaging2026년 3월 23일

Cilium v1.19.2는 안정성 중심의 패치 릴리스입니다. IPSec 키 교체 레이스 컨디션, L7 LB 정책 우회, ClusterMesh 고루틴 누수, Envoy 어드민 소켓 보안 문제 등이 수정됐습니다.

  • securityEnvoy 어드민 소켓 노출 문제 — 즉시 업그레이드

    Envoy 어드민 소켓이 노드의 모든 사용자에게 접근 가능한 상태로 생성되고 있었습니다. 같은 노드의 워크로드라면 누구든 Envoy 어드민 API를 호출할 수 있는 상황이었습니다. L7 정책이나 Envoy 기반 기능을 쓰고 있다면 v1.19.2로 즉시 업그레이드하세요. 별도 설정 변경 없이 바이너리 교체만으로 해결됩니다.

  • securityIPSec 키 교체 중 패킷 드롭 레이스 컨디션 수정

    IPSec 키 교체 과정에서 피어가 새 키를 먼저 사용하기 시작할 때 로컬 XFRM 상태가 준비되지 않아 패킷이 조용히 드롭되는 문제가 있었습니다. IPSec 암호화와 롤링 키 교체를 함께 사용 중이라면 원인 불명의 연결 끊김을 경험했을 가능성이 높습니다. 업그레이드 후 키 교체 절차를 재검토하세요. 이번 수정에서 교체 흐름 로깅도 추가되어 향후 가시성이 개선됩니다.

  • breakingL7 LB 인그레스 정책 우회 수정 — 트래픽 동작 재확인 필요

    L7 로드밸런싱이 활성화된 상태에서 로컬 백엔드에 대한 인그레스 정책이 우회되는 버그가 있었습니다. L7 LB와 Cilium 네트워크 정책을 함께 사용하고 있다면, 의도한 정책이 실제로는 적용되지 않았을 수 있습니다. v1.19.2 업그레이드 후 정책 의도에 맞게 트래픽이 동작하는지 반드시 확인하세요. 올바른 정책 적용이 복원되면서 기존과 다른 트래픽 패턴이 관찰될 수 있습니다.

주요 변경 (5)
  • 보안 수정: Envoy 어드민 소켓이 0.0.0.0에 바인딩되어 누구나 접근 가능했던 문제 해결 — L7 정책 사용 시 즉시 업그레이드 필요
  • IPSec 키 교체 시 XFRM 상태 준비 전에 피어가 새 키를 사용해 패킷이 무음 드롭되던 레이스 컨디션 수정
  • L7 LB 사용 시 로컬 백엔드에 대한 인그레스 정책이 우회되던 버그 수정 — L7 LB와 네트워크 정책 병용 시 필수 패치
  • ClusterMesh에서 클러스터 제거 시 발생하던 고루틴 누수 및 EndpointSlice 정리 레이스 컨디션 수정
  • 유지보수 백엔드 존재 시 서비스 로드밸런싱 백엔드 슬롯에 갭이 생겨 트래픽 오라우팅 가능했던 버그 수정
원문

Cilium

Networking & Messaging2026년 3월 23일

Cilium v1.18.8은 버그 수정 패치지만, GKE 사용자는 XDP 회귀 문제로 이 버전을 반드시 건너뛰어야 합니다.

  • securityEnvoy 어드민 소켓 권한 노출 — 즉시 업그레이드 필요

    Envoy 어드민 소켓이 world-readable/writable 권한으로 생성되어, 노드상의 모든 프로세스가 접근할 수 있었습니다. v1.18.8에서 수정됐습니다. L7 정책이나 Envoy 기반 기능을 사용 중이라면 빠르게 업그레이드하세요. 기존 노드에서는 /var/run/cilium/envoy/sockets/ 경로의 소켓 권한을 직접 확인해 보는 것이 좋습니다.

  • breakingGKE 사용자: v1.18.8 배포 금지

    XDP jumbo MTU 지원(PR #44499)이 GKE 환경에서 회귀를 일으킵니다. GKE 클러스터라면 이 버전은 건너뛰고 v1.19.2로 직접 업그레이드하세요. v1.18.8을 GKE에 배포하면 네트워크 장애가 발생할 수 있습니다. 다른 환경의 사용자는 영향받지 않습니다.

  • enhancementL7 LB 정책 우회 및 FQDN SNI 수정 — 정책 적용 신뢰성 개선

    정책 집행 관련 버그 두 가지가 수정됐습니다. 첫째, L7 LB 환경에서 로컬 백엔드가 인그레스 정책을 우회할 수 있었습니다. 둘째, SNI 기반 매칭 사용 시 와일드카드 FQDN 정책이 Envoy로 전달되지 않는 문제가 있었습니다. L7 로드밸런싱이나 SNI FQDN 네트워크 정책을 운영 중이라면 실질적인 보안 허점이 닫히는 만큼 업그레이드를 우선순위에 두세요.

주요 변경 (5)
  • GKE 사용자 주의: 알려진 회귀 문제로 v1.18.8 배포 금지, v1.19.2로 직접 업그레이드 필요
  • 보안 수정: Envoy 어드민 소켓이 누구나 접근 가능한 권한(world-accessible)으로 생성되던 문제 해결
  • SNI 기반 정책 사용 시 와일드카드 FQDN 네트워크 정책 ID가 Envoy에 전달되지 않던 버그 수정
  • L7 로드밸런서에서 로컬 백엔드의 인그레스 정책 우회 버그 수정
  • 여러 EndpointSlice가 같은 이름을 공유할 때 주소 삭제가 누락되던 문제 수정
원문

Cilium

Networking & Messaging2026년 3월 23일

Cilium v1.17.14는 Envoy 어드민 소켓 권한 문제(보안)와 L7 LB 정책 우회 버그 2건을 수정했습니다. L7 LB나 Envoy를 사용 중이라면 즉시 업그레이드하세요.

  • securityEnvoy 어드민 소켓 권한 노출 — 즉시 업그레이드 필요

    Envoy 어드민 소켓이 world-accessible 권한으로 생성되어 노드 내 모든 프로세스가 소켓에 접근할 수 있었습니다. 멀티테넌트나 공유 노드 환경에서는 로컬 권한 상승 위험이 됩니다. 외부 파일시스템 접근 제어 외에는 별도 우회책이 없으므로 v1.17.14로 즉시 업그레이드하고, 기존 노드에서 소켓이 실제로 접근 가능한 상태였는지 확인하세요.

  • securityL7 LB에서 인그레스 정책 우회 가능 — 정책 적용 여부 재확인 필요

    L7 로드밸런싱 활성화 상태에서 로컬 백엔드에 대한 인그레스 정책이 제대로 적용되지 않았습니다. L7 LB를 통해 이스트-웨스트 트래픽을 제어하던 환경이라면 정책이 실제로 동작하지 않았을 가능성이 있습니다. 업그레이드 후 로컬 엔드포인트가 있는 서비스의 인그레스 정책 동작을 반드시 검증하세요.

  • enhancementbugtool에 BPF 파일시스템 정보 포함 — 장애 대응 절차 업데이트

    bugtool이 이제 /sys/fs/bpf 경로 정보를 자동으로 수집합니다. BPF 맵이나 프로그램 문제를 진단할 때 가장 먼저 확인하는 정보가 기본으로 포함되는 셈입니다. 별도 조치는 불필요하지만, v1.17.14 이상에서는 bugtool 실행만으로 이 데이터를 얻을 수 있으므로 장애 대응 런북에서 SSH 수동 확인 단계를 제거해도 됩니다.

주요 변경 (5)
  • Envoy 어드민 소켓이 world-accessible(0777)로 생성되던 보안 버그 수정
  • 브리지 디바이스의 L7 LB에서 hairpin redirect가 올바르게 동작하도록 수정
  • L7 LB를 통한 로컬 백엔드 인그레스 정책 우회 가능성 패치
  • 베이스 이미지 v1.25.8 업데이트, cilium-envoy v1.35.9 다수 패치 빌드 반영
  • bugtool 출력에 /sys/fs/bpf 경로 정보 포함 — 디버깅 편의성 향상
원문

wasmCloud

Orchestration & Management2026년 3월 22일

wasmCloud v2.0.0이 정식 출시됐습니다. HTTP/2·gRPC 지원, OpenTelemetry 메트릭, wasmtime 42 업그레이드, RUSTSEC-2026-0007 보안 패치가 포함됩니다.

  • securityRUSTSEC-2026-0007 패치 — 즉시 업그레이드 필요

    v2.0.0 이전 빌드를 사용 중이라면 이 취약점 패치만으로도 업그레이드 이유가 충분합니다. cargo-audit이나 Dependabot을 통해 취약한 의존성이 실제로 해소됐는지 환경 내에서 직접 확인하세요.

  • breakingHelm 사용자 필독: CRD 경로 변경, GitOps 파이프라인 점검 필요

    CRD 위치가 templates/crds에서 최상위 /crds 디렉토리로 바뀌었습니다. ArgoCD, Flux, 또는 기존 Helm 기반 GitOps 파이프라인이 이전 경로를 참조하고 있다면 업그레이드 즉시 배포가 깨집니다. 업그레이드 전에 Helm 릴리스 설정과 CI/CD 스크립트를 반드시 수정하세요.

  • enhancement지금 바로 메트릭 수집 설정 — v2의 관측 가능성을 활용하세요

    OpenTelemetry 메트릭이 기본 포함됐습니다. 이미 OTEL 콜렉터를 운영 중이라면 wasmCloud v2를 연결해 런타임 메트릭 수집을 시작하세요. 프로덕션 전환 후가 아니라 지금, 기준 대시보드를 잡아두는 게 맞는 순서입니다.

주요 변경 (6)
  • 런타임에 HTTP/2 및 gRPC 전송 계층 추가
  • OpenTelemetry 메트릭 통합으로 관측 가능성 확보
  • 최신 WebAssembly 엔진인 wasmtime 42로 업그레이드
  • RUSTSEC-2026-0007 대응을 위한 보안 패치 적용
  • Helm 차트 CRD 경로 변경: templates/crds → /crds (기존 배포 파이프라인 영향)
  • wash CLI가 clap v4 스타일로 개편되어 help 출력 품질 향상
원문

Harbor

Storage & Data2026년 3월 20일

Harbor v2.15.0은 프록시 캐시 연결 제한, 엔드포인트별 CA 인증서, Cosign v3 지원과 함께 베어러 토큰 보안 취약점 수정 및 Trivy 공급망 사고 대응 업데이트를 포함합니다.

  • security즉시 업그레이드 필요: Trivy 공급망 사고 및 베어러 토큰 우회 취약점

    이번 릴리스에 보안 이슈 두 건이 포함되어 있습니다. Trivy 공급망 사고로 인해 v0.69.3으로 긴급 업데이트됐으므로, 다음 스캔 실행 전에 반드시 적용해야 합니다. 베어러 토큰 수정은 프로젝트 생성 이전에 발급된 토큰을 거부하는 인가 우회 패치입니다. 두 이슈 모두 정기 유지보수를 기다리지 말고 빠르게 업그레이드하는 것을 권장합니다.

  • breakingGCR 복제 어댑터 제거 — 업그레이드 전 기존 복제 규칙 마이그레이션 필수

    Google Container Registry 어댑터가 완전히 제거됐습니다. GCR을 대상으로 하는 복제 규칙이 있다면 업그레이드 후 조용히 실패하게 됩니다. v2.15.0 업그레이드 전에 해당 규칙을 Artifact Registry(GAR) 엔드포인트로 전환하세요. GCR을 바라보는 프록시 캐시 프로젝트도 동일하게 재구성이 필요합니다.

  • enhancement프록시 캐시 업스트림 연결 수 제한으로 레이트 리밋 충돌 방지

    새로운 `max_upstream_conn` 파라미터로 프록시 캐시 프로젝트별 아웃바운드 연결 수를 조절할 수 있습니다. Docker Hub처럼 레이트 리밋이 있는 레지스트리나 자체 호스팅 레지스트리를 풀스루 캐시로 사용 중이라면, 업그레이드 후 UI나 API로 프로젝트별 연결 수를 적절히 설정하세요.

주요 변경 (7)
  • 프록시 캐시 프로젝트에 `max_upstream_conn` 파라미터 추가 — UI에서 업스트림 연결 수를 제한할 수 있음
  • 레지스트리 엔드포인트별 CA 인증서 지원 추가 — 커스텀 PKI를 사용하는 사설 레지스트리 환경에 유용
  • 프로젝트 생성 이전에 발급된 베어러 토큰을 거부하도록 수정 — 인가 우회 취약점 패치
  • Trivy 공급망 사고 이후 v0.69.3으로 긴급 업데이트
  • Cosign v3 Bundle 서명 형식 지원 추가, Harbor 릴리스 아티팩트에 Cosign 키리스 서명 적용
  • GCR 복제 어댑터 제거 — Google Cloud Registry 계정 종료에 따른 조치
  • 초기화 시 감사 로그 DB 저장 비활성화 옵션 추가 — 고부하 환경에서 DB 쓰기 부담 감소
원문

Linkerd

Networking & Messaging2026년 3월 19일

proxy 두 차례 업데이트(v2.343.0, v2.344.0), Go 1.25.8 업그레이드, rustls 패치, proxy-init 2.4.6이 포함된 의존성 중심의 edge 릴리스입니다. 신규 기능이나 파괴적 변경은 없습니다.

  • securityrustls 패치 업데이트 — 구버전 edge 사용 중이라면 롤포워드 고려

    rustls가 한 릴리스에서 두 버전 올라갔습니다(0.23.35 → 0.23.37). 서비스 메시의 TLS 계층 패치인 만큼 보안 또는 버그 수정이 포함됐을 가능성이 높습니다. CVE가 명시되진 않았지만, 구버전 edge를 운영 중이라면 이번 버전으로 업데이트하는 것이 바람직합니다.

  • enhancementproxy 두 버전이 번들 — proxy 변경 내역을 별도 확인하세요

    이번 릴리스에 v2.343.0과 v2.344.0이 연속으로 포함됐습니다. 릴리스 노트에는 각 proxy 버전의 세부 변경 사항이 없으므로, 라우팅·관측성·프로토콜 감지 동작을 추적 중이라면 linkerd2-proxy 저장소의 해당 버전 changelog를 직접 확인한 뒤 배포 여부를 결정하세요.

  • enhancement컨트롤 플레인 Go 1.25.8 업그레이드 — 별도 조치 불필요

    Go 1.25.8은 패치 릴리스로 주로 런타임 안정성 수정이 목적입니다. Linkerd Go 모듈을 기반으로 커스텀 도구를 빌드 중인 경우라면 툴체인 버전을 맞춰주세요. 그 외 일반 운영 환경에서는 별도 조치가 필요하지 않습니다.

주요 변경 (5)
  • 이번 릴리스 사이클 내 proxy가 v2.343.0, v2.344.0으로 두 차례 업데이트
  • 컨트롤 플레인 Go 런타임을 1.25.8로 업그레이드
  • proxy 내 TLS 라이브러리 rustls를 0.23.35에서 0.23.37로 패치 업데이트
  • proxy-init 2.4.5 → 2.4.6 업데이트
  • openssl-sys(0.9.112)와 gRPC(1.79.3) 의존성 업데이트
원문

Dapr

Orchestration & Management2026년 3월 19일

Dapr v1.17.2는 Go 표준 라이브러리 CVE 3건 수정, CRD 수동 업데이트가 필요한 브레이킹 체인지, 대규모 액터 배포의 배치 장애 및 스트리밍 OOM 문제를 포함한 긴급 패치입니다.

  • securityGo 표준 라이브러리 CVE 3건 — 즉시 업그레이드 필요

    Go 1.24.x에서 net/url의 IPv6 SSRF(GO-2026-4601), os.Root 경로 탈출(GO-2026-4602), html/template XSS(GO-2026-4603)가 발견됐습니다. 사용자 입력 URL을 처리하거나 템플릿 렌더링이 관련된 서비스라면 실질적인 위험이 있습니다. Go 툴체인 업그레이드로 해결되므로 애플리케이션 코드 변경 없이 v1.17.2로 업그레이드하면 됩니다.

  • breakingHelm 업그레이드 전 CRD 수동 업데이트 — 안 하면 daprd 기동 실패

    Configuration CRD의 `stateRetentionPolicy` 필드 타입이 integer에서 string으로 바뀌었습니다. Helm은 CRD를 자동으로 업데이트하지 않으므로, CRD 업데이트 없이 `helm upgrade`를 실행하면 duration 문자열을 쓰는 Configuration 오브젝트가 Kubernetes 검증에서 거부되고 daprd가 설정을 불러오지 못할 수 있습니다. 공식 Kubernetes 업그레이드 가이드의 CRD 업데이트 절차를 먼저 수행하세요. 현재 워크플로우 상태 보존 정책을 사용하지 않더라도 CRD는 업데이트해두는 편이 좋습니다.

  • enhancement대규모 액터 배포 및 스트리밍 워크로드는 이번 패치를 우선 적용하세요

    보안 외에 두 가지 수정이 특히 중요합니다. 첫째, 1.17.x에서 50개 이상의 액터 레플리카 환경은 배치 전파 타임아웃이 연쇄적으로 발생하는 문제가 있었는데, 이번 릴리즈의 배치 처리 개선으로 해결됐습니다. 둘째, 파일 업로드·SSE·청크 데이터 같은 스트리밍 요청/응답이 사이드카 메모리에 통째로 버퍼링되어 OOM 킬이 발생하던 문제도 수정됐습니다. 두 패턴 중 하나라도 해당한다면 일반 정기 업그레이드가 아닌 긴급 패치로 취급하세요.

주요 변경 (5)
  • Go 1.25.8 업그레이드로 html/template XSS, os.Root 경로 탈출, net/url IPv6 파싱 등 CVE 3건 수정
  • 브레이킹 체인지: 워크플로우 상태 보존 정책 CRD 필드 타입이 integer에서 string으로 변경 — Helm 업그레이드 전 CRD 수동 업데이트 필수
  • 50개 이상 레플리카 환경에서 발생하던 액터 배치 전파 타임아웃 연쇄 장애 수정
  • 서비스 호출 시 스트리밍 요청/응답 전체를 메모리에 버퍼링하던 문제 수정 — 사이드카 OOM 방지
  • 그레이스풀 셧다운 중 DLQ 오라우팅 수정, 벌크 퍼블리시 네임스페이스 프리픽스 누락 수정
원문

Operator Framework

Orchestration & Management2026년 3월 19일

gRPC 의존성을 1.78.0에서 1.79.3으로 올리고 Ansible 오퍼레이터 플러그인을 갱신한 패치 릴리스입니다. 변경 범위가 좁아 빠르게 적용해도 무방합니다.

  • securitygRPC 의존성 업그레이드 적용 권장

    gRPC가 두 마이너 버전을 건너 1.79.3으로 올라갔습니다. gRPC의 전송 계층 문제나 CVE는 조용히 오퍼레이터-레지스트리 통신에 영향을 줄 수 있습니다. grpc 변경 이력을 한 번 확인한 뒤 업그레이드하세요. 의존성 범위가 좁아 리스크는 낮습니다.

  • enhancementAnsible 기반 오퍼레이터는 이미지 재빌드 필요

    Ansible 오퍼레이터를 운영 중이라면 플러그인 업데이트로 인해 기존 스캐폴딩 파일이 현재 기준과 어긋날 수 있습니다. SDK 업그레이드 후 플러그인이 관리하는 파일을 재생성해 동기화 상태를 유지하세요. 급하지는 않지만 다음 오퍼레이터 릴리스 전에 처리해 두는 편이 좋습니다.

주요 변경 (3)
  • google.golang.org/grpc 1.78.0 → 1.79.3 업그레이드 (dependabot)
  • Ansible 오퍼레이터 플러그인 v1.42.2 버전으로 업데이트
  • v1.42.1 릴리스 이후 생성 파일 동기화
원문

Keycloak

Security2026년 3월 19일

Keycloak 26.5.6은 SSRF, 토큰 재사용, IDOR, 권한 상승 등 8개 CVE를 패치하는 긴급 보안 릴리스입니다. 즉시 업그레이드가 필요합니다.

  • security8개 CVE 패치 — 즉시 26.5.6으로 업그레이드

    SSRF, 토큰 재생, 권한 상승, IDOR, 다중 정보 노출 경로를 포함한 8개 CVE가 수정되었습니다. 특히 jwks_uri 경유 SSRF, manage-clients 권한 상승, 인증 세션 오염은 멀티테넌트 또는 외부 노출 환경에서 매우 위험합니다. 별도의 완화 방법은 없으며 업그레이드가 유일한 해결책입니다. 26.x 버전을 운영 중이라면 긴급 패치로 처리하세요.

  • securitymanage-clients 권한 부여 내역 및 동적 클라이언트 등록 설정 점검

    CVE-2026-3121(manage-clients 권한 상승)과 CVE-2026-1180(동적 클라이언트 등록의 jwks_uri SSRF)은 현재 권한 설정과 기능 활성화 여부를 함께 검토해야 합니다. 업그레이드 후 manage-clients를 보유한 사용자·서비스 계정을 감사하세요. OIDC 동적 클라이언트 등록을 사용하지 않는다면 렐름 단위에서 비활성화해 SSRF 공격면을 완전히 제거하세요.

  • breaking업그레이드 후 Operator DB 설정 및 다중 렐름 시작 동작 검증 필요

    26.5.0에서 도입된 Operator의 DB targetServerType=primary 미적용 문제(마스터-레플리카 페일오버 시 연결 검증 실패)와 26.5.4에서 발생한 O(N²) 시작 스캔 회귀가 모두 수정되었습니다. 해당 버그를 경험했다면 업그레이드 후 DB 페일오버 동작과 시작 시간을 반드시 확인하세요. 렐름이 많은 대규모 환경에서는 재시작 속도가 눈에 띄게 빨라질 겁니다.

주요 변경 (6)
  • CVE-2026-1180: OIDC 동적 클라이언트 등록의 jwks_uri를 통한 블라인드 SSRF — 내부 네트워크 탐색 가능
  • CVE-2026-1035: TOCTOU 경쟁 조건을 이용한 리프레시 토큰 재사용 우회 — 토큰 재생 공격 가능
  • CVE-2026-3121: manage-clients 권한을 통한 권한 상승 — 낮은 권한 사용자가 상위 권한 획득 가능
  • CVE-2025-14777: 렐름 클라이언트 생성/삭제 시 IDOR — 무단 클라이언트 조작 가능
  • 버그 수정: AUTH_SESSION_ID 쿠키 재사용으로 재인증 시 세션 오염 발생 — 심각한 데이터 격리 문제 해결
  • 버그 수정: 26.5.4에서 도입된 다수 렐름 환경의 O(N²) 시작 시간 회귀 수정
원문

SPIRE

Security2026년 3월 18일

v1.14.3은 SPIFFE 인증서 체인 검증을 우회할 수 있는 TLS 세션 티켓 취약점을 패치하고, 노드 캐시 재구축 버그와 AWS·페더레이션 관련 안정성 문제를 수정했습니다.

  • securityTLS 세션 티켓 우회 취약점 — 즉시 업그레이드 필요

    SPIRE 서버 TCP 엔드포인트에서 TLS 세션 재개 시 SPIFFE 인증서 체인 검증이 생략될 수 있었습니다. 만료되거나 폐기된 인증서를 가진 클라이언트가 현재 신뢰 번들 검증 없이 재연결할 수 있는 신뢰 경계 위반입니다. v1.14.3으로 즉시 업그레이드하세요. 서버 측에서 자동으로 세션 티켓을 비활성화하므로 별도 설정 변경은 필요 없습니다.

  • security에이전트 로그의 셀렉터 데이터 노출 문제 해결

    셀렉터에는 Kubernetes 파드 레이블, Unix UID, AWS 메타데이터 등 민감한 워크로드 식별 정보가 포함될 수 있습니다. 업그레이드 후에는 에이전트 로그에 더 이상 기록되지 않지만, 기존 로그 파이프라인과 보존 정책을 점검해 과거 로그에 남아 있는 데이터를 확인하세요.

  • breakingPQC 사용자: X25519MLKEM768 마이그레이션 필요

    RequirePQKEM TLS 정책을 활성화한 경우, 알고리즘이 초안 x25519Kyber768Draft00에서 표준 X25519MLKEM768로 변경됩니다. 양쪽 피어 모두 v1.14.3 이상이어야 TLS 핸드셰이크가 성공합니다. 에이전트와 서버를 동시에 업그레이드하는 일정을 조율하세요.

  • enhancement노드 캐시 재구축 버그 — 동적 환경에서 특히 중요

    노드 캐시 재구축이 시작 후 단 1회만 실행되고 이후에는 중단되는 버그가 있었습니다. 워크로드 변경이 잦은 환경에서는 에이전트가 오래된 캐시 데이터를 계속 제공하게 됩니다. v1.14.3에서 자동 수정되며 별도 설정 변경 없이 업그레이드만 하면 됩니다. 동적 환경일수록 에이전트 업그레이드를 서두르세요.

주요 변경 (5)
  • 서버 TCP 엔드포인트의 TLS 세션 티켓 재개(resumption) 비활성화 — 신뢰 번들 검증 우회 가능성 차단
  • 민감 정보 노출 방지를 위해 에이전트 레벨 셀렉터 로깅 제거
  • RequirePQKEM 정책의 알고리즘을 초안 x25519Kyber768Draft00에서 표준화된 X25519MLKEM768로 교체
  • 노드 캐시 주기적 재구축이 최초 1회만 실행되던 버그 수정 — 설정된 인터벌로 정상 반복 실행
  • ReadOnlyEntry.Clone() 버그 수정: Admin 필드 값이 Downstream 필드로 잘못 복사되어 인가 메타데이터가 오염되던 문제 해결
원문

Kubescape

Security2026년 3월 17일

v4.0.3은 소규모 패치 릴리스로, 에어갭 환경을 위한 --grype-db-url 플래그 추가, 호스트 누락 시 에러 미반환 버그 수정, 의존성 업데이트가 주요 변경 사항입니다.

  • securitygo-git v5.16.5 업그레이드 — CVE 여부 확인 후 신속히 적용

    go-git 패치 릴리스에는 git 프로토콜 파싱 관련 취약점 수정이 포함되는 경우가 많습니다. go-git v5.16.5 변경 로그에서 CVE 수정 여부를 직접 확인하고, git 저장소 스캔이나 Kubescape를 라이브러리로 임베딩하여 사용 중이라면 업그레이드를 서두르세요.

  • breaking호스트 누락 시 에러 반환 변경 — 에러 처리 로직 점검 필요

    이전 버전에서는 스캔 대상에 호스트 정보가 없을 때 nil을 반환해 에러가 무시됐습니다. 이 동작에 의존해 exit code 0을 성공으로 처리하던 파이프라인이 있다면, 업그레이드 후 기존에 묻혔던 실패가 표면에 드러날 수 있습니다. 업그레이드 전에 스캔 워크플로우의 에러 처리를 반드시 검토하세요.

  • enhancement에어갭/내부 미러 환경에서 --grype-db-url 활용

    인터넷 직접 접근이 불가한 환경에서 Kubescape를 운영 중이라면, --grype-db-url 플래그로 내부 Grype DB 미러를 지정할 수 있습니다. 기존에 환경 변수 패치나 우회 방법을 쓰고 있었다면 CI 파이프라인이나 오퍼레이터 설정에 이 플래그를 적용하는 편이 깔끔합니다.

주요 변경 (5)
  • kubescape scan 명령에 --grype-db-url 플래그 추가 — Grype 취약점 DB URL 직접 지정 가능
  • 호스트 정보 누락 시 nil 에러를 반환하던 버그 수정 — 스캔 실패가 묵살되던 문제 해결
  • go-git v5.16.5로 업그레이드 (보안/버그 수정 포함 가능성)
  • OpenTelemetry SDK 1.40.0으로 업데이트
  • Grype DB 조회 URL 디버깅을 위한 로그 추가
원문

KubeVirt

Orchestration & Management2026년 3월 16일

KubeVirt v1.6.4는 CVE 패치, 핫플러그/마이그레이션 버그 수정, vCPU 큐 알림 추가를 포함한 108개 변경 사항의 패치 릴리스입니다.

  • securityCVE-2025-47913 대응 — 즉시 v1.6.4로 업그레이드

    CVE-2025-47913은 golang/x/crypto 의존성 취약점입니다. v1.6.4 이전 버전을 사용 중이라면 지금 바로 업그레이드하세요. 바이너리를 직접 패치하지 않는 한 별도의 우회 방법은 없습니다.

  • breaking크로스 벤더 라이브 마이그레이션 차단 — 노드 구성 사전 점검 필요

    이제 KubeVirt는 서로 다른 CPU 벤더(예: Intel ↔ AMD) 간 라이브 마이그레이션을 명시적으로 차단합니다. 혼합 CPU 환경에서 크로스 벤더 마이그레이션을 의도적으로든 비의도적으로든 사용하고 있었다면, 업그레이드 전에 노드 토폴로지를 반드시 점검하세요. 이전에는 성공하던 마이그레이션이 오류로 실패할 수 있습니다.

  • enhancementvCPU 큐 알림을 모니터링에 추가하세요

    GuestPeakVCPUQueueHighWarning, GuestPeakVCPUQueueHighCritical 두 알림이 새로 추가됐습니다. Prometheus를 사용 중이라면 이 알림이 정상적으로 수집되는지 확인하세요. VM이 부하 상태에서 이상 증상을 보이기 전에 CPU 고갈을 미리 감지할 수 있어 운영 가시성이 높아집니다.

주요 변경 (5)
  • CVE-2025-47913 수정: golang/x/crypto를 OpenShift 패치 포크로 교체
  • v3 핫플러그 포트 토폴로지 업그레이드 시 PCI 주소 안정성 문제 수정
  • 블록 볼륨 핫플러그 시 autoattachVSOCK 중단 버그 수정
  • 신규 Prometheus 알림 추가: GuestPeakVCPUQueueHighWarning / GuestPeakVCPUQueueHighCritical
  • 라이브 마이그레이션 시 메모리 오버커밋 재계산 및 크로스 벤더 마이그레이션 차단
원문

Argo

CI/CD & App Delivery2026년 3월 16일

Argo CD 3.3.4는 토큰 새로고침 처리와 git-lfs 지원에 대한 중요한 버그 수정을 제공하며, 보안 문서가 강화된 운영 안정성 개선 릴리스입니다.

  • security서명된 릴리스 자산 검증

    모든 컨테이너 이미지에 cosign 서명과 SLSA Level 3 출처 증명이 포함됩니다. 특히 보안에 민감한 환경에서는 배포 전에 공식 검증 문서를 사용해 컨테이너 이미지의 유효성을 검사하세요.

  • breaking토큰 새로고침 설정 검토

    토큰 새로고침 수정으로 컴포넌트 동작에 영향을 줄 수 있던 파싱 오류가 해결됐습니다. 기존 토큰 설정을 확인하고 업그레이드 후 인증 문제가 없는지 모니터링하세요. 특히 다중 컴포넌트 환경에서 주의 깊게 살펴보세요.

  • enhancementppc64le 아키텍처 지원을 위한 업그레이드

    ppc64le 시스템에서 운영 중이라면, 이번 릴리스가 누락된 체크섬으로 인해 작동하지 않던 git-lfs 기능을 수정했습니다. 해당 아키텍처에서 완전한 git-lfs 기능을 복구하려면 업그레이드를 계획하세요.

주요 변경 (5)
  • 무관한 컴포넌트에 영향을 주던 토큰 새로고침 임계값 파싱 오류 수정
  • ppc64le 아키텍처용 git-lfs 설치 프로그램의 누락된 체크섬 추가
  • 더 나은 관찰 가능성을 위한 OpenTelemetry SDK 의존성 업데이트
  • 클러스터 버전 변경과 마이그레이션 가이드 문서 개선
  • 서명된 컨테이너 이미지와 출처 증명으로 SLSA Level 3 준수 유지
원문

KServe

AI & ML2026년 3월 13일

v0.17.0은 새로운 LLMInferenceService 베타 출시, 스토리지 병렬화 개선, vLLM 0.15.1 업그레이드, 그리고 프로덕션 환경에 영향을 미치는 주요 CVE 수정을 제공합니다.

  • security중요 CVE 패치 즉시 적용 필요

    이번 릴리스는 경로 순회(storage-initializer), HTTP 파서 취약점(h11, starlette), 암호화 부분군 공격 등 여러 고위험 CVE를 해결했습니다. 특히 storage-initializer나 외부 모델 다운로드를 사용 중이라면 v0.17.0으로 신속히 업데이트하세요. 패치된 버전과 비교해 현재 CVE 스캔 결과를 검토하십시오.

  • breakingLLMInferenceService 마이그레이션 계획 수립

    새로운 LLMInferenceService CRD는 기존 InferenceService와 다른 의미론을 가진 LLM 전용 API를 도입했습니다. LLM 모델을 운영 중이라면 더 나은 오토스케일링, 라우팅, 운영 기능을 위해 이 새 리소스 타입으로의 마이그레이션을 검토하세요. CRD는 API 구조에서 주요 변경사항을 포함합니다.

  • enhancement병렬 스토리지 다운로드로 배포 속도 향상 활용

    Storage-initializer가 이제 S3와 Azure에서 블롭을 병렬로 다운로드해 대용량 모델의 로딩 시간을 획기적으로 단축합니다. 특히 LLM 워크로드에 유용하며, 업그레이드만으로 별도 설정 없이 자동으로 개선 효과를 누릴 수 있습니다.

주요 변경 (5)
  • 웹훅, 오토스케일링, Gateway API 통합을 포함한 LLMInferenceService CRD 도입
  • S3와 Azure 스토리지에서 병렬 블롭 다운로드 추가로 모델 로딩 성능 대폭 개선
  • 향상된 시작 프로브와 설정 유연성을 갖춘 vLLM 런타임 0.15.1로 업그레이드
  • 경로 순회, HTTP 파서 취약점, 암호화 이슈를 포함한 다수 CVE 수정
  • 확장된 모델 형식 지원을 위한 OpenVINO 모델 서버 런타임과 예측 추론 서버 추가
원문

OpenFGA

Security2026년 3월 13일

OpenFGA v1.12.0은 자동 TLS 인증서 회전, 강화된 입력 검증, 중요한 경쟁 조건 수정으로 운영 안정성을 개선했습니다.

  • securityGo 표준 라이브러리 취약점 수정을 위한 업그레이드

    이번 릴리스는 두 개의 Go 표준 라이브러리 취약점(GO-2026-4603, GO-2026-4601)을 해결합니다. 프로덕션 배포에서 이러한 보안 위험을 제거하기 위해 업그레이드를 계획하세요.

  • enhancementgRPC 메시지 크기 제한 설정

    현재 메시지 크기를 검토하고 새로운 설정 옵션을 사용해 적절한 제한을 설정하여 리소스 고갈 공격을 방지하고 시스템 안정성을 개선하세요.

  • enhancement자동 인증서 회전 기능 활용

    cert-manager 같은 인증서 회전 도구를 사용 중이라면 이번 릴리스로 인증서 업데이트 중 연결 실패가 해결됩니다. 업그레이드 후 인증서 회전 프로세스를 테스트해 개선 사항을 확인하세요.

주요 변경 (5)
  • 더 나은 리소스 제어를 위한 gRPC 메시지 크기 제한 설정 기능
  • HTTP 게이트웨이가 연결 실패 없이 TLS 인증서 회전을 자동 처리
  • 보안 강화를 위한 유니코드 제어 문자 및 null 바이트 튜플 검증 거부
  • 비결정적 실행을 방지하는 체크 리듀서의 경쟁 조건 수정
  • 덮어쓰기 시 무한 증가를 방지하는 캐시 메트릭 수정
원문

Longhorn

Storage & Data2026년 3월 13일

Longhorn v1.11.1은 인스턴스 매니저 파드의 심각한 메모리 누수와 S3 호환 스토리지 백업 실패 문제를 해결한 중요한 패치 릴리스로, v1.11.0 사용자에게는 긴급 업그레이드가 필요합니다.

  • security백업 복원 기능 손상

    AWS SDK v2 인증 문제로 S3 호환 백업 대상(Storj, GCS)이 실패했습니다. 업그레이드 후 백업 및 복원 워크플로를 테스트하세요. 특히 비 AWS S3 엔드포인트를 사용하는 경우 큰 백업 전송이 성공적으로 완료되는지 확인하세요.

  • breakingv1.11.0 사용자 긴급 업그레이드 필요

    인스턴스 매니저 파드에서 높은 메모리 사용량을 경험하는 v1.11.0 사용자는 즉시 업그레이드해야 합니다. 메모리 누수는 클러스터 불안정성과 파드 축출을 야기할 수 있습니다. 업그레이드 점검 시간을 계획하고 롤아웃 중 메모리 사용량을 모니터링하세요.

  • enhancement토폴로지 인식으로 스케줄링 개선

    새로운 CSI 토폴로지 인식 nodeAffinity 제어로 더 나은 볼륨 배치가 가능합니다. 멀티존 배포와 특정 노드 스케줄링 요구사항에 맞춰 allowedTopologies와 strictTopology 설정을 활용하도록 스토리지 클래스 구성을 검토하세요.

주요 변경 (5)
  • 프록시 연결 누수로 인한 longhorn-instance-manager 파드의 심각한 메모리 누수 문제 해결
  • Storj, GCS 등 S3 호환 스토리지 백업 실패를 야기한 AWS SDK v2 호환성 문제 해결
  • V2 데이터 엔진의 빠른 레플리카 리빌드 및 클론 기능 개선
  • 더 나은 스케줄링을 위한 CSI 토폴로지 인식 PV nodeAffinity 제어 기능 추가
  • 동일 노드의 다중 레플리카로 인한 스토리지 중복 계산 및 스케줄링 실패 문제 해결
원문

Strimzi

Networking & Messaging2026년 3월 12일

Strimzi 0.45.2는 0.45.x 브랜치의 마지막 패치 릴리스로, 주요 CVE 수정과 Kafka 3.9.2 지원에 집중하며 ZooKeeper 기반 클러스터를 지원하는 최종 버전입니다.

  • securityCVE 수정을 위한 즉시 패치 적용

    이번 릴리스는 ZooKeeper, JWT 라이브러리, 네트워킹 컴포넌트의 여러 고위험 CVE를 수정했습니다. 민감한 데이터를 다루거나 인터넷 연결 서비스를 운영한다면 이러한 취약점 패치를 위해 0.45.2로 즉시 업그레이드하세요.

  • breaking0.45.x 이후 업그레이드 전 KRaft 마이그레이션 필수

    Strimzi에서 ZooKeeper 기반 Kafka 클러스터를 실행할 수 있는 마지막 기회입니다. Strimzi 0.46+는 KRaft 모드만 지원하므로 지금 KRaft 마이그레이션을 계획하세요. 공식 KRaft 마이그레이션 가이드를 따르고 프로덕션 환경 적용 전 충분히 테스트하세요.

  • breaking향후 업그레이드 시 Kafka 3.9.2 어노테이션 문제 대응

    Kafka 3.9.2를 사용 중이라면 Strimzi 0.46-0.51로 업그레이드할 때 파드 어노테이션을 수동으로 업데이트해야 합니다. 오퍼레이터 실패를 방지하기 위해 제공된 kubectl 명령어를 업그레이드 시 사용하도록 저장해두세요.

주요 변경 (5)
  • 0.45.x 브랜치 최종 패치 릴리스 - 이후 추가 패치 없음
  • Apache Kafka 3.9.2 지원 추가 및 컨테이너 이미지 업데이트
  • ZooKeeper CVE-2024-47554, Nimbus Jose JWT CVE-2025-53864, GRPC Netty Shaded CVE-2025-55163 등 다수 CVE 수정
  • ZooKeeper 기반 Kafka 클러스터 및 MirrorMaker 1 지원하는 마지막 Strimzi 버전
  • 의존성 버전 업그레이드: Vert.x 4.5.24, Netty 4.1.130.Final, Apache Log4J 2.25.3, Cruise Control 2.5.146
원문

Flux

CI/CD & App Delivery2026년 3월 12일

Flux v2.8.2는 조정 루프, Azure Container Registry 인증 문제를 해결하고 CVE-2026-27138 보안 패치를 포함한 중요한 수정사항들을 제공합니다.

  • securityCVE-2026-27138 패치를 즉시 적용

    TLS 핸드셰이크 중 발생할 수 있는 서비스 거부 공격 취약점이 수정되었습니다. 특히 외부 TLS 연결을 처리하거나 보안 컴플라이언스 요구사항이 있는 환경이라면 v2.8.2로 즉시 업그레이드를 예약하세요.

  • enhancementHelmRelease 안정성을 위한 DefaultToRetryOnFailure 활성화

    CancelHealthCheckOnNewRevision을 사용 중이고 HelmRelease가 멈춘 경험이 있다면 새로운 DefaultToRetryOnFailure 기능 게이트를 활성화하세요. 재시도 전략 없이 취소된 릴리스가 무한정 대기하는 것을 방지해 배포 안정성이 개선됩니다.

  • enhancement업그레이드 후 Azure Container Registry 인증 확인

    ACR 인증 스코프 수정으로 Azure 레지스트리에서 간헐적으로 발생하던 인증 실패가 해결될 수 있습니다. 업그레이드 후 이미지 풀과 소스 작업을 모니터링해서 ACR 저장소 연결 안정성이 개선되었는지 확인하세요.

주요 변경 (5)
  • 소스 객체가 현재 리비전을 이미 처리 중일 때 불필요한 조정 요청 수정
  • Helm 4.1.3 업그레이드로 YAML 구분자 버그 해결
  • 취소된 HelmReleases가 멈춤 현상을 방지하는 DefaultToRetryOnFailure 기능 게이트 추가
  • Azure Container Registry 인증 스코프 오류 수정
  • Go 1.26.1로 빌드하여 CVE-2026-27138 TLS 핸드셰이크 DoS 취약점 패치
원문
← 최신이전 →