RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Dragonfly

Storage & Data2026년 3월 11일

Dragonfly v2.4.3은 의존성 업데이트와 보안 패치에 집중한 순수 유지보수 릴리스로, 사용자 기능 변경사항은 없습니다.

  • security정기 보안 업데이트 적용

    이번 패치 릴리스에는 보안 수정사항이 포함될 수 있는 의존성 업데이트가 들어있습니다. 다음 유지보수 시간에 Dragonfly 배포를 v2.4.3으로 업데이트하세요. 호환성을 깨뜨리는 변경이나 설정 업데이트 없이 원활한 업그레이드가 가능합니다.

  • enhancementOpenTelemetry 업데이트로 관찰 가능성 향상

    OpenTelemetry 라이브러리가 v0.63.0에서 v0.67.0로 업데이트되면서 더 나은 트레이싱 기능을 제공합니다. Dragonfly와 함께 분산 트레이싱을 사용하고 있다면 업그레이드 후 개선된 트레이스 수집과 오버헤드 감소를 경험할 수 있습니다.

주요 변경 (5)
  • 관찰 가능성 개선을 위해 OpenTelemetry 라이브러리를 v0.63.0에서 v0.67.0로 업데이트
  • GitHub CI/CD 워크플로우용 Docker 액션을 v4.0.0로 업그레이드
  • oauth2 및 sys 패키지를 포함한 Golang 시스템 의존성 업그레이드
  • 최신 API 호환성을 위해 d7y.io/api를 v2.2.24로 업데이트
  • 오래된 이슈 관리를 위한 GitHub Actions 의존성 갱신
원문

Envoy

Networking & Messaging2026년 3월 11일

Envoy v1.37.1은 크래시 취약점과 RBAC 우회를 포함해 5개 CVE를 해결한 중요 보안 패치입니다. 프로덕션 Envoy를 운영하는 팀은 즉시 업데이트를 우선해야 합니다.

  • security긴급 CVE 수정사항 즉시 적용

    속도 제한과 IPv6 처리의 크래시 조건, RBAC 우회를 포함한 5개 CVE가 수정됐습니다. 먼저 스테이징에서 테스트한 후, 24-48시간 내에 프로덕션 클러스터 업데이트를 위한 긴급 유지보수를 스케줄하세요.

  • enhancementOAuth2 및 ext_authz 설정 검토

    OAuth2 리프레시 토큰을 사용한다면 수정 후 호스트 헤더 동작이 올바르게 작동하는지 확인하세요. ext_authz 사용자는 오류 처리가 이제 status_on_error 설정을 제대로 준수하고 거부 응답 헤더가 예상대로 클라이언트에 도달하는지 점검하세요.

  • enhancementext_proc 필터 체인 검증

    이제 체인 내 다중 ext_proc 필터가 올바르게 작동합니다. 이전에 버그로 인해 체이닝을 피했다면, 개발 환경에서 이 기능을 테스트해 복잡한 처리 파이프라인을 단순화할 수 있는지 확인해보세요.

주요 변경 (5)
  • 속도 제한 크래시, 멀티밸류 헤더 RBAC 우회, IPv6 주소 크래시 등 5개 보안 취약점 수정
  • OAuth2 리프레시 토큰 요청에 영향을 주던 호스트 헤더 재작성 문제 해결
  • ext_proc 필터 체인에서 다중 필터 구성 지원 개선
  • ext_authz 5xx 응답 처리 개선 및 적절한 헤더 전파
  • 동적 모듈용 확장 ABI 호환성 메커니즘 도입
원문

Envoy

Networking & Messaging2026년 3월 11일

Envoy v1.36.5는 레이트 리미팅 크래시, RBAC 우회, 메모리 손상 등 5개 CVE를 해결하는 중요 보안 패치를 제공하여 즉시 업그레이드가 필요합니다.

  • security심각한 크래시 수정을 위한 즉시 업그레이드

    다수의 CVE가 Envoy 크래시나 메모리 손상을 일으킬 수 있습니다. 레이트 리미팅 크래시(CVE-2026-26330)와 IPv6 주소 처리 버그(CVE-2026-26310)는 서비스 가용성에 즉각적인 위험을 가합니다. 특히 레이트 리미팅이나 IPv6 트래픽을 처리하는 환경이라면 긴급 점검 시간을 잡고 패치를 배포하세요.

  • security다중값 헤더 우회에 대한 RBAC 정책 검토

    CVE-2026-26308이 다중값 헤더를 통한 RBAC 규칙 우회를 허용했습니다. 업그레이드 후에는 RBAC 설정을 점검해서 악용되지 않았는지 확인하고, 헤더 기반 접근 제어가 환경에서 예상대로 작동하는지 검증하세요.

  • enhancement호스트 재작성 수정 후 OAuth2 워크플로 테스트

    OAuth2 새로고침 버그 수정으로 인증 플로우에서 호스트 헤더 처리 방식이 바뀝니다. 커스텀 호스트 재작성 규칙과 함께 Envoy를 OAuth2에 사용한다면, 업그레이드 후 인증 워크플로를 철저히 테스트해서 토큰 새로고침이 올바르게 작동하는지 확인하세요.

주요 변경 (5)
  • 레이트 리미트 크래시, RBAC 다중값 헤더 우회, IPv6 주소 처리 크래시, JSON 문자열 손상, HTTP 디코드 메서드 차단 관련 5개 CVE 수정
  • OAuth2 새로고침 요청에서 호스트 재작성이 원본 Host 값을 덮어쓰는 버그 수정
  • 내부 googleurl에서 오픈소스 Google GURL 라이브러리로 마이그레이션
  • Kafka 테스트 바이너리 3.9.2 버전으로 업데이트
  • Docker 베이스 이미지 보안 업데이트
원문

Envoy

Networking & Messaging2026년 3월 10일

Envoy v1.35.9는 RBAC, IPv6 처리, JSON 처리, HTTP 디코딩과 관련된 4개의 CVE에 대한 중요 보안 패치와 OAuth2 호스트 재작성 수정 사항을 제공합니다.

  • security중요 보안 수정을 위한 즉시 업그레이드 필요

    이번 릴리즈에서 수정된 4개 CVE는 인증 우회, 크래시, 메모리 손상을 유발할 수 있습니다. 특히 RBAC 정책, IPv6 네트워킹, JSON 처리를 사용하거나 다운스트림 연결 재설정 문제를 겪고 있다면 즉시 배포를 계획하세요. 보안 수정이 요청 처리 동작에 영향을 줄 수 있으므로 스테이징에서 충분히 테스트하세요.

  • enhancementOAuth2 호스트 재작성 동작 검증 필요

    OAuth2 새로고침 요청에서 이제 원본 Host 헤더가 재정의되지 않고 올바르게 보존됩니다. OAuth2 플로우에서 사용자 정의 호스트 재작성에 의존하고 있다면 업그레이드 후 인증이 여전히 예상대로 작동하는지 확인하세요. 이 변경은 OAuth2 사양 준수를 개선합니다.

주요 변경 (5)
  • RBAC 다중값 헤더 우회, IPv6 크래시, JSON 손상, HTTP 디코드 차단 문제를 해결하는 4개 CVE 수정
  • OAuth2 새로고침 요청에서 호스트 재작성 시 원본 Host 헤더 값 보존
  • 내부 googleurl에서 공개 GitHub 저장소(google/gurl)로 마이그레이션
  • Kafka 테스트 바이너리 3.9.2 버전으로 업데이트
  • Docker 기본 이미지를 최신 버전으로 새로 고침
원문

containerd

Kubernetes Core2026년 3월 10일

containerd 2.2.2는 프로덕션 쿠버네티스 워크로드에 영향을 줄 수 있는 CRI 네트워킹 버그, 레지스트리 인증정보 유출, AppArmor 호환성 문제를 수정했습니다.

  • security레지스트리 인증정보 노출 방지를 위한 업데이트

    레지스트리 인증정보가 에러 메시지와 파드 이벤트에 노출될 수 있었습니다. 인증이 필요한 프라이빗 레지스트리를 사용한다면 즉시 이 패치를 배포하세요. 해당 인증정보가 권한 없는 사용자가 접근할 수 있는 로그나 쿠버네티스 이벤트에 나타날 수 있기 때문입니다.

  • breaking재시작 후 CNI 네트워크 정리 문제 해결

    containerd 재시작 후 CNI DEL 작업이 실행되지 않아 오래된 네트워크 구성이 남아있었습니다. 파드 네트워킹 안정성에 영향을 줍니다. 다음 유지보수 기간 전에 업데이트해서 네트워크 네임스페이스 누수와 잠재적인 IP 충돌을 방지하세요.

  • enhancementAppArmor 호환성을 위한 업그레이드

    AppArmor 프로파일이 이제 최신 커널에서 유닉스 도메인 소켓과 올바르게 동작합니다. 최신 커널 버전을 실행하면서 AppArmor가 활성화된 상태에서 소켓 연결 문제를 겪고 있다면, 이 업데이트가 호환성 문제를 해결해줍니다.

주요 변경 (5)
  • containerd 재시작 후 네트워크 정리가 실패하던 CNI 문제 해결
  • 레지스트리 인증 실패 시 에러 메시지에서 인증정보 유출 문제 해결
  • 최신 커널에서 유닉스 소켓 실패를 야기하던 AppArmor 프로파일 문제 해결
  • 레거시 설정의 레지스트리 미러 구성 마이그레이션 오류 수정
  • 메모리 제약 조건이 부분적으로만 구성된 경우 메모리 메트릭에서 발생하는 nil 포인터 크래시 해결
원문

Envoy

Networking & Messaging2026년 3월 10일

RBAC 우회, IPv6 크래시, 메모리 손상, HTTP 디코드 취약점을 포함한 4개 CVE를 해결하는 긴급 보안 패치입니다.

  • securityRBAC 우회 수정을 위한 즉시 업그레이드

    CVE-2026-26308은 멀티밸류 헤더를 이용해 RBAC 정책을 우회할 수 있게 합니다. 접근 제어 보안에 직접적인 영향을 미치므로, RBAC를 인가에 사용하는 모든 Envoy 인스턴스의 긴급 업그레이드를 계획하세요.

  • security프로덕션 IPv6 크래시 취약점 패치

    CVE-2026-26310은 스코프드 IPv6 주소 처리 시 크래시를 발생시켜 서비스 중단을 야기합니다. IPv6 트래픽을 처리하거나 듀얼스택 구성을 운영 중이라면 DoS 공격을 방지하기 위해 업그레이드를 우선순위에 두세요.

  • securityJSON 처리 메모리 손상 문제 해결

    CVE-2026-26309는 JSON 처리 중 문자열 널 터미네이터를 손상시켜 메모리 손상이나 정보 노출로 이어질 수 있습니다. Envoy를 통해 JSON 페이로드를 처리하는 서비스라면 즉시 업데이트하세요.

주요 변경 (5)
  • 무단 접근을 허용할 수 있는 CVE-2026-26308 RBAC 멀티밸류 헤더 우회 수정
  • 스코프드 IPv6 주소 처리 시 발생하는 CVE-2026-26310 크래시 취약점 해결
  • JSON 처리 중 발생하는 CVE-2026-26309 오프바이원 메모리 쓰기 버그 패치
  • 다운스트림 리셋 후 CVE-2026-26311 HTTP 디코드 메서드 취약점 수정
  • OAuth2 새로고침 요청의 호스트 재작성 동작 오류 해결
원문

cert-manager

Security2026년 3월 10일

cert-manager v1.20.0에서 Gateway API ListenerSet 지원, Azure Private DNS 통합, OtherNames 베타 승격과 함께 여러 ACME 및 DNS 관련 버그를 수정했습니다.

  • securityDNS DoS 취약점 수정을 위한 업데이트

    잘못된 DNS 응답으로 컨트롤러 서비스 거부 공격이 가능한 보안 이슈가 수정됐습니다. cert-manager 컨트롤러가 신뢰할 수 없는 DNS 서버나 DNS 트래픽 조작 가능한 네트워크에 노출된 경우 즉시 업데이트하세요.

  • breaking컨테이너 UID/GID 변경으로 보안 컨텍스트 영향

    기본 컨테이너 사용자가 UID 1000에서 65532로, 그룹이 GID 0에서 65532로 변경됐습니다. 이 값들을 하드코딩했거나 루트 그룹 접근에 의존하는 경우 파드 보안 정책, 보안 컨텍스트, 파일 권한을 검토하세요.

  • enhancement내부 인증서 관리용 Azure Private DNS 활성화

    새로운 Azure Private DNS 지원으로 프라이빗 존에서 DNS-01 챌린지가 가능해졌습니다. DNS 레코드를 공개하지 않고 내부 서비스용 인증서를 관리하려면 Azure DNS issuer에 프라이빗 존 설정을 구성하세요.

주요 변경 (5)
  • Gateway API ListenerSet 리소스 지원 (실험적 기능 게이트)
  • DNS-01 챌린지용 Azure Private DNS 존 지원
  • OtherNames 기능 베타로 승격 및 기본 활성화
  • 모든 컨테이너에 네트워크 정책 설정 플래그 추가
  • 커스텀 필드 어노테이션 지원으로 Venafi 프로바이더 기능 강화
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.13.5는 더 엄격한 bearer 토큰 검증과 감사 로그에서 민감한 설정 데이터 제거를 통해 보안을 강화했습니다.

  • securityBearer 토큰 보안 강화로 인한 기존 통합 검토 필요

    프로젝트 생성 이전에 발급된 bearer 토큰을 거부하게 되어 기존 통합에서 문제가 발생할 수 있습니다. Harbor를 인증하는 CI/CD 파이프라인과 자동화 스크립트를 점검하여 업그레이드 후 토큰을 재생성하도록 설정하세요.

  • enhancement감사 로그 정리로 보안 태세 개선

    설정 payload가 더 이상 감사 로그에 기록되지 않아 민감한 설정 노출이 줄어들었습니다. 로그 모니터링과 컴플라이언스 프로세스를 검토하여 로그의 설정 데이터에 의존하지 않고도 필요한 보안 이벤트를 계속 포착할 수 있는지 확인하세요.

  • enhancement업데이트된 Trivy로 최신 취약점 정의 제공

    Trivy v0.69.3에는 새로운 취약점 데이터베이스와 탐지 규칙이 포함되어 있습니다. 컨테이너 이미지를 다시 스캔하여 이전 스캔에서 감지되지 않은 새로 발견된 취약점을 식별하세요.

주요 변경 (5)
  • 민감한 데이터 노출 방지를 위해 설정 감사 로그에서 payload 제거
  • 프로젝트 생성 이전에 발급된 bearer 토큰을 거부하여 토큰 보안 강화
  • 최신 취약점 탐지를 위해 Trivy 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 보안 패치를 위해 Go 런타임 및 베이스 컨테이너 이미지 업그레이드
  • 새로운 Docker 버전과의 호환성을 위해 CI 파이프라인 수정
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.14.3은 bearer 토큰 검증 관련 중요한 보안 수정사항과 Trivy 스캐너 0.69.3 버전 업데이트를 제공하여 인증 메커니즘을 강화하고 취약점 탐지 기능을 최신 상태로 유지합니다.

  • securitybearer 토큰 수정을 위해 즉시 업데이트

    Harbor가 프로젝트 생성 전에 발급된 bearer 토큰을 허용하는 보안 결함을 수정했습니다. 토큰 기반 인증을 사용한다면 무단 프로젝트 접근을 막기 위해 v2.14.3을 즉시 배포하세요.

  • enhancement업데이트된 Trivy 스캐닝 활용

    Trivy v0.69.3에는 최신 취약점 데이터베이스와 탐지 기능이 포함되어 있습니다. 업그레이드 후 중요한 이미지들을 재스캔하여 이전 버전에서 놓쳤던 새로운 취약점을 찾아보세요.

  • enhancement감사 로그 구성 검토 필요

    자격 증명 노출을 막기 위해 구성 감사 로그에서 민감한 페이로드 데이터가 제거되었습니다. 이 변경 후에도 로그 모니터링 도구가 필요한 보안 이벤트를 여전히 캡처하는지 확인하세요.

주요 변경 (5)
  • 프로젝트 생성 전에 발급된 bearer 토큰 거부하는 보안 수정
  • Trivy 취약점 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 구성 감사 로그에서 민감한 페이로드 데이터 제거
  • 보안 강화를 위한 베이스 이미지 새로고침 및 Go 의존성 업데이트
  • GitHub Actions 워크플로를 ubuntu-latest 러너로 마이그레이션
원문

NATS

Networking & Messaging2026년 3월 9일

NATS v2.12.5는 리프노드 압축 및 WebSocket 취약점에 대한 중요한 보안 수정을 제공하며, JetStream 백업 성능을 크게 개선하고 파일스토어 운영의 여러 안정성 문제를 해결했습니다.

  • security중요한 CVE 수정을 위한 즉시 업데이트

    두 개의 CVE가 프로덕션 시스템에 영향을 미칩니다. CVE-2026-29785는 리프노드 압축에, CVE-2026-27889는 WebSocket 연결에 영향을 주며 둘 다 서버 패닉이나 보안 문제를 일으킬 수 있습니다. v2.12.4 이하를 실행하는 모든 NATS 서버의 업데이트를 위한 유지보수 시간을 계획하세요.

  • enhancement불안정한 네트워크를 위한 JetStream 백업 최적화

    스트림 백업이 이제 더 나은 플로우 컨트롤을 위한 window_size 매개변수를 지원합니다. 느리거나 불안정한 연결을 통해 백업을 실행한다면 적절한 윈도우 크기를 설정해서 처리량을 개선하고 백업 실패를 줄이세요. 네트워크 상황에 맞춘 최적값을 찾기 위해 테스트를 진행하세요.

  • enhancement비동기 메타레이어 스냅샷 동작 검토

    메타레이어 스냅샷이 JS API 작업 차단 방지를 위해 비동기로 실행됩니다. 성능은 개선되지만 타이밍 동작이 변경됩니다. 애플리케이션이 동기 스냅샷 타이밍에 의존한다면 jetstream 설정 블록에서 `meta_compact_sync: true`를 설정해서 이전 동작을 복원하세요.

주요 변경 (5)
  • 리프노드 압축(CVE-2026-29785) 및 WebSocket 파싱(CVE-2026-27889)에 대한 중요한 CVE 수정
  • JetStream 스트림 백업에서 불안정한 연결에 대한 성능 개선을 위한 window_size 매개변수와 개선된 플로우 컨트롤 적용
  • JS API 작업 차단 방지를 위해 메타레이어 스냅샷이 기본적으로 비동기 실행
  • 충돌이나 성능 저하를 일으킬 수 있는 여러 파일스토어 경쟁 조건 및 락 누수 문제 수정
  • 적절한 프레임 검증 및 압축 상태 관리를 포함한 WebSocket 처리 개선
원문

NATS

Networking & Messaging2026년 3월 9일

NATS v2.11.14는 leafnode 압축과 WebSocket 기능에 영향을 주는 두 개의 CVE를 해결하고 서버 패닉을 방지하는 여러 안정성 수정을 포함한 중요한 보안 릴리스입니다.

  • securityleafnode나 WebSocket 사용 시 즉시 업그레이드 필요

    일반적인 NATS 구성에 영향을 주는 두 개의 CVE가 발견되었습니다. leafnode 압축이나 WebSocket 기능을 사용한다면 잠재적 보안 취약점을 방지하기 위해 즉시 업그레이드하세요. 설정에서 leafnode 섹션의 'compression: enabled'나 'websocket' 리스너를 확인해보세요.

  • securityWebSocket Origin 검증 설정 검토 필요

    Origin 헤더 검증에 프로토콜 스킴 확인이 추가되었습니다. 업그레이드 후 연결 거부를 방지하려면 WebSocket 클라이언트 설정을 점검하여 올바른 origin(https:// 또는 wss:// 스킴 포함)을 지정했는지 확인하세요.

  • enhancement패닉 발생 감소 모니터링

    leafnode와 WebSocket 처리에서 발생하는 여러 패닉 상황이 수정되었습니다. 업그레이드 후 예상치 못한 서버 재시작이 줄어들 것입니다. 모니터링 대시보드를 확인하여 안정성 지표 개선을 확인해보세요.

주요 변경 (5)
  • leafnode 압축 시스템에 영향을 주는 CVE-2026-29785 수정
  • WebSocket 활성화 배포에 영향을 주는 CVE-2026-27889 수정
  • leafnode 구독 경합 조건으로 인한 서버 패닉 방지
  • WebSocket 프레임 파싱 및 페이로드 검증 개선
  • WebSocket 보안을 위한 Origin 헤더 검증 강화
원문

Open Policy Agent (OPA)

Security2026년 3월 9일

OPA v1.14.1은 정책 검색 실패를 유발하던 규칙 인덱서 변경사항을 되돌리고 플러그인 매니저 교착상태를 수정한 패치 릴리스입니다.

  • security의존성 보안 업데이트 적용

    Go 1.26.1과 알려진 취약점을 패치한 업데이트된 의존성이 포함되어 있습니다. 특히 운영 환경에서 OPA를 사용한다면 정기 보안 유지보수 일정에 맞춰 이 업그레이드를 진행하세요.

  • breakingv1.14.0 사용 중이면 즉시 업그레이드

    v1.14.0의 규칙 인덱서 변경사항이 일부 설정에서 정책 검색 실패를 야기합니다. 안정적인 정책 평가를 위해 v1.14.1로 배포하세요. 최적화 기능은 v1.15.0에서 적절한 수정과 함께 다시 제공될 예정입니다.

  • enhancement플러그인 매니저 안정성 개선

    교착상태 수정으로 설정 작업 중 발생하던 간헐적 정지 현상이 해결됩니다. 플러그인 설정 과정에서 원인 불명의 OPA 정지를 경험했다면 이 릴리스로 문제가 해결될 것입니다.

주요 변경 (4)
  • v1.14.0에서 정책 검색 실패를 유발했던 규칙 인덱서 최적화 되돌림
  • opa.configure 작업 시 발생하던 플러그인 매니저 간헐적 교착상태 수정
  • Go 1.26.1 업데이트 및 의존성 버전 갱신
  • Golang 표준 라이브러리 및 패키지 취약점 해결
원문

Dapr

Orchestration & Management2026년 3월 6일

Dapr 1.16.10은 운영 아키텍처에서 WASM 컴포넌트 등록 실패 문제를 수정하고 Go 런타임 및 OpenTelemetry SDK의 보안 취약점을 패치했습니다.

  • securityGo 런타임 및 OpenTelemetry 보안 패치 업데이트

    이번 릴리스는 Go 1.25.7(crypto/tls, go 명령어)과 OpenTelemetry SDK(PATH 하이재킹을 통한 임의 코드 실행)의 취약점을 패치합니다. PATH 조작이 가능한 환경을 우선순위로 두고 일반적인 보안 패치 주기 내에서 업그레이드를 계획하세요.

  • breakingWASM 컴포넌트 사용 시 즉시 업그레이드 필요

    v1.16.0부터 WASM 바인딩 및 미들웨어 컴포넌트가 운영 아키텍처에서 완전히 작동하지 않았습니다. 이러한 컴포넌트를 사용하고 v1.16.0-v1.16.9를 실행 중이라면 WASM 컴포넌트가 조용히 등록되지 않고 있으므로 v1.16.10으로 즉시 업그레이드하세요.

  • enhancement조기 오류 탐지를 위한 Pulsar Avro 메시지 발행 검토

    Pulsar PubSub가 이제 발행 전에 JSON 메시지를 Avro 스키마에 대해 검증하여 잘못된 데이터를 더 일찍 잡아냅니다. Pulsar 발행 워크플로를 테스트하여 새로운 검증 오류를 적절히 처리하고 더 빨라진 코덱 성능의 혜택을 받도록 하세요.

주요 변경 (5)
  • Go 빌드 제약으로 인한 파일명 충돌로 amd64/arm64 아키텍처에서 WASM 바인딩 및 미들웨어 컴포넌트 등록 실패 수정
  • 잘못된 형식의 메시지가 오류 피드백 없이 발행되는 것을 방지하기 위한 Pulsar PubSub Avro 스키마 검증 추가
  • crypto/tls 및 go 명령어 취약점 보안 수정이 포함된 Go 런타임 1.25.7 업데이트
  • 임의 코드 실행 취약점(GO-2026-4394) 패치를 위한 OpenTelemetry SDK v1.40.0 업그레이드
  • 발행 성능 향상을 위한 Pulsar Avro 코덱 컴파일 초기화 시점 캐싱
원문

CoreDNS

Kubernetes Core2026년 3월 6일

CoreDNS v1.14.2는 ACL 우회 방지와 루프 감지 보안 강화 등 중요한 보안 수정사항을 포함하며, 로드 밸런서 뒤에서 클라이언트 IP를 보존할 수 있는 프록시 프로토콜 지원을 추가했습니다.

  • securityACL 우회 취약점 수정을 위한 즉시 업그레이드 필요

    이번 릴리스는 rewrite 플러그인이 ACL 제한을 우회할 수 있는 CVE-2026-26017을 수정합니다. 접근 제어에 ACL 플러그인을 사용하는 팀은 이 업그레이드를 우선시하고, rewrite 규칙이 제한된 존을 의도치 않게 노출하지 않는지 확인해야 합니다.

  • security다중 CVE 수정을 위한 Go 런타임 업데이트

    Go 1.26.1 업데이트는 런타임의 5개 CVE를 해결했습니다. CoreDNS 수정사항과 함께 기반 Go 보안 개선사항도 얻을 수 있도록 롤아웃을 계획하세요. 특히 CoreDNS 인스턴스가 인터넷에 노출되어 있다면 더욱 중요합니다.

  • enhancement로드 밸런서 환경에서 proxyproto 플러그인 배포

    로드 밸런서 뒤에서 CoreDNS를 운영하며 로깅이나 ACL을 위해 실제 클라이언트 IP 가시성이 필요하다면 새로운 proxyproto 플러그인을 설정하세요. 클라이언트 IP 기반 정책이나 감사 추적이 필요한 환경에서 특히 유용합니다.

주요 변경 (5)
  • 새로운 proxyproto 플러그인으로 로드 밸런서 환경에서 클라이언트 IP 보존 가능
  • rewrite 플러그인을 ACL 검사 전에 실행하도록 순서를 변경해 ACL 우회 취약점 수정
  • 암호학적으로 안전한 난수 생성으로 루프 감지 보안성 강화
  • 암호화된 DNS 트래픽에 영향을 주던 TLS+IPv6 포워딩 파싱 오류 해결
  • 응답 타입과 클래스 메타데이터를 DNS 로깅에 추가해 관찰 가능성 개선
원문

Strimzi

Networking & Messaging2026년 3월 6일

Strimzi 0.51.0은 중요한 보안 취약점을 수정하고 쿠버네티스 1.30 미만 버전 지원을 중단했으며, Kafka 4.2.0 지원과 ServerSideApplyPhase1 베타 전환을 포함합니다.

  • securityCVE 수정을 위한 즉시 업그레이드

    Strimzi 0.47.0 이상 버전에 영향을 주는 두 개의 중요한 CVE가 발견되었습니다. 보안 권고사항을 검토해서 본인 배포 환경이 영향받는지 확인한 후, 0.50.1 또는 0.51.0으로 즉시 업그레이드하세요. CVE 번호가 2026년으로 표시된 것은 공개 유예된 취약점일 가능성을 시사합니다.

  • breaking업그레이드 전 쿠버네티스 호환성 확인

    Strimzi 0.51.0은 쿠버네티스 1.30 이상이 필요합니다. 업그레이드 전에 클러스터 버전을 확인하세요. 쿠버네티스 1.27-1.29를 사용 중이면 먼저 클러스터를 업그레이드하거나 클러스터 업그레이드가 가능할 때까지 이전 Strimzi 버전을 유지하세요.

  • breaking업그레이드 시 CRD 및 KafkaUser 리소스 업데이트

    Strimzi 업그레이드 과정에서 CRD를 수동으로 업그레이드해야 하며, 특히 Helm 사용 시 주의하세요. 0.48 이하 버전에서 업그레이드하는 경우 먼저 KafkaUser 리소스를 새로운 `.spec.authorization.acls[]operations` 필드 형식으로 업데이트해야 합니다.

주요 변경 (5)
  • CVE-2026-27133, CVE-2026-27134 보안 취약점 수정으로 0.47.0 이상 버전 즉시 업그레이드 필요
  • 쿠버네티스 1.30 이상 버전만 지원 - 1.27, 1.28, 1.29 버전 지원 중단
  • Kafka 4.2.0 지원 추가, Kafka 4.0.0 및 4.0.1 호환성 제거
  • 리스너별 Kafka 연결 제한 및 재인증 설정 옵션 제공
  • 상위 프로젝트 아카이브로 인한 Ingress 리스너 타입 2026년 3월부터 지원 중단 예정
원문

Keycloak

Security2026년 3월 5일

Keycloak 26.5.5는 운영 환경에서 인증 우회와 무단 접근을 허용할 수 있는 4개의 SAML 브로커 취약점을 해결한 중요 보안 릴리스입니다.

  • securitySAML 사용자는 즉시 업그레이드 필요

    이 CVE들은 SAML 브로커 구성에 영향을 주며 인증 우회를 허용할 수 있습니다. SAML ID 제공자나 브로커 기능을 사용한다면 긴급 유지보수를 예약해 즉시 업그레이드하세요. 업그레이드 후 비활성화된 SAML 제공자들이 제대로 보안되었는지 검토하세요.

  • securitySAML 브로커 구성 감사 실시

    업그레이드 후 비활성화된 SAML ID 제공자가 실제로 비활성화되어 인증 요청을 처리할 수 없는지 확인하세요. IdP 시작 로그인 플로우를 점검하고 SAML 어설션의 암호화가 올바르게 작동하는지 검증하세요.

주요 변경 (4)
  • CVE-2026-3047 수정: 비활성화된 클라이언트가 IdP 시작 로그인을 완료할 때 발생하는 SAML 브로커 인증 우회
  • CVE-2026-3009 해결: 브로커 서비스에서 비활성화된 ID 제공자의 부적절한 강제 실행
  • CVE-2026-2603 패치: 비활성화된 SAML IdP가 잘못되게 IdP 시작 로그인을 허용하는 문제
  • CVE-2026-2092 보안 강화: SAML 브로커 암호화된 어설션 주입 취약점
원문

SPIRE

Security2026년 3월 3일

SPIRE v1.14.2는 서버 노드 증명 플러그인의 SSRF 공격과 CPU 고갈을 일으킬 수 있는 두 가지 심각한 보안 취약점을 해결했습니다.

  • security긴급 업그레이드로 중요 취약점 패치 필요

    http_challenge나 x509pop 증명자를 사용하는 SPIRE 서버에 두 가지 보안 문제가 있습니다. SSRF 취약점으로 공격자가 서버를 무단 도메인으로 리다이렉트하고 응답 데이터를 추출할 수 있으며, x509pop DoS 취약점으로 CPU 고갈 공격이 가능합니다. 해당 증명 플러그인을 사용한다면 v1.14.2로 즉시 업데이트하세요.

주요 변경 (3)
  • http_challenge 서버 노드 증명 플러그인의 SSRF 취약점 수정
  • x509pop 서버 노드 증명 플러그인의 CPU 고갈 문제 해결
  • 노드 증명 과정에서 공격자가 악용할 수 있는 두 취약점 모두 패치
원문

SPIRE

Security2026년 3월 3일

SPIRE v1.13.4는 노드 증명 플러그인에서 SSRF 공격과 CPU 고갈 공격을 가능하게 하는 두 가지 중대한 보안 취약점을 수정했습니다.

  • security중대한 취약점 패치를 위한 즉시 업그레이드 필요

    노드 증명 보안에 영향을 주는 두 가지 심각한 취약점이 발견되었습니다. http_challenge 플러그인의 SSRF 결함은 공격자가 내부 네트워크를 탐지할 수 있게 하고, x509pop 플러그인은 DoS 공격에 악용될 수 있습니다. v1.13.4로 즉시 업데이트하고 최근 증명 로그에서 의심스러운 활동을 감사하세요.

  • security노드 증명기 플러그인 구성 검토

    http_challenge 또는 x509pop 증명기 플러그인을 사용하는 경우, 네트워크 보안 제어를 검증하고 업그레이드가 완료될 때까지 노드 증명 엔드포인트에 임시 제한을 고려하세요. 증명 프로세스 중 CPU 사용량 패턴을 모니터링하세요.

주요 변경 (4)
  • http_challenge 서버 노드 증명기에서 공격자가 서버 요청을 리디렉션할 수 있는 SSRF 취약점 수정
  • x509pop 서버 노드 증명기 플러그인의 CPU 고갈 공격 벡터 패치
  • 두 취약점 모두 워크로드 신원 검증에 사용되는 노드 증명 프로세스에 영향
  • 무단 접근 및 서비스 거부 시나리오를 다루는 보안 수정 사항
원문

CRI-O

Kubernetes Core2026년 3월 3일

CRI-O v1.33.10은 고성능 훅의 IRQ SMP 어피니티 처리에서 발생하는 치명적인 버그를 수정했습니다. 이 버그는 컨테이너 삭제 지연 시나리오에서 컨테이너 간 IRQ 간섭을 일으킬 수 있었습니다.

  • security고성능 훅 사용 시 즉시 업데이트 필요

    이 버그는 컨테이너 간 IRQ 처리를 방해해서 고성능 워크로드에서 성능 저하나 예상치 못한 동작을 일으킬 수 있습니다. 고성능 훅을 활성화한 CRI-O를 운영 중이라면(주로 HPC나 지연 시간에 민감한 환경) 컨테이너 정리 중 발생하는 IRQ SMP 어피니티 손상을 방지하기 위해 즉시 업그레이드하세요.

주요 변경 (3)
  • 고성능 훅에서 IRQ SMP 어피니티 버그 수정으로 컨테이너 간 간섭 방지
  • 늦은 컨테이너 삭제가 다른 컨테이너의 IRQ 설정에 영향을 주던 문제 해결
  • 패치 릴리스로 의존성 변경이나 새 기능은 없음
원문

Karmada

Orchestration & Management2026년 2월 28일

Karmada v1.15.6은 레이스 컨디션, 스케줄러 패닉, CronFederatedHPA 실패 등 프로덕션 안정성에 영향을 미칠 수 있는 중요한 버그 수정 릴리스입니다.

  • security베이스 이미지 보안 업데이트 포함

    Alpine 베이스 이미지가 3.23.3으로 업데이트되어 보안 패치가 포함될 수 있습니다. 업그레이드 후 컨테이너 스캐닝 결과를 검토하고 Karmada 컴포넌트 기반의 커스텀 이미지도 업데이트하세요.

  • breaking중요한 스케줄러 안정성 수정으로 즉시 업데이트 필요

    스케줄러 패닉 수정과 백오프 큐 개선은 서비스 중단을 일으킬 수 있는 중요한 안정성 문제를 해결합니다. spread constraint나 높은 스케줄링 볼륨을 가진 멀티 클러스터 워크로드를 운영하는 프로덕션 환경에서는 즉시 업그레이드를 계획하세요.

  • enhancementCronFederatedHPA 안정성 개선 사항

    CronFederatedHPA를 오토스케일링에 사용하고 있다면, 이 릴리스는 replicas 필드가 누락된 경우의 스케일 업 실패를 수정합니다. 페더레이션 배포 전반에서 일관된 오토스케일링 동작을 보장하기 위해 업데이트하세요.

주요 변경 (5)
  • 작업 상태 집계기 레이스 컨디션으로 인한 오류 루프 문제 해결
  • replicas 필드 누락 시 CronFederatedHPA 스케일 업 실패 문제 수정
  • GracePeriodSeconds와 관련된 graceful eviction 작업 타이밍 문제 수정
  • spread constraint에서 0으로 나누기 오류로 인한 스케줄러 패닉 해결
  • 우선순위 역전 방지를 위한 백오프 큐 정렬 알고리즘 개선
원문

Vitess

Storage & Data2026년 2월 27일

백업 MANIFEST 파일 취약점과 관련된 두 개의 중요한 CVE를 해결한 보안 중심 릴리스로, 임의 명령 실행 및 경로 순회 공격을 방지합니다.

  • securityCVE-2026-27965 및 CVE-2026-27969에 대한 즉시 업그레이드 필요

    두 개의 중요한 CVE로 인해 백업 저장소 쓰기 권한을 가진 공격자가 임의 명령을 실행하고 경로 순회 공격을 수행할 수 있습니다. 즉시 v22.0.4로 업그레이드하고 신뢰할 수 있는 주체만 쓰기 권한을 갖도록 백업 저장소 접근 제어를 검토하세요.

  • security백업 저장소 접근 권한 감사 및 보안 강화

    이러한 취약점은 백업 저장소에 대한 쓰기 권한이 필요하므로, 백업 위치에 대한 쓰기 권한을 가진 주체를 검토하세요. 적절한 접근 제어를 구현하고 가능한 경우 변조를 방지하기 위해 불변 백업 저장소 사용을 고려하세요.

  • breakingMANIFEST 기반 압축 해제기 사용 시 VTTablet 구성 업데이트

    MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 무시됩니다. 복원 프로세스가 이 동작에 의존하는 경우 VTTablet 구성에 --external-decompressor-use-manifest 플래그를 추가하되, 이로 인해 보안 위험이 다시 발생할 수 있음을 이해하세요.

주요 변경 (4)
  • 백업 MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 더 이상 사용되지 않음
  • MANIFEST 파일 수정을 통한 경로 순회 공격 방지
  • MANIFEST 기반 압축 해제기에 대한 명시적 선택을 위한 --external-decompressor-use-manifest 플래그 추가
  • 보안 중심 개선사항이 포함된 37개의 병합된 풀 리퀘스트
원문

Vitess

Storage & Data2026년 2월 27일

Vitess v23.0.3은 백업 복원 취약점과 관련된 두 개의 CVE를 해결하는 중요한 보안 릴리스이며, 외부 압축 해제기 처리에 중단 변경사항이 포함되어 있습니다.

  • security백업 보안을 위한 즉시 업그레이드 필요

    이번 릴리스는 백업 스토리지에 쓰기 권한을 가진 공격자가 임의 명령어를 실행하거나 경로 탐색 공격을 수행할 수 있는 중요한 취약점(CVE-2026-27965, CVE-2026-27969)을 수정합니다. Vitess 백업을 사용하는 경우, 특히 백업 스토리지가 침해될 수 있는 환경에서는 즉시 업그레이드하시기 바랍니다. 백업 스토리지 액세스 제어를 검토하고 최근 백업 작업에서 의심스러운 활동이 있는지 감사하시기 바랍니다.

  • breaking외부 압축 해제기를 위한 VTTablet 구성 업데이트 필요

    백업/복원 프로세스가 MANIFEST 파일에 정의된 외부 압축 해제기에 의존하는 경우, VTTablet 구성에 --external-decompressor-use-manifest 플래그를 추가해야 합니다. 이 플래그 없이는 MANIFEST에서 지정된 압축 해제기에 의존하는 복원이 실패할 수 있습니다. 백업 전략을 검토하고 더 나은 보안을 위해 MANIFEST 파일에 의존하는 대신 압축 해제기 명령어를 명시적으로 구성하시기 바랍니다.

  • enhancement백업 보안 체계 강화

    이번 기회에 백업 보안 관행을 검토하고 강화하시기 바랍니다. 백업 스토리지에 엄격한 액세스 제어를 구현하고, 최소 권한을 가진 전용 서비스 계정을 사용하며, 백업 스토리지 암호화를 고려하시기 바랍니다. 새로운 보안 모델은 더 나은 격리를 제공하지만 백업 메타데이터를 신뢰하는 대신 압축 해제 도구의 명시적 구성이 필요합니다.

주요 변경 (5)
  • 백업 MANIFEST 파일의 외부 압축 해제기 명령어가 복원 시 기본적으로 사용되지 않음
  • MANIFEST 기반 압축 해제기 사용을 명시적으로 선택할 수 있는 --external-decompressor-use-manifest 플래그 추가
  • 백업 복원 중 임의 파일 쓰기를 방지하는 경로 탐색 공격 보호 기능 구현
  • 백업 보안 취약점과 관련된 CVE-2026-27965 및 CVE-2026-27969 수정
  • 보안 개선에 중점을 둔 22개의 병합된 풀 리퀘스트
원문

Kubernetes

Kubernetes Core2026년 2월 26일

Kubernetes v1.32.13은 안정적인 v1.32 시리즈의 패치 릴리스로, 버그 수정과 보안 개선에 집중하며 하위 호환성을 유지합니다.

  • security보안 패치 즉시 적용

    이 패치 릴리스에는 중요한 보안 수정 사항이 포함되어 있을 가능성이 높습니다. 특히 이전 v1.32.x 버전을 실행 중인 경우 프로덕션 클러스터의 즉시 업그레이드를 계획하세요. 스테이징에서 먼저 테스트한 후 표준 유지보수 창을 통해 프로덕션에 배포하세요.

  • enhancement컨테이너 이미지 및 바이너리 업데이트

    최신 v1.32.13 컨테이너 이미지를 가져오고 인프라 전체의 노드 바이너리를 업데이트하세요. API 호환성을 유지하는 간단한 현장 업그레이드입니다. 새 이미지 태그를 참조하도록 CI/CD 파이프라인을 업데이트하세요.

  • enhancement다중 아키텍처 지원 검증

    혼합 아키텍처 클러스터를 실행하는 경우 모든 아키텍처(amd64, arm64, ppc64le, s390x)가 일관되게 업데이트되었는지 확인하세요. 매니페스트 목록이 자동 아키텍처 선택을 지원하지만, 배포 자동화가 이를 올바르게 처리하는지 검증하세요.

주요 변경 (5)
  • 버그 수정 및 보안 개선이 포함된 v1.32 안정 시리즈 패치 릴리스
  • 지원되는 모든 아키텍처(amd64, arm64, ppc64le, s390x)에서 컨테이너 이미지 업데이트
  • Windows를 포함한 모든 지원 플랫폼용 클라이언트, 서버, 노드 바이너리 업데이트
  • 기존 v1.32.x 배포와의 API 호환성 유지
  • 표준 Kubernetes 구성 요소 업데이트(kube-apiserver, kube-controller-manager, kube-proxy, kubelet)
원문

cert-manager

Security2026년 2월 24일

cert-manager v1.18.6은 CVE-2025-68121을 해결하기 위한 Go 런타임 업데이트를 포함한 보안 중심 패치 릴리스로, 인증서 관리 운영에는 기능적 변경사항이 없습니다.

  • securityCVE-2025-68121 완화를 위한 v1.18.6 업데이트

    이번 릴리스는 cert-manager 보안에 영향을 줄 수 있는 Go 런타임 취약점(CVE-2025-68121)을 패치합니다. 설정 변경 없이 바로 교체 가능하므로 표준 유지보수 기간 내에 업그레이드를 계획하세요. 비프로덕션 환경에서 먼저 테스트한 후 프로덕션 클러스터에 배포하세요.

  • enhancement프로덕션 워크로드를 위한 안전한 업그레이드 경로

    기능적 변경사항 없이 순수 보안 패치이므로 기존 배포 프로세스를 사용하여 안심하고 업그레이드할 수 있습니다. 완전한 하위 호환성을 유지하므로 추가 테스트 오버헤드 없이 자동화된 배포 파이프라인에 적합합니다.

주요 변경 (4)
  • CVE-2025-68121 보안 취약점 해결을 위한 Go 런타임 업데이트
  • macOS 환경에만 영향을 미치는 CVE-2026-24051은 패치하지 않음
  • 호환성 문제나 새로운 기능 없이 순수 보안 패치
  • 기존 cert-manager 배포와 완전 호환성 유지
원문

Knative

Orchestration & Management2026년 2월 24일

Knative v1.21.1은 Kubernetes v1.25.7로 재빌드한 패치 릴리스이며, v1.22에서 예정된 보안 기본값 변경 사항을 사전 공지합니다.

  • security강화된 파드 보안 정책 준비

    root 권한으로 실행되는 컨테이너 이미지와 워크로드를 검토하세요. 예정된 AllowRootBounded 설정은 호환성을 유지하면서 root 접근을 제한합니다. 지금 애플리케이션을 감사하고 더 나은 보안 정렬을 위해 가능한 곳에서 root 실행에서 마이그레이션을 고려하세요.

  • breakingv1.22 보안 변경사항에 대한 워크로드 사전 테스트 필요

    v1.22에서 secure-pod-defaults가 disabled에서 AllowRootBounded로 변경됩니다. 지금 이 설정을 활성화하여 워크로드를 테스트하세요. 호환되지 않는다면 v1.22 업그레이드 전에 설정에서 secure-pod-defaults를 명시적으로 disabled로 설정하여 서비스 중단을 방지하세요.

주요 변경 (4)
  • 호환성 및 안정성을 위해 Kubernetes v1.25.7로 재빌드
  • secure-pod-defaults는 v1.21.1에서 기본값으로 비활성화 유지
  • 향후 v1.22 릴리스에서 secure-pod-defaults 기본값이 AllowRootBounded로 변경 예정
  • AllowRootBounded 설정은 root 권한 필요 이미지와의 호환성을 유지하면서 보안 강화 제공
원문

OpenFGA

Security2026년 2월 23일

OpenFGA v1.11.6는 성능 향상을 위해 ListObjects 파이프라인을 기본 활성화하고, gRPC 클라이언트 구현을 업그레이드하며, grpc-health-probe의 보안 취약점을 해결합니다.

  • securitygrpc-health-probe 사용 배포 환경 업데이트

    OpenFGA 배포에서 헬스 체크를 위해 grpc-health-probe를 사용하고 있다면, 이 업데이트가 CVE-2025-68121을 해결합니다. 컨테이너 이미지가 최신 버전을 가져오는지 확인하고 독립형 grpc-health-probe 바이너리를 업데이트하세요.

  • enhancementListObjects 파이프라인 성능 영향 테스트

    새로운 기본 ListObjects 파이프라인 알고리즘이 쿼리 성능을 향상시킬 수 있지만 동작이 변경될 수 있습니다. 업그레이드 후 ListObjects API 호출을 모니터링하고, 문제 발생 시 listObjects-pipeline-enabled=false로 비활성화할 준비를 하세요.

주요 변경 (3)
  • ListObjects 파이프라인 알고리즘이 기본으로 활성화됨 (listObjects-pipeline-enabled=false로 비활성화 가능)
  • grpc-gateway 클라이언트에서 deprecated된 grpc.DialContext에서 grpc.NewClient로 마이그레이션
  • 보안 업데이트: CVE-2025-68121 해결을 위해 grpc-health-probe를 v0.4.45로 업데이트
원문

KubeVirt

Orchestration & Management2026년 2월 23일

KubeVirt v1.7.1은 라이브 마이그레이션, 볼륨 핫플러그, VM 스냅샷 작업의 중요한 버그 수정과 함께 강화된 모니터링 기능 및 보안 업데이트를 제공합니다.

  • security암호화 종속성 취약점 해결을 위한 업데이트 필요

    보안 문제를 해결하기 위해 golang.org/x/crypto 종속성이 v0.45.0으로 업데이트되었습니다. 암호화 취약점이 VM 보안에 영향을 줄 수 있으므로, 특히 민감한 워크로드를 처리하는 프로덕션 환경에서는 이 버전으로 신속하게 업그레이드할 계획을 세우세요.

  • breaking교차 벤더 마이그레이션 방지로 인한 워크플로우 검토 필요

    KubeVirt가 이제 교차 벤더 마이그레이션을 방지하므로 서로 다른 인프라 공급자 간 VM 마이그레이션에 의존하는 기존 워크플로우가 중단될 수 있습니다. 마이그레이션 패턴을 검토하고 소스와 대상 노드가 호환되는 가상화 스택을 사용하는지 확인하세요.

  • enhancement임시 볼륨 모니터링 구현

    임시 핫플러그 볼륨용 새로운 메트릭과 알림이 운영 가시성을 향상시킵니다. 이러한 새로운 메트릭을 수집하도록 모니터링 스택을 구성하고, 리소스 사용량과 잠재적 문제를 더 잘 추적하기 위해 임시 볼륨 라이프사이클 이벤트에 대한 알림을 설정하세요.

주요 변경 (6)
  • 서로 다른 volumeMode를 가진 볼륨 간 분산 라이브 마이그레이션 문제 해결
  • 블록 볼륨 핫플러그가 autoattachVSOCK 기능을 중단시키는 문제 수정
  • 더 나은 모니터링을 위한 임시 핫플러그 볼륨 메트릭 및 알림 추가
  • 관찰 가능성에 영향을 미치던 마이그레이션 메트릭 누락 문제 해결
  • golang.org/x/crypto를 v0.45.0으로 포함한 보안 종속성 업데이트
  • 완료된 파드의 PVC와 함께 작동하도록 VM 내보내기 기능 개선
원문

Contour

Networking & Messaging2026년 2월 20일

Contour v1.33.2는 HTTPProxy 상태 업데이트 버그를 수정하고, Go를 v1.25.7로 업그레이드하며, shutdown-manager 컨테이너의 CPU 할당을 개선한 유지보수 릴리스입니다.

  • securityGo 보안 패치를 위한 업그레이드

    Go v1.25.7은 보안 수정 사항과 성능 개선을 포함합니다. 특히 이전 Contour 버전으로 프로덕션 워크로드를 실행 중이라면 이러한 업데이트의 혜택을 받기 위해 업그레이드를 계획하세요.

  • breakingHTTPProxy 상태 업데이트 문제 해결

    HTTPProxy 리소스에서 로드 밸런서 상태 업데이트 실패를 겪고 있다면, 이번 릴리스에서 CRD 스키마 문제를 해결했습니다. 모니터링이나 자동화를 위해 상태 필드에 의존한다면 즉시 업그레이드하세요.

  • enhancementGateway Provisioner 성능 개선

    shutdown-manager의 CPU 제한 증가로 스로틀링 문제가 방지됩니다. Contour Gateway Provisioner를 사용하면서 느린 종료 작업을 경험한다면, 이번 업그레이드가 성능을 개선할 것입니다.

주요 변경 (4)
  • 최신 보안 및 성능 개선을 위해 Go 런타임을 v1.25.7로 업데이트
  • 로드 밸런서 상태 업데이트 실패를 야기하는 HTTPProxy CRD 스키마 버그 수정
  • 스로틀링 방지를 위해 Gateway Provisioner의 shutdown-manager CPU 제한을 50m에서 200m로 증가
  • Kubernetes 버전 1.32부터 1.34까지 호환성 유지
원문

Contour

Networking & Messaging2026년 2월 20일

Contour v1.32.3는 Go 런타임을 v1.24.13으로 업데이트하고 로드 밸런서 상태 업데이트를 방해하는 중요한 CRD 스키마 버그를 수정한 유지보수 릴리스입니다.

  • securityGo 보안 수정을 위한 업데이트

    Go v1.24.13에는 보안 패치가 포함되어 있습니다. 런타임 보안 개선 사항과 버그 수정의 혜택을 받기 위해 다음 유지보수 기간 동안 v1.32.3로 업그레이드를 계획하세요.

  • breaking로드 밸런서 상태 문제 해결

    HTTPProxy 리소스에서 로드 밸런서 상태 업데이트 실패를 경험하고 있다면 즉시 업그레이드하세요. CRD 스키마 수정으로 트래픽 라우팅 가시성과 모니터링에 영향을 줄 수 있는 상태 보고 문제가 해결됩니다.

주요 변경 (4)
  • 보안 수정 사항과 개선 사항을 포함한 Go 런타임 v1.24.13 업데이트
  • status.loadBalancer.ingress[].ports[].error 필드를 잘못 필수로 표시한 HTTPProxy CRD 스키마 버그 수정
  • 인그레스 트래픽 라우팅에 영향을 주는 로드 밸런서 상태 업데이트 실패 문제 해결
  • 쿠버네티스 버전 1.31~1.33과의 호환성 유지
원문

Contour

Networking & Messaging2026년 2월 20일

Contour v1.31.4는 중요한 로드 밸런서 상태 업데이트 버그를 수정하고 Go를 v1.24.13으로 업데이트하여 보안과 안정성을 개선한 패치 릴리스입니다.

  • securityGo 보안 패치를 위한 업그레이드 필요

    Go v1.24.13에는 런타임 보안을 개선하는 보안 수정사항이 포함되어 있습니다. 다음 유지보수 기간에 Contour를 v1.31.4로 업그레이드하여 이러한 보안 개선사항의 혜택을 받으시기 바랍니다.

  • enhancement로드 밸런서 상태 보고 문제 해결

    HTTPProxy 리소스로 로드 밸런서 상태 업데이트 실패를 경험했다면, 이번 릴리스에서 CRD 스키마 문제가 해결되었습니다. 특히 로드 밸런서 상태에 의존하는 자동화 및 모니터링 시스템에 중요하므로 올바른 상태 보고 기능을 복원하기 위해 업그레이드하시기 바랍니다.

주요 변경 (4)
  • 보안 및 성능 개선을 위한 Go 런타임 v1.24.13 업데이트
  • 로드 밸런서 상태 업데이트 실패를 야기하던 HTTPProxy CRD 스키마 버그 수정
  • Kubernetes 1.30-1.32와의 호환성 유지
  • 호환성 문제 없는 안정성 개선에 집중
원문

Keycloak

Security2026년 2월 20일

Keycloak 26.5.4는 SAML 취약점과 권한 부여 우회 문제를 포함한 5개의 CVE를 해결하는 중요한 보안 패치 릴리스입니다. 성능 개선과 클러스터 안정성 수정 사항을 포함합니다.

  • security다중 CVE로 인한 즉시 업그레이드 필요

    이 릴리스는 권한 부여 우회와 DoS 취약점을 포함한 5개의 CVE를 수정합니다. SAML 구성과 Docker 레지스트리 프로토콜 사용을 검토하세요. 특히 SAML 브로커링이나 Docker 레지스트리 통합을 사용하는 경우 다음 유지보수 기간에 즉시 업그레이드를 예약하세요.

  • security구성에서 클라이언트 시크릿 노출 확인

    CVE 수정으로 인증되지 않은 엔드포인트에서의 클라이언트 시크릿 공개 문제가 해결되었습니다. 업그레이드 후 클라이언트 구성을 감사하고 잠재적으로 노출된 시크릿을 교체하세요. 무단 구성 엔드포인트 접근에 대한 액세스 로그를 검토하세요.

  • enhancement업그레이드 후 클러스터 성능 최적화

    새로운 세션 ID 키 선호도와 개선된 캐싱으로 클러스터 배포에서 성능이 향상됩니다. 업그레이드 후 로그인 페이지 응답 시간과 클러스터 안정성을 모니터링하세요. 데이터베이스 쿼리 감소와 더 나은 로드 분산을 확인할 수 있습니다.

주요 변경 (5)
  • SAML 응답 지연, 권한 부여 헤더 파싱 우회, DoS 취약점을 포함한 5개의 중요한 CVE 수정
  • 인증되지 않은 구성 엔드포인트에서의 클라이언트 시크릿 정보 공개 해결
  • 향상된 로드 밸런싱을 위한 세션 ID 키 선호도 메커니즘 개선
  • jdbc-ping을 사용하는 3개 이상 노드 구성에서 클러스터 재결합 문제 해결
  • 로그인 페이지 로드 시 데이터베이스 쿼리 캐싱 성능 개선
원문

Kyverno

Security2026년 2월 19일

v1.17.1은 CVE 패치, 컨트롤러 패닉/크래시, 레이스 컨디션, 이미지 검증 오류 등 운영 환경에서 조용히 문제를 일으킬 수 있는 버그들을 집중적으로 수정한 패치 릴리스입니다.

  • securityCVE-2025-68121 즉시 패치

    이번 릴리스에서 CVE-2025-68121이 수정됩니다. 릴리스 노트에 상세 내용이 공개되지 않았지만, 어드미션 컨트롤러에서 발생한 CVE는 그 범위와 무관하게 즉각 대응이 필요합니다. v1.17.0을 사용 중이라면 다음 유지보수 창을 기다리지 말고 지금 바로 업그레이드하세요.

  • breaking정책 exclusion에 빈 목록을 사용 중이라면 반드시 점검

    정책 exclusion 블록에 빈 목록을 넣으면 아무것도 제외하지 않는 대신 모든 리소스를 제외하던 버그가 수정됩니다. ClusterPolicy나 Policy에 exclusion 블록이 있다면 지금 바로 검토하세요. 만약 이 잘못된 동작에 의존하고 있었다면, 업그레이드 후 기존에 스킵되던 리소스들이 갑자기 평가 대상이 될 수 있습니다.

  • enhancementTSA 및 프라이빗 레지스트리 기반 이미지 검증 신뢰성 개선

    두 가지 ivpol 수정이 함께 적용됩니다. TSACertChain을 제공할 때 서명 타임스탬프 검증이 정상적으로 활성화되고, 백그라운드 리포트 스캔 시 Kyverno 네임스페이스의 프라이빗 레지스트리 시크릿이 올바르게 사용됩니다. 백그라운드 스캔에서 검증 실패가 반복되거나 TSA 기반 서명 정책이 제대로 동작하지 않았다면, 업그레이드 후 리포트 스캔을 다시 실행해 결과를 확인하세요.

주요 변경 (5)
  • CVE-2025-68121 패치 — v1.17.0 사용 중이라면 즉시 업그레이드 필요
  • generate 응답에 result가 없을 때 메트릭 래퍼에서 발생하던 패닉 수정 — 컨트롤러 크래시로 이어질 수 있었던 문제
  • configuration.IsExcluded()와 ReportsBreaker의 레이스 컨디션 제거 — 동시 요청 처리 시 정확성에 영향을 줬던 버그
  • 이미지 검증(ivpol) 수정: 리포트 스캐너에서 프라이빗 레지스트리 인증 정상화, 다중 서명 어노테이션 검증 버그 해결, TSA 인증서 체인 제공 시 서명 타임스탬프 검증 활성화
  • 정책 exclusion에서 빈 목록이 모든 리소스를 제외하던 잠재적으로 위험한 동작 수정
원문

Fluentd

Observability2026년 2월 19일

Fluentd v1.19.2는 소켓 누수와 연결 타임아웃 관련 중요한 버그 수정과 Ruby 4.0 호환성 개선을 제공합니다. out_forward 및 HTTP 서버 플러그인의 운영 안정성 문제에 대한 우선순위 수정이 포함되었습니다.

  • security소켓 누수 취약점 수정을 위해 즉시 업그레이드

    HTTP 서버 플러그인에서 POST 요청 시 소켓 누수가 발생하여 리소스 고갈로 이어질 수 있었습니다. HTTP 입력 플러그인을 사용하는 운영 환경에서는 중요한 수정사항입니다. 즉시 업데이트하고 배포 후 소켓 사용량을 모니터링하십시오.

  • breaking타임아웃 처리를 위한 out_forward 구성 업데이트

    out_forward 플러그인이 이제 무한 루프를 방지하기 위해 연결 타임아웃을 적절히 처리합니다. forward 출력 구성을 검토하고 특히 연결 안정성이 중요한 고처리량 환경에서 연결 동작 변경사항을 모니터링하십시오.

  • enhancementRuby 4.0 마이그레이션 준비

    이 릴리스는 ostruct 및 net-http를 포함한 업데이트된 gem 종속성으로 Ruby 4.0 호환성을 추가합니다. Ruby 업그레이드 경로를 계획하고 Ruby 4.0으로 이전을 계획 중이라면 스테이징 환경에서 이 버전을 테스트하십시오.

주요 변경 (5)
  • out_forward 플러그인의 무한 연결 루프를 방지하는 타임아웃 문제 수정
  • HTTP 서버 플러그인 POST 요청에서 소켓 누수 문제 해결
  • glob 패턴에서 읽기 권한이 없는 파일 처리 시 in_tail 플러그인 오류 수정
  • 업데이트된 gem 종속성으로 Ruby 4.0 호환성 추가
  • config_include_dir에서 중복 설정 파일 로딩 문제 수정
원문

Strimzi

Networking & Messaging2026년 2월 19일

Strimzi 0.50.1은 0.47.0 이상 버전에 영향을 미치는 두 개의 CVE를 해결하는 중요한 보안 패치로, CRD 업그레이드가 필수이며 Kubernetes 1.27-1.29를 지원하는 마지막 버전입니다.

  • securityCVE 수정을 위한 즉시 업그레이드 필요

    Strimzi 0.47.0 이상을 사용 중이라면 즉시 CVE 권고사항을 검토하고 0.50.1로 업그레이드하십시오. 프로덕션 환경에서 긴급한 패치가 필요한 중요 보안 취약점입니다.

  • breaking업그레이드 전 KafkaUser 리소스 업데이트

    업그레이드 전에 모든 KafkaUser 리소스를 업데이트하여 더 이상 사용되지 않는 .spec.authorization.acls[]operation 필드 대신 .spec.authorization.acls[]operations 필드를 사용하도록 하여 호환성 문제를 방지하십시오.

  • breakingStrimzi 0.51 이상을 위한 Kubernetes 업그레이드 계획

    이는 Kubernetes 1.27-1.29를 지원하는 마지막 버전입니다. 호환성 유지를 위해 Strimzi 0.51.0 이상으로 업그레이드하기 전에 클러스터를 Kubernetes 1.30 이상으로 업그레이드할 계획을 세우십시오.

주요 변경 (5)
  • Strimzi 0.47.0 이상에 영향을 미치는 중요 보안 취약점 CVE-2026-27133 및 CVE-2026-27134 수정
  • TLS 인증서 검증 개선을 위한 브로커 인증서에 전체 CA 체인 포함
  • v1 API 변환 도구의 숫자 변환 및 빈 YAML 문서 처리 버그 수정
  • Kubernetes 1.27, 1.28, 1.29를 지원하는 마지막 버전 - 향후 버전은 K8s 1.30 이상 필요
  • v1 API로의 마이그레이션 지속, 특히 Helm 사용자에게 중요한 CRD 업그레이드 필수
원문

Notary Project

Security2025년 4월 27일

Notation v1.3.2는 golang-jwt의 CVE-2025-30204를 수정한 보안 패치로, 1.3 브랜치에 백포트된 릴리스입니다.

  • securityCVE-2025-30204 대응: v1.3.2로 즉시 업그레이드

    CVE-2025-30204는 golang-jwt의 JWT 검증 우회 취약점입니다. Notation 1.3.x 버전을 사용 중이라면 지금 바로 v1.3.2로 올려야 합니다. 이번 패치 릴리스의 존재 이유가 바로 이 취약점 하나입니다. v1.4 이상을 사용 중이더라도, 해당 버전에 이미 수정이 포함되어 있는지 반드시 확인하세요.

  • enhancement1.3 버전을 유지해야 하는 팀에게 안전한 업그레이드 경로

    아직 최신 메이저 버전으로 전환하지 못한 팀이라면 v1.3.2는 부담 없이 적용할 수 있습니다. 변경 범위가 JWT 의존성 업데이트와 소소한 정리에 국한되어 있어 동작 변화 없이 기존 1.3.x 환경에 그대로 교체할 수 있습니다.

주요 변경 (3)
  • golang-jwt 의존성 업데이트로 CVE-2025-30204 패치
  • main 브랜치에서 release-1.3 브랜치로 백포트 적용
  • 보안 수정과 함께 소소한 코드 및 문서 정리
원문
← 최신