RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: cert-manager해제 ×

cert-manager

Security2026년 6월 25일

v1.19.6은 cert-manager-edit ClusterRole에서 발견된 HIGH 등급 RBAC 권한 상승 취약점(사용자가 ACME Challenge/Order를 직접 생성해 Issuer solver 셀렉터를 우회할 수 있던 문제)을 수정하는 보안 패치이며, CVE 3건을 해결하는 Go 툴체인 업데이트도 포함합니다. 이번 RBAC 수정에는 문서화된 주요 권한 변경이 포함되어 있습니다.

  • securityACME Challenge/Order 직접 생성을 통한 RBAC 권한 상승

    v1.19.6에 적용됩니다. 기본 cert-manager-edit 애그리게이트 ClusterRole은 네임스페이스 사용자가 ACME Challenge와 Order 리소스를 직접 생성할 수 있게 해, Issuer solver 셀렉터를 우회할 수 있었습니다. 이번 패치로 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create/patch/update 권한이 해당 역할에서 제거되었습니다. HIGH 등급 취약점(GHSA-8rvj-mm4h-c258)이므로 v1.19.6으로 업그레이드하세요.

  • securityGo 툴체인 1.25.11로 업데이트, CVE 3건 해결

    v1.19.6에서 무조건 적용됩니다. Go가 1.25.11로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 해결합니다. 업그레이드 외에 별도 조치는 필요 없습니다.

  • breakingcert-manager-edit ClusterRole의 Challenge/Order 생성 권한 제거

    Certificate → CertificateRequest → Order → Challenge 흐름을 벗어나 Challenge나 Order 리소스를 직접 생성하는 도구나 워크플로우가 있다면, 업그레이드 후 해당 권한을 잃게 되므로 별도로 권한을 부여해야 합니다.

주요 변경 (4)
  • HIGH 등급 RBAC 취약점 수정(GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole이 ACME Challenge/Order 직접 생성을 허용해 Issuer solver 셀렉터를 우회할 수 있었음
  • 주요 변경(breaking): cert-manager-edit이 더 이상 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create/patch/update 권한을 부여하지 않음. Challenge/Order를 직접 생성하는 도구는 권한을 별도로 부여해야 함
  • Go를 1.25.11로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 해결
  • 앞서 Go 1.25.10 업데이트와 기타 의존성 업데이트 다수 포함
원문

cert-manager

Security2026년 6월 25일

v1.20.3은 cert-manager-edit ClusterRole의 HIGH 심각도 RBAC 과잉 권한(GHSA-8rvj-mm4h-c258)을 수정하고 Go를 v1.26.4로 올려 CVE 3건을 해결한 보안 릴리스입니다. 업그레이드 전에 Challenge·Order 리소스를 직접 생성하는 워크플로가 있는지 반드시 확인하세요.

  • securitycert-manager-edit ClusterRole RBAC 과잉 권한 (GHSA-8rvj-mm4h-c258)

    GHSA-8rvj-mm4h-c258(HIGH): cert-manager-edit 집계 ClusterRole이 네임스페이스 사용자에게 Challenge·Order 리소스 직접 생성 권한을 부여해, Issuer 솔버 셀렉터를 우회할 수 있었습니다. v1.20.3에서 수정되었으므로, 클러스터에 신뢰하지 않는 네임스페이스 사용자가 있다면 즉시 업그레이드하세요.

  • securityGo v1.26.4 업데이트 (CVE 3건)

    Go가 v1.26.4로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 세 건의 CVE가 수정됩니다. 별도 설정 변경 없이 cert-manager를 업그레이드하면 적용됩니다.

  • breakingBreaking: cert-manager-edit에서 Challenge·Order 직접 생성 권한 제거

    cert-manager-edit ClusterRole에서 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create·patch·update 권한이 제거되었습니다. 정상 흐름(Certificate → CertificateRequest → Order → Challenge)을 거치지 않고 Challenge나 Order를 직접 생성하는 자동화 도구·CI 워크플로가 있다면, 업그레이드 전에 반드시 수정하세요.

주요 변경 (4)
  • HIGH 심각도 RBAC 취약점 수정 (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole에서 Challenge·Order 직접 생성을 허용하는 권한을 제거해 Issuer 솔버 셀렉터 우회 경로를 차단했습니다.
  • Breaking 변경: cert-manager-edit 집계 ClusterRole에서 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create·patch·update 권한이 삭제되었습니다.
  • Go를 v1.26.4로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 수정했습니다.
  • 버그 수정: Challenge 리소스에 포함되어 있던 issuer owner reference가 제거되어 Challenge 가비지 컬렉션이 정상 작동합니다.
원문

cert-manager

Security2026년 4월 11일

webhook.config와 webhook.volumes를 동시에 설정할 때 발생하는 Helm 차트 YAML 생성 버그를 수정하고, 취약점 해소를 위해 Go 1.26.2로 업그레이드한 패치 릴리스입니다.

  • security의존성 취약점 패치 포함 — 다음 유지보수 창에 업그레이드 예약

    Go 런타임과 의존성을 보고된 취약점 해소 목적으로 업데이트했습니다. 릴리스 노트에 구체적인 CVE ID가 명시되진 않았지만, cert-manager는 클러스터 내 인증서 발급을 담당하는 특권적 위치에 있는 컴포넌트입니다. 보안 패치는 미루지 않는 게 좋습니다.

  • breakingwebhook.config와 webhook.volumes를 함께 쓰고 있다면 즉시 업그레이드

    Helm values에 webhook.config와 webhook.volumes를 모두 설정한 환경이라면, 지금까지 잘못된 YAML이 생성됐을 가능성이 높습니다. 웹훅이 의도와 다른 설정으로 배포됐을 수 있으므로, v1.20.2로 업그레이드하고 재배포한 뒤 웹훅 파드의 볼륨 마운트와 설정이 정상인지 반드시 확인하세요.

주요 변경 (3)
  • webhook.config와 webhook.volumes를 함께 설정했을 때 잘못된 YAML이 생성되던 버그 수정
  • Go 런타임을 1.26.2로 업그레이드
  • 보고된 취약점 해소를 위한 Go 의존성 업데이트
원문

cert-manager

Security2026년 3월 27일

v1.20.1은 OpenShift 업그레이드 차단 버그, Gateway API의 parentRef 중복 문제, gRPC 의존성 버전 업을 처리한 패치 릴리스입니다.

  • securitygRPC 버전 업은 스캐너 대응 수준 — 실제 위험 없음

    보고된 CVE는 cert-manager의 실제 코드 경로에 영향을 주지 않습니다. 다만 Trivy, Grype 같은 스캐너가 v1.20.0을 플래그하고 있었다면 v1.20.1로 업그레이드하면 해소됩니다. 긴급성은 낮지만, 파이프라인 노이즈를 줄이고 싶다면 업그레이드할 이유는 충분합니다.

  • breakingOpenShift 사용자: v1.20.0 건너뛰고 v1.20.1로 바로 업그레이드

    v1.20.0에서 order 컨트롤러의 ClusterRole에 issuer finalizer 권한이 빠진 채로 릴리스됐습니다. OpenShift는 RBAC 검증이 엄격해 이 문제가 업그레이드 자체를 막았습니다. v1.20.0 적용을 보류 중이었다면 v1.20.1로 직행하세요. 이미 v1.20.0을 적용했다면 업그레이드 후 order 컨트롤러의 ClusterRole에 finalizer 권한이 정상 포함됐는지 확인하세요.

  • enhancementGateway API 사용자: parentRef 중복으로 인한 라우팅 이상 여부 점검

    issuer config와 어노테이션 양쪽에 parentRef를 지정한 설정에서 v1.20.0은 중복된 parentRef 항목을 생성했습니다. 게이트웨이 구현체에 따라 예측 불가한 동작이 발생할 수 있습니다. v1.20.1로 업그레이드한 뒤, 두 방식을 동시에 쓰던 Certificate 리소스들을 점검해 중복이 제거됐는지 확인하세요.

주요 변경 (3)
  • order 컨트롤러에 누락된 issuer finalizer RBAC 추가 — OpenShift 사용자의 v1.20.0 업그레이드 차단 문제 해결
  • issuer config과 어노테이션 양쪽에 parentRef가 지정된 경우 Gateway API에서 중복 항목이 생성되던 버그 수정
  • 스캐너 경보 해소를 위한 google.golang.org/grpc 버전 업 (cert-manager에 실제 영향 없음)
원문

cert-manager

Security2026년 3월 10일

cert-manager v1.20.0에서 Gateway API ListenerSet 지원, Azure Private DNS 통합, OtherNames 베타 승격과 함께 여러 ACME 및 DNS 관련 버그를 수정했습니다.

  • securityDNS DoS 취약점 수정을 위한 업데이트

    잘못된 DNS 응답으로 컨트롤러 서비스 거부 공격이 가능한 보안 이슈가 수정됐습니다. cert-manager 컨트롤러가 신뢰할 수 없는 DNS 서버나 DNS 트래픽 조작 가능한 네트워크에 노출된 경우 즉시 업데이트하세요.

  • breaking컨테이너 UID/GID 변경으로 보안 컨텍스트 영향

    기본 컨테이너 사용자가 UID 1000에서 65532로, 그룹이 GID 0에서 65532로 변경됐습니다. 이 값들을 하드코딩했거나 루트 그룹 접근에 의존하는 경우 파드 보안 정책, 보안 컨텍스트, 파일 권한을 검토하세요.

  • enhancement내부 인증서 관리용 Azure Private DNS 활성화

    새로운 Azure Private DNS 지원으로 프라이빗 존에서 DNS-01 챌린지가 가능해졌습니다. DNS 레코드를 공개하지 않고 내부 서비스용 인증서를 관리하려면 Azure DNS issuer에 프라이빗 존 설정을 구성하세요.

주요 변경 (5)
  • Gateway API ListenerSet 리소스 지원 (실험적 기능 게이트)
  • DNS-01 챌린지용 Azure Private DNS 존 지원
  • OtherNames 기능 베타로 승격 및 기본 활성화
  • 모든 컨테이너에 네트워크 정책 설정 플래그 추가
  • 커스텀 필드 어노테이션 지원으로 Venafi 프로바이더 기능 강화
원문