RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Chaos Mesh해제 ×

Chaos Mesh

Observability2026년 6월 10일

Chaos Mesh v2.8.3은 컨테이너 이미지의 critical/high CVE를 패치하고, CrashLoopBackOff 상태 파드에서 NetworkChaos 복구가 실패하던 버그를 수정한 패치 릴리스입니다.

  • securitycritical/high CVE 패치를 위해 v2.8.3으로 업그레이드

    Go 툴체인과 containerd에서 critical/high 수준의 CVE가 확인됐습니다. release-2.8 브랜치를 운영 중이라면 즉시 v2.8.3으로 업그레이드하세요. 설정 변경은 필요 없고 이미지 교체만으로 충분합니다.

  • breakingCrashLoopBackOff 파드를 대상으로 한 NetworkChaos 실험 재검증 필요

    이전 버전에서는 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구가 실패했습니다. v2.8.3은 이를 pause 컨테이너 PID로 폴백해 수정했습니다. 의도적으로 크래시가 반복되는 워크로드를 포함한 카오스 실험을 운영 중이라면, 업그레이드 후 복구 동작을 다시 확인하세요.

주요 변경 (5)
  • Go 툴체인 1.25.11 및 containerd 1.7.32로 업그레이드 — 컨테이너 이미지의 critical/high CVE 패치
  • memStress 헬퍼를 최신 Go 툴체인으로 재빌드 (v0.3.1)
  • chaos-daemon 이미지를 headless JRE로 전환하여 공격 표면 축소
  • 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구 실패 수정 — sandbox(pause) 컨테이너 PID로 폴백
  • e2e 테스트에서 deprecated된 wait.PollImmediate를 wait.PollUntilContextTimeout으로 교체
원문

Chaos Mesh

Observability2026년 3월 25일

Chaos Mesh v2.8.2는 Go 및 UI 패키지 전반의 CVE를 해소하는 보안 패치 릴리스로, install.sh 제거 및 cert-manager 웹훅 충돌 버그 수정도 포함합니다.

  • securityCVE 대응 목적의 릴리스 — 즉시 업그레이드 필요

    이번 릴리스는 Go와 UI 전체 직접 의존성을 일괄 업그레이드해 CVE를 해소했습니다. 릴리스 노트에 구체적인 CVE ID는 명시되지 않았지만, 대상 범위가 '모든 직접 의존성'인 만큼 노출 범위가 넓을 수 있습니다. 특히 Chaos Mesh 대시보드가 외부 또는 내부 비신뢰 사용자에게 노출된 클러스터라면 v2.8.1 이하 버전에서 즉시 업그레이드하세요.

  • breakinginstall.sh 참조 제거 — 파일 자체가 삭제됨

    단순 사용 중단(deprecated) 수준이 아니라 파일이 완전히 삭제됐습니다. install.sh를 호출하는 CI/CD 파이프라인, 런북, 온보딩 문서가 있다면 업그레이드 즉시 오류가 발생합니다. 업그레이드 전에 관련 자동화 스크립트와 내부 문서를 Helm 차트 또는 공식 퀵스타트 가이드 기준으로 먼저 수정하세요.

  • enhancementcert-manager 사용 환경에서 SSA 충돌 해소 확인 필요

    cert-manager로 웹훅 인증서를 관리하는 경우, 웹훅 템플릿의 caBundle 플레이스홀더가 서버사이드 어플라이(SSA)의 필드 소유권 충돌을 유발했습니다. 조용히 재조정(reconciliation)을 망가뜨리는 유형의 버그입니다. v2.8.2로 업그레이드한 뒤 Helm 릴리스 또는 매니페스트를 다시 적용해 SSA가 필드 소유권을 깔끔하게 재계산하도록 해주세요. 웹훅 인증서 오류나 Helm diff 노이즈가 반복됐다면 이 문제가 원인이었을 가능성이 높습니다.

주요 변경 (5)
  • 알려진 CVE 해소를 위해 직접 의존 Go·UI 패키지 일괄 업그레이드
  • install.sh 삭제 — 더 이상 파일 자체가 존재하지 않음, Helm/kubectl이 유일한 설치 경로
  • Go 런타임 1.25.8로 업그레이드
  • 취약한 go-ethereum JSON-RPC를 creachadair/jrpc2로 교체
  • cert-manager 사용 시 caBundle 플레이스홀더로 인한 서버사이드 어플라이(SSA) 충돌 수정
원문