RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: CoreDNS해제 ×

CoreDNS

Kubernetes Core2026년 4월 22일

CoreDNS v1.14.3은 모든 전송 계층에 TSIG 완전 검증을 적용하고, Go 보안 CVE 13건을 패치하며, 캐시 프리페치 개선과 forward 플러그인의 max_age 옵션을 추가한 운영 보안 강화 릴리스입니다.

  • securityGo CVE 13건 및 TSIG 취약점 수정 — 즉시 업그레이드 필요

    Go 1.26.2가 런타임 CVE 13건을 해결합니다. 여기에 더해 DoH, DoH3, QUIC, gRPC 전송 계층의 TSIG 검증 누락도 함께 수정됐습니다. 해당 전송 방식과 TSIG를 같이 쓰고 있다면, 이전 버전에서는 인증되지 않은 요청이 통과될 수 있었습니다. v1.14.3으로 업그레이드한 뒤 강화된 검증 정책에 맞게 TSIG 설정을 재확인하세요.

  • breakingDoH GET 요청 크기 제한 적용 — 클라이언트 호환성 확인 필요

    CoreDNS가 DoH GET 요청의 dns 쿼리 파라미터 크기를 초과하면 이제 명시적으로 거부합니다. 비표준 구현이나 커스텀 DoH 클라이언트를 사용 중이라면 스테이징에서 먼저 테스트하세요. 표준을 따르는 클라이언트는 대부분 영향이 없지만, 자체 구현 클라이언트는 반드시 검증이 필요합니다.

  • enhancementforward 플러그인 max_age로 오래된 업스트림 연결 관리

    수명이 긴 업스트림 연결은 중간 네트워크 장비에 의해 조용히 끊기거나 성능이 저하될 수 있습니다. 새로운 max_age 옵션으로 연결 최대 수명을 강제 설정할 수 있습니다. 산발적인 업스트림 타임아웃이나 일시적 해석 실패를 경험했다면, 업스트림 안정성에 따라 30초~5분 범위에서 max_age를 설정해 주기적 재연결을 유도해 보세요.

주요 변경 (5)
  • DoH, DoH3, QUIC, gRPC 전송 계층 전체에 TSIG 완전 검증 적용 — 기존에는 검증이 불완전했음
  • Go 1.26.2 빌드로 CVE-2026-32282 등 13개 CVE 패치
  • 캐시 프리페치가 클라이언트 연결을 먼저 해제한 뒤 업스트림을 조회하도록 개선해 고부하 시 연결 고갈 방지
  • forward 플러그인에 max_age 옵션 추가 — 업스트림 연결의 절대 수명을 강제할 수 있음
  • 메트릭 엔드포인트에 TLS 옵션 추가, Go 런타임 메트릭 선택적 내보내기 지원
원문

CoreDNS

Kubernetes Core2026년 3월 6일

CoreDNS v1.14.2는 ACL 우회 방지와 루프 감지 보안 강화 등 중요한 보안 수정사항을 포함하며, 로드 밸런서 뒤에서 클라이언트 IP를 보존할 수 있는 프록시 프로토콜 지원을 추가했습니다.

  • securityACL 우회 취약점 수정을 위한 즉시 업그레이드 필요

    이번 릴리스는 rewrite 플러그인이 ACL 제한을 우회할 수 있는 CVE-2026-26017을 수정합니다. 접근 제어에 ACL 플러그인을 사용하는 팀은 이 업그레이드를 우선시하고, rewrite 규칙이 제한된 존을 의도치 않게 노출하지 않는지 확인해야 합니다.

  • security다중 CVE 수정을 위한 Go 런타임 업데이트

    Go 1.26.1 업데이트는 런타임의 5개 CVE를 해결했습니다. CoreDNS 수정사항과 함께 기반 Go 보안 개선사항도 얻을 수 있도록 롤아웃을 계획하세요. 특히 CoreDNS 인스턴스가 인터넷에 노출되어 있다면 더욱 중요합니다.

  • enhancement로드 밸런서 환경에서 proxyproto 플러그인 배포

    로드 밸런서 뒤에서 CoreDNS를 운영하며 로깅이나 ACL을 위해 실제 클라이언트 IP 가시성이 필요하다면 새로운 proxyproto 플러그인을 설정하세요. 클라이언트 IP 기반 정책이나 감사 추적이 필요한 환경에서 특히 유용합니다.

주요 변경 (5)
  • 새로운 proxyproto 플러그인으로 로드 밸런서 환경에서 클라이언트 IP 보존 가능
  • rewrite 플러그인을 ACL 검사 전에 실행하도록 순서를 변경해 ACL 우회 취약점 수정
  • 암호학적으로 안전한 난수 생성으로 루프 감지 보안성 강화
  • 암호화된 DNS 트래픽에 영향을 주던 TLS+IPv6 포워딩 파싱 오류 해결
  • 응답 타입과 클래스 메타데이터를 DNS 로깅에 추가해 관찰 가능성 개선
원문