RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: etcd해제 ×

etcd

Kubernetes Core2026년 7월 2일

etcd v3.6.13은 --listen-client-http-urls를 설정한 클러스터에서 gRPC 리스너의 CRL 검사가 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 패치입니다. WebSocket bearer 토큰 인증 버그 수정과 v2-deprecation 플래그 옵션 추가도 포함됩니다.

  • securitygRPC 리스너 CRL 검사 우회 패치 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls를 설정한 클러스터에서는 gRPC 리스너가 CRL(인증서 폐기 목록) 검사를 수행하지 않아, 폐기된 클라이언트 인증서로도 인증이 통과될 수 있었습니다. 해당 플래그를 사용하는 환경이라면 v3.6.13으로 업그레이드하세요.

주요 변경 (3)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검사가 우회되던 취약점 수정(GHSA-3wh4-j44w-pg92)
  • 버그 수정: bearer 접두사 토큰을 사용하는 WebSocket 인증 오류 해결
  • 기능 추가: --v2-deprecation 플래그에 write-only-skip-check 옵션을 추가해 v2 콘텐츠 검사 생략 가능
원문

etcd

Kubernetes Core2026년 7월 2일

etcd v3.5.32는 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 릴리스입니다. v2-deprecation 우회 옵션 추가와 버그 수정도 함께 포함되었습니다.

  • securitygRPC 리스너의 CRL 검증 우회 취약점 (GHSA-3wh4-j44w-pg92)

    --listen-client-http-urls 플래그를 설정한 경우 gRPC 리스너에서 CRL 검증이 작동하지 않아 폐기된 인증서가 허용되었습니다. 해당 플래그와 mTLS, CRL을 함께 사용 중이라면 v3.5.32로 업그레이드하세요.

주요 변경 (6)
  • 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검증이 우회되던 문제 수정 (GHSA-3wh4-j44w-pg92)
  • --v2-deprecation 플래그에 write-only-skip-check 옵션 추가로 v2 콘텐츠 검사 우회 가능
  • 서버가 비관리자의 유지보수 상태 요청을 허용하도록 변경
  • etcdutl check v2store 명령이 v2 스냅샷과 WAL 레코드를 모두 검사하도록 개선
  • bearer 형식 토큰을 사용한 WebSocket 인증 버그 수정
  • 토큰 파싱 실패 시 JWT 토큰 내용이 로그에 남지 않도록 처리
원문

etcd

Kubernetes Core2026년 4월 2일

etcd v3.5.29는 3.5 브랜치의 유지보수 릴리스입니다. 릴리스 노트 자체에는 세부 변경 사항이 없어 CHANGELOG를 직접 확인해야 합니다.

  • security컨테이너 이미지 레지스트리 출처 검증

    CI/CD 파이프라인에서 etcd 이미지를 사용한다면, 기본 레지스트리인 gcr.io/etcd-development/etcd를 사용하는지 확인하세요. quay.io 미러는 보조 레지스트리라 최신 이미지 반영이 늦을 수 있습니다. 플로팅 태그 대신 이미지 다이제스트를 고정해 공급망 위험을 줄이세요.

  • breaking패치 릴리스라도 공식 업그레이드 가이드를 건너뛰지 마세요

    릴리스 노트가 명시적으로 3.5.x 패치 버전에도 브레이킹 체인지가 있을 수 있다고 경고합니다. 특히 Kubernetes 컨트롤 플레인 백엔드로 etcd를 운영 중이라면 스테이징 환경에서 먼저 검증하세요. etcd 업그레이드 실패는 클러스터 전체 장애로 이어질 수 있습니다.

  • enhancement업그레이드 전 CHANGELOG-3.5.md 확인

    이번 릴리스 노트에는 구체적인 변경 내용이 없습니다. etcd GitHub 저장소의 CHANGELOG-3.5.md에서 v3.5.29 항목을 직접 확인하세요. 3.5 브랜치 패치 릴리스에는 버그 픽스나 CVE 패치가 포함되는 경우가 많은데, 버전 번호만 보고 넘어가기 쉽습니다.

주요 변경 (4)
  • 3.5 안정 브랜치의 패치 릴리스
  • 구체적인 변경 내용은 CHANGELOG-3.5.md에서 직접 확인 필요
  • 컨테이너 이미지: 기본 레지스트리 gcr.io/etcd-development/etcd, 보조 레지스트리 quay.io/coreos/etcd
  • 패치 버전에도 브레이킹 체인지가 포함될 수 있으므로 업그레이드 가이드 사전 검토 필수
원문