RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Helm해제 ×

Helm

Kubernetes Core2026년 6월 12일

Helm v3.21.1은 템플릿 작업 중 nil 포인터 패닉을 고치고 의존성을 업데이트합니다. 안정성 개선 패치입니다.

  • securityGo 보안 패치 GO-2026-5026 적용

    golang.org/x/net이 v0.55.0으로 올라가 GO-2026-5026을 고칩니다. 이는 공급망 의존성이며 Helm API에 직접 노출되지 않습니다. 보안 검사 도구가 net 취약점을 플래그하면 업그레이드하세요. Helm을 정상적으로 사용하는 경우라면 별도 조치는 필요하지 않습니다.

  • breakingClientOnly 템플릿 작업이 이제 정상 에러를 반환합니다

    클러스터 없이 helm template 명령을 실행하는 환경(ClientOnly 모드)에서 nil 포인터 패닉이 발생하던 문제가 고쳐졌습니다. 이제 올바른 템플릿 에러를 반환합니다. 패닉을 잡아서 처리하는 자동화가 있다면 에러 처리를 타입이 있는 템플릿 에러로 업데이트하고 템플릿 워크플로를 테스트하세요.

  • enhancement레지스트리 인증이 HTTP 폴백 시 유지됩니다

    oras-go v2.6.1 덕분에 레지스트리 작업이 HTTPS에서 plain HTTP로 폴백할 때 인증 정보를 유지합니다. HTTP 전용 엔드포인트를 가진 프라이빗 레지스트리를 사용한다면 안정성이 개선됩니다. 설정 변경은 필요 없으며 자동으로 적용됩니다.

주요 변경 (3)
  • ClientOnly 모드에서 helm template 실행 시 nil 포인터 패닉 수정
  • oras-go v2.6.1 업데이트로 plain-HTTP 폴백 시 레지스트리 인증 정보 유지
  • Go 1.26 및 golang.org/x/net v0.55.0으로 업그레이드하여 GO-2026-5026 대응
원문

Helm

Kubernetes Core2026년 5월 14일

Helm v3.21.0은 Kubernetes 클라이언트 라이브러리를 v1.36으로 올리고, OpenTelemetry CVE를 패치하며, OCI 인덱스 차트 풀 버그를 수정합니다. v3 EOL이 가까워지고 있습니다.

  • securityOpenTelemetry CVE 패치를 위해 즉시 업그레이드

    이번 릴리스에서 OpenTelemetry 패키지의 CVE를 직접 수정했습니다. CI/CD 파이프라인이나 자동화 툴링에서 Helm을 사용 중이라면 다음 패치 릴리스를 기다리지 말고 지금 바로 v3.21.0으로 올리세요.

  • breakingHelm v4 마이그레이션 계획을 지금 시작해야 합니다

    릴리스 노트에 Helm v3 EOL이 명시적으로 경고됩니다. v3.22.0이 Kubernetes v1.37을 타깃으로 하는 마지막 주요 피처 릴리스가 될 수 있습니다. 커스텀 플러그인이나 Helm CLI, Go SDK를 기반으로 한 자동화 코드가 있다면 지금부터 v4 변경 사항을 검토하세요.

  • enhancement멀티아키텍처 레지스트리 환경에서 OCI 인덱스 차트 풀 재검토

    OCI 이미지 인덱스 매니페스트에서 차트를 풀하는 버그가 수정됐습니다. 멀티아키텍처 환경에서 이 문제를 회피하기 위해 다이제스트 직접 참조나 특정 매니페스트 태그를 써왔다면, 해당 워크어라운드가 더 이상 필요하지 않을 수 있으니 검토해 보세요.

주요 변경 (5)
  • Kubernetes 클라이언트 라이브러리 v1.36으로 업그레이드
  • OpenTelemetry 패키지 CVE 보안 패치 적용
  • OCI 이미지 인덱스에서 차트 풀링 버그 수정
  • 차트 dot-name 경로 버그 수정
  • 차트 기본값이 빈 맵일 때 nil 값이 올바르게 유지되도록 수정
원문

Helm

Kubernetes Core2026년 4월 10일

차트 추출 시 발생하는 경로 순회 취약점을 수정한 보안 패치입니다. 외부 출처 차트를 사용하는 환경은 즉시 업그레이드하세요.

  • security차트 추출 경로 순회 취약점 — 즉시 업그레이드 필요

    Chart.yaml의 차트 이름에 '..' 같은 점-세그먼트를 사용하면 Helm이 의도된 추출 디렉토리 밖으로 파일을 쓸 수 있는 전형적인 경로 순회 공격입니다. 퍼블릭 저장소, 서드파티 레지스트리, 또는 완전히 신뢰할 수 없는 출처의 차트를 파이프라인에서 사용하고 있다면 즉시 v3.20.2로 업그레이드하세요. 내부에서만 작성한 차트를 에어갭 환경에서 운영하는 팀은 위험도가 낮지만, 다음 유지보수 윈도우에 업그레이드하는 것이 바람직합니다.

주요 변경 (3)
  • GHSA-hr2v-4r36-88hr 수정: Chart.yaml의 점-세그먼트(dot-segment) 이름을 이용해 차트 추출 경로를 의도치 않은 디렉토리로 우회할 수 있는 취약점 패치
  • 기능 변경 없음 — 순수 보안 수정 릴리스
  • 다음 패치 릴리스(4.1.5 / 3.20.3)는 2026년 4월 8일 예정
원문

Helm

Kubernetes Core2026년 4월 9일

Helm v4.1.4는 보안 전용 패치로, 차트 경로 탈출, 플러그인 서명 우회, 플러그인 버전 경로 탈출 등 세 가지 취약점을 수정했습니다.

  • security즉시 업그레이드 — 세 CVE 모두 외부 입력으로 악용 가능

    차트 추출 경로 우회와 플러그인 버전 경로 탈출은 파일시스템의 임의 위치에 파일을 쓸 수 있게 합니다. 서명 우회 취약점은 배포 채널을 제어할 수 있는 공격자가 서명되지 않은 플러그인을 설치하도록 허용합니다. 외부 또는 반신뢰 소스에서 차트나 플러그인을 가져오는 CI/CD 파이프라인이 있다면, 이번 패치 이전 버전에서는 노출 상태입니다. 유지보수 윈도우를 기다리지 말고 v4.1.4(또는 4월 8일 출시 예정인 v3.20.3)로 즉시 업그레이드하세요.

  • security업그레이드 전 설치된 플러그인 출처를 반드시 점검

    GHSA-q5jf-9vfq-h4h7 취약점으로 인해, 플러그인 검증이 활성화된 상태에서도 .prov 파일이 없으면 서명되지 않은 플러그인이 설치될 수 있었습니다. 업그레이드 전에 'helm plugin list'로 설치된 플러그인을 확인하고 출처를 수동 검증하세요. 업그레이드 후에는 공식 소스에서 플러그인을 재설치해 서명 검증이 올바르게 동작하는지 확인하는 게 좋습니다.

  • enhancementCI 파이프라인에서 Helm 버전을 v4.1.4로 명시적 고정

    'latest' 또는 마이너 버전 태그로 Helm을 참조하고 있다면 v4.1.4로 정확히 고정하세요. 이번 릴리스에서 Helm 팀이 CodeQL 액션을 커밋 SHA로 고정한 것처럼, 파이프라인의 모든 툴체인 의존성에 동일한 원칙을 적용하는 것이 좋습니다.

주요 변경 (4)
  • GHSA-hr2v-4r36-88hr: Chart.yaml의 dot-segment 이름을 악용해 지정된 디렉터리 외부로 파일 추출 경로를 우회 가능
  • GHSA-q5jf-9vfq-h4h7: .prov 파일 누락 시 플러그인 서명 검증이 통과되어 서명되지 않은 플러그인 설치 허용
  • GHSA-vmx8-mqv2-9gmg: 플러그인 메타데이터 version 필드의 경로 탈출로 Helm 플러그인 디렉터리 외부에 임의 파일 쓰기 가능
  • 기능 변경이나 동작 추가 없음 — 순수 보안 수정만 포함
원문