RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Flux

CI/CD & App Delivery어제2026년 7월 7일

Flux v2.9.1은 post-build 변수 치환이 Flux 자체 CRD 스키마를 손상시키던 버그를 고친 패치 릴리스입니다. 이와 함께 SOPS .ini 복호화 오류와 dry-run 시 strategic merge patch 오류도 수정했습니다. 새로운 breaking change나 CVE는 없습니다.

  • breaking변수 치환으로 인한 CRD 스키마 손상 수정

    post-build 변수 치환을 켠 Kustomization에서 매니페스트의 ${...} 값이 Flux CRD 스키마 필드와 우연히 일치하면, 이전 버전에서는 CRD 스키마가 손상될 수 있었습니다. v2.9.1은 Flux 자체 CRD에 kustomize.toolkit.fluxcd.io/substitute: disabled 어노테이션을 붙여 치환 대상에서 제외했습니다. post-build 치환을 사용 중이면 업그레이드하세요.

주요 변경 (4)
  • CRD 스키마 손상 수정: Flux 자체 CRD에 kustomize.toolkit.fluxcd.io/substitute: disabled 어노테이션을 붙여 post-build 치환이 스키마를 덮어쓰지 않도록 함
  • SOPS .ini 파일 복호화 오류 수정
  • dry-run 시 strategic merge patch 오류 수정
  • 새로운 破괴적 변경, deprecation, CVE는 없음
원문

Prometheus

Observability2026년 7월 1일

Prometheus v3.13.0은 LTS 릴리스로, HIGH 등급 자격 증명 전달 취약점(CVE-2025-4673·CVE-2023-45289)과 MEDIUM 등급 XSS(CVE-2026-44990) 수정이 핵심이며, 페이지네이션 토큰·경로 해석·PromQL 기간 함수명·라이선스 파일 배포 방식 등 네 가지 파괴적 변경과 다수의 신기능 및 성능 개선이 함께 포함됩니다.

  • securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단

    리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.

  • securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)

    UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.

  • breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경

    룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.

  • breaking--http.config.file 상대 경로 기준 디렉터리 변경

    --http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.

  • breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경

    experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.

  • breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동

    릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.

주요 변경 (8)
  • HIGH 보안: 교차 호스트 리다이렉트 시 자격 증명 전달 중단, CVE-2025-4673·CVE-2023-45289 대응 (prometheus/common v0.69.0)
  • MEDIUM 보안: sanitize-html 업데이트로 UI XSS 취약점 CVE-2026-44990 수정
  • 파괴적 변경: 룰 그룹 페이지네이션 토큰이 SHA-256으로 바뀌어 이전 토큰과 호환되지 않음
  • 파괴적 변경: --http.config.file 내 상대 경로 기준이 부모 디렉터리에서 설정 파일 디렉터리로 변경
  • 파괴적 변경: 기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경 (experimental-duration-expr 플래그 사용 시)
  • 파괴적 변경: npm_licenses.tar.bz2가 tarball/이미지에서 제거되고 바이너리 내 /assets/third-party-licenses.txt로 대체
  • 신기능: 메트릭 이름·레이블 이름·레이블 값에 대한 실험적 API 검색 엔드포인트, AWS RDS 필터링, Scaleway VPC/IPAM 전용 인스턴스 지원, 네이티브 히스토그램 smoothed/anchored rate, 쿼리별 samplesRead 통계, Azure Monitor Workspace 인증서 지원, ghcr.io 이미지 배포
  • 성능: 대소문자 무시 전위 매칭 최대 약 2배 빠른 속도, 청크 쓰기 샘플 오버헤드 약 12-15% 감소, V2 히스토그램 WAL 디코더 할당량 최대 50% 감소(created-timestamp 활성 시 메모리 최대 10% 절감); PromQL 패닉 및 TSDB 손상 다수 수정 포함
원문

Longhorn

Storage & Data2026년 7월 1일

Longhorn v1.11.3은 볼륨 동작, 백업, 인스턴스 관리 전반에 걸친 10여 건의 안정성 문제를 해결한 버그픽스 롤업입니다. CSI external provisioner가 v6.3.0으로 올라가, v1.10.x 또는 v1.11.0에서 업그레이드하려면 Kubernetes v1.34 이상이 선행되어야 합니다.

  • breakingv1.10.x 또는 v1.11.0에서 업그레이드 시 Kubernetes v1.34+ 필요

    CSI external provisioner가 v6.3.0으로 올라가면서 Kubernetes v1.34 이상이 필요합니다. Longhorn v1.10.x 또는 v1.11.0에서 업그레이드할 경우, Longhorn을 먼저 올리기 전에 클러스터의 Kubernetes 버전을 v1.34+로 맞춰야 합니다.

주요 변경 (7)
  • CSI external provisioner v6.3.0으로 상향: v1.10.x 또는 v1.11.0에서 업그레이드 전 Kubernetes v1.34+ 확인 필수
  • iscsid 재시작 후 V1 볼륨이 동작 불가 상태로 남는 문제(PVC 리사이즈 실패 포함) 수정
  • 레플리카 리빌드 중 longhorn-instance-manager에서 nil 포인터 역참조 패닉 수정
  • 반복 trim 작업 실패를 유발하던 데드락, 그리고 볼륨 확장이 멈추는 문제 각각 수정
  • 대상 노드가 ready 상태로 전환 중일 때 마이그레이션 엔진이 삭제되던 문제 수정
  • NetApp 어플라이언스에서 S3 백업 실패, System Backup RecurringJob이 최신 CR을 잘못 삭제하던 문제 수정
  • BackupController 백업 삭제 중 longhorn-manager 패닉, 서포트 번들·웹훅 폴링의 HTTP 응답 바디 누수, 스케일 환경에서 webhook TLS Secret 경합 수정
원문

wasmCloud

Orchestration & Management2026년 7월 1일

wasmCloud v2.5.0은 wasmtime 46 업그레이드와 wasip3 기본 활성화를 중심으로 한 기능 릴리스이며, keyvalue bucket WIT 인터페이스의 breaking 변경과 quinn-proto의 medium 심각도 보안 수정이 함께 포함되어 있습니다. 나머지는 새로운 비동기 keyvalue/blobstore 인터페이스, 오퍼레이터 하드닝, 런타임 및 도구 관련 각종 수정으로 구성됩니다.

  • securityquinn-proto 보안 수정 (RUSTSEC-2026-0185)

    소스에서 wasmCloud를 빌드하거나 의존성 스캔을 돌리는 경우 해당됩니다. 이번 릴리스에서 quinn-proto가 RUSTSEC-2026-0185(medium) 패치를 받았습니다. 애플리케이션 코드 수정 없이 업그레이드만 하면 됩니다.

  • breakingkeyvalue bucket이 공유 types 인터페이스로 이동

    wasmcloud:keyvalue 인터페이스를 사용하는 컴포넌트에 해당됩니다. bucket 타입이 인터페이스 내부 정의에서 빠져나와 공유 types 인터페이스로 옮겨졌습니다. 기존 wasmcloud:keyvalue WIT 기반으로 만든 컴포넌트와 프로바이더는 업그레이드 전에 바인딩을 갱신하고 코드를 다시 생성해야 합니다.

  • breakingwasmtime 46, wasip3 기본 활성화

    이 런타임에서 동작하는 모든 컴포넌트에 해당됩니다. wasmtime이 46으로 올라가고 wasip3 지원이 기본으로 켜집니다. 전체 배포 전에 기존 컴포넌트를 새 런타임에서 먼저 테스트하세요. 특히 wasip3 동작 변화에 민감한 컴포넌트는 주의가 필요합니다.

주요 변경 (7)
  • 런타임이 wasmtime 46으로 업그레이드되고 wasip3가 기본으로 켜졌으며, 동적 링커를 통한 wasip3 크로스 컴포넌트 스트리밍도 추가됨
  • breaking WIT 변경: wasmcloud:keyvalue bucket이 인터페이스별 인라인 정의 대신 공유 types 인터페이스로 이동함
  • quinn-proto의 RUSTSEC-2026-0185 보안 결함 수정 (medium 심각도)
  • 비동기 wasmcloud:keyvalue 및 wasmcloud:blobstore WIT 인터페이스 신규 추가, wasi:keyvalue·wasmcloud:postgres·wasmcloud:messaging/consumer는 (implements ..) 임포트로 멀티플렉싱 가능해짐
  • 엔드투엔드 오퍼레이터 구현이 추가되고 runtime-operator Helm 차트가 린트 및 하드닝되었으며, 오퍼레이터 캐싱이 server-side apply를 올바르게 사용하도록 수정됨
  • wash-runtime 엔진 설정이 WasmProposal을 통해 조합 가능해지고 CLI와 차트에 노출됨, wash-runtime의 P3 HTTP 응답 스트리밍과 타임아웃 시 gRPC 바디 정리도 함께 수정됨
  • 그 외 소소한 수정과 도구 개선: 패키지 수준 참조 WIT 검증, 버전 지정자 remove 처리, wash new의 Windows 경로 처리, wash wit add의 멀티라인 world 선언 지원, AbortOnDrop을 통한 임시 태스크 정리, CI 개선(CARGO_NET_RETRY, s390x 빌드, 네임스페이스 OCI 경로로 WIT 패키지 배포)
원문

Flux

CI/CD & App Delivery2026년 7월 1일

Flux v2.9.0은 대부분의 컨트롤러에 새 기능을 더한 기능 릴리스이며, 수명이 끝난 image.toolkit.fluxcd.io/v1beta2와 notification.toolkit.fluxcd.io/v1beta2 API가 CRD에서 제거된 것이 유일한 주요 변경 사항입니다.

  • breakingv1beta2 image·notification API 제거

    image.toolkit.fluxcd.io/v1beta2 또는 notification.toolkit.fluxcd.io/v1beta2를 아직 쓰는 클러스터에 적용됩니다. 두 API는 수명이 끝나 v2.9.0의 CRD에서 완전히 제거되었습니다. 업그레이드 전에 ImagePolicy, ImageRepository, ImageUpdateAutomation, Alert, Provider, Receiver 리소스를 최신 API 버전으로 옮겨야 하며, 그렇지 않으면 컨트롤러가 해당 리소스를 조정하지 못합니다.

주요 변경 (8)
  • 주요 변경: image.toolkit.fluxcd.io/v1beta2와 notification.toolkit.fluxcd.io/v1beta2가 수명 종료로 CRD에서 제거됨. 업그레이드 전 관련 리소스 마이그레이션 필요.
  • `flux plugin` 명령으로 새 Flux CLI 플러그인 시스템 도입, Mirror·Schema 플러그인 포함.
  • Kustomization에 필드 무시 규칙을 통한 Server-Side Apply 드리프트 제어 추가, Age 포스트 퀀텀 암호 기반 SOPS 복호화도 지원.
  • OpenBao/Vault용 Kustomization Workload Identity 인증, GitRepository용 AWS CodeCommit Workload Identity 인증 신설.
  • HelmRelease에 차트 훅을 포함한 포스트 렌더 전략 추가, `helm --set-literal`과 동일한 리터럴 모드 값 참조 지원.
  • GitRepository와 ImageUpdateAutomation에 SSH 키 기반 Git 커밋 서명·검증 추가, OCIRepository는 에어갭 환경 keyless 검증용 커스텀 Sigstore trusted root 지원.
  • 시크릿 없이 OIDC로 보호되는 웹훅 Receiver 추가, ArtifactGenerator에 모노레포용 경로 패턴 디렉터리 탐색 기능 추가.
  • source-controller v1.9.1, kustomize-controller v1.9.1, notification-controller v1.9.1, helm-controller v1.6.1, image-reflector/automation-controller v1.2.1 등 컴포넌트 업데이트, CLI는 Kubernetes 1.36과 Go 1.26 기반으로 빌드되며 여러 명령 추가와 소소한 버그 수정도 포함.
원문

Kubescape

Security2026년 6월 30일

Kubescape v4.0.10은 기능 추가와 보안 강화가 함께 담긴 릴리스로, 스캔 완료 웹훅의 SSRF 취약점을 막고 config.json 권한과 입력 검증을 강화했으며 죽은 CRD를 정리했습니다. 여기에 `operator remediate`, 암호화 리포트 복호화 같은 신규 기능과 다수의 버그 수정이 함께 포함되었고, 이번 릴리스에서 공개된 CVE 추적 취약점은 없습니다.

  • security스캔 완료 웹훅 SSRF 방어 강화

    스캔 완료 웹훅 콜백에 SSRF 방어 로직이 추가되었습니다. 이 콜백 기능을 사용 중이라면, 조작된 콜백 URL로 인한 아웃바운드 요청 악용을 막기 위해 업그레이드를 권장합니다.

  • breakingconfig.json 권한을 소유자 전용으로 제한

    config.json 파일 권한이 기존보다 넓은 접근 범위에서 소유자 전용으로 변경되었습니다. 다른 사용자 계정으로 이 파일에 접근하는 자동화나 툴이 있다면 접근 실패가 발생할 수 있으니 확인이 필요합니다.

  • breaking고립된 SecurityException CRD 제거

    설치조차 되지 않던 고립된 SecurityException CRD가 제거되었습니다. 매니페스트나 문서에서 이 CRD를 참조하던 경우에만 해당되며, 원래 동작하지 않았으므로 기능적 영향은 없습니다.

  • enhancement--format과 VAP 컨트롤 검증 강화

    --format 플래그는 스캔 시작 전에 잘못된 값을 걸러내고, VAP 구성 가능 컨트롤은 이제 params를 필수로 요구합니다. 검증 없이 --format을 스크립트에 넘기거나 params 없이 VAP 컨트롤을 실행하던 경우, 이제 조용히 넘어가지 않고 즉시 오류로 실패합니다.

주요 변경 (8)
  • 스캔 완료 웹훅 콜백에 SSRF 방어 로직을 추가해 아웃바운드 알림의 요청 위조 취약점을 막았습니다.
  • config.json 권한을 소유자 전용으로 좁혀, 기존 설치본의 기본 파일 접근 방식이 바뀝니다.
  • 설치조차 안 되던 고립 상태의 SecurityException CRD와 관련 테스트를 제거했습니다.
  • --format 플래그가 스캔 전에 잘못된 값을 거부하고, VAP 구성 가능 컨트롤은 params를 필수로 요구하도록 검증이 강화됐습니다.
  • `operator remediate` CLI 서브커맨드(annotate, dry-run 모드), VAP 엔진용 CEL 환경 빌더/평가기, DEK 래핑을 포함한 암호화 리포트 복호화 기능이 새로 추가됐습니다.
  • GVR 조회 실패를 감지해 감점하는 스캔 커버리지 점수 지표와, OPA 프로세서의 컨트롤별 평가 타임아웃(타임아웃 시 0점 처리, 부분 결과 폐기)이 추가됐습니다.
  • nil ScanData, 조직명 없는 이미지 이름 파싱, 스캔 실행 고루틴 등 여러 패닉을 수정했고 스캔 리스너 서버에 HTTP 타임아웃을 설정했습니다.
  • 리소스 중복 제거, 호스트 센서 infoMap 병합, SARIF 라인 번호 해석, 출력 덮어쓰기 방지, 고립된 RoleBinding 처리 등 10여 개의 소소한 수정과 Go 1.26 전환도 포함됩니다.
원문

OpenFGA

Security2026년 6월 30일

v1.18.1은 CIDR 매칭 동작과 직렬화 결정성을 고치고 실험적 플래그를 BatchCheck까지 확장한 routine 패치입니다. 브레이킹 체인지나 CVE는 없지만, in_cidr 수정으로 IPv4-mapped IPv6 주소의 매칭 동작이 바뀝니다.

  • breakingin_cidr이 IPv4-mapped IPv6 주소를 IPv4 CIDR과 매칭시킴

    무조건 적용됩니다: in_cidr 조건이 IPv4-mapped IPv6 주소(예: ::ffff:192.168.1.1)를 매칭 전에 IPv4 형태로 정규화하므로, 이제 192.168.1.0/24 같은 IPv4 CIDR과 매칭됩니다. 이런 주소가 IPv4 범위에서 제외되길 기대했다면 in_cidr을 사용하는 인가 모델을 점검하세요.

주요 변경 (4)
  • in_cidr 조건이 IPv4-mapped IPv6 주소(RFC 4291 §2.5.5.2)를 IPv4 형태로 정규화해서, ::ffff:192.168.1.1이 192.168.1.0/24와 매칭됨
  • weighted_graph_check, Expand, ListUsers에 진단 로깅 추가: 향후 v2 Check 판정이 v1과 달라질 수 있는 모델을 표시함, 지금 당장 조치는 필요 없음
  • 실험적 weighted_graph_check 플래그가 BatchCheck까지 확장됨: 각 배치 항목을 weighted graph 알고리즘으로 평가하고, 비종단 오류 시 항목별로 표준 알고리즘으로 폴백함
  • serialized_protobuf 컬럼에 대한 인가 모델 직렬화가 결정론적 proto marshaling을 사용하도록 변경되어, map 키 타입 정의를 가진 모델의 저장 바이트 불일치 문제를 고침
원문

NATS

Networking & Messaging2026년 6월 30일

NATS 서버 v2.14.3은 JetStream, MQTT, 클러스터링 버그 수정이 대부분을 차지하는 유지보수 릴리스입니다. MQTT 인증 전 메모리 고갈 및 패닉 문제 2건이 수정되었고, 모니터링 엔드포인트의 JSONP 지원이 제거되는 breaking change가 포함되어 있습니다.

  • securityMQTT 메모리 고갈 및 패닉 수정

    MQTT를 사용하는 서버에 해당합니다. v2.14.3에서 수정: 불완전한 CONNECT 패킷으로 인증 전 메모리를 고갈시킬 수 있던 문제와, PUBLISH remaining-length 언더플로로 서버가 패닉하던 문제입니다. 특히 신뢰할 수 없는 클라이언트에 MQTT를 노출한 경우 업그레이드를 권장합니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    모니터링 엔드포인트(/varz, /connz 등)에서 callback= 파라미터로 JSONP를 쓰던 환경에 해당합니다. v2.14.3에서 완전히 제거되었으므로, 업그레이드 전에 대시보드나 스크립트를 순수 JSON 폴링 방식으로 바꿔야 합니다.

  • breaking리프 trace destination 및 NoAuthUser 권한 검사 강화

    Nats-Trace-Dest를 쓰는 리프 노드 구성과 NoAuthUser를 쓰는 계정에 해당합니다. v2.14.3에서 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하던 문제와, NoAuthUser가 연결 제한을 검사하지 않던 문제가 수정되었습니다. 업그레이드 후 이전에는 허용되던 트래픽이 의도대로 차단될 수 있으니 권한 및 NoAuthUser 설정을 다시 확인하세요.

주요 변경 (7)
  • MQTT 부분 CONNECT 패킷으로 인한 인증 전 메모리 고갈, PUBLISH remaining-length 언더플로 패닉을 v2.14.3에서 수정
  • 권한 검사 강화: 리프 연결이 Nats-Trace-Dest 발행 권한 검사를 우회하지 못하게 되었고, NoAuthUser가 연결 제한을 검사하도록 변경
  • 모니터링 엔드포인트에서 JSONP 콜백 지원 제거 (아직 사용 중인 도구에는 breaking change)
  • JetStream 클러스터링/Raft 안정성 관련 대규모 수정: 종료 시 메타 노드 데이터 레이스, 제한 초과 시 스트림 캐치업 스킵 문제, 메타 복구 후 유령 스트림/컨슈머, 잘림/스냅샷 시 Raft 멤버십 되돌리기 등
  • MQTT 강화: 내부 $MQTT.deliver.pubrel 구독 차단, retained/QoS 재전송 경로에 subscribe deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • 파일스토어 및 메모리 스토어 수정: 압축 해제 시 압축/암호화 블록 손상 문제, DeliverLastPerSubject 컨슈머의 NumPending 과다 집계, 카운터 스트림 스테이징 총합 손상 문제 해결
  • 그 외 PROXY/TLS 스니핑, 게이트웨이 CONNECT 레이스, 클러스터 라우트 간 서비스 임포트 트레이싱, CONNZ/SUBSZ 오버플로 방지, JWT/계정 클레임 갱신 등 스무 건 가량의 소규모 수정과 Go 1.26.4로 업데이트
원문

NATS

Networking & Messaging2026년 6월 30일

v2.12.12는 nats-server의 버그 수정 및 안정화 릴리스로, JetStream/Raft 데이터 정합성과 패닉 관련 수정이 다수 포함되었고 모니터링 엔드포인트의 JSONP 지원이 제거되었습니다. 별도의 CVE는 공개되지 않았지만, 잘못된 MQTT 입력으로 유발되는 메모리 소모 및 패닉 경로를 막는 수정이 포함되어 운영자는 보안 관점에서 챙겨볼 필요가 있습니다.

  • securityMQTT 부분 CONNECT / PUBLISH 언더플로 크래시 수정

    MQTT를 사용 중이라면 업그레이드를 권장합니다. 부분 CONNECT 패킷으로 인증 전 메모리를 소모시킬 수 있는 문제와 PUBLISH remaining-length 언더플로로 서버가 패닉하는 문제가 수정되었습니다. 둘 다 인증되지 않은 클라이언트가 잘못된 입력만으로 유발할 수 있습니다.

  • security모니터링/JetStream 사용량 추적의 정수 오버플로 패닉 수정

    CONNZ/SUBSZ 페이지네이션에서 정수 오버플로로 패닉이 발생하던 문제와 JetStream 원격 사용량 갱신 중 길이 정수 오버플로 패닉이 수정되었습니다. 대규모 클러스터나 모니터링 폴링이 빈번한 환경은 업그레이드로 이 패닉 경로를 제거할 수 있습니다.

  • breaking모니터링 엔드포인트 JSONP 지원 제거

    v2.12.12에서 모니터링 엔드포인트의 JSONP 콜백 지원이 무조건 제거되었습니다. /varz, /connz 등에 JSONP 콜백으로 접근하던 도구나 대시보드는 동작하지 않으며, 일반 JSON 요청으로 전환해야 합니다.

주요 변경 (8)
  • 모니터링 엔드포인트의 JSONP 콜백 지원 제거 (아직 JSONP를 쓰는 도구에는 breaking change)
  • MQTT 강화: 부분 CONNECT의 인증 전 메모리 소모 차단, PUBLISH remaining-length 언더플로 패닉 수정, $MQTT.deliver.pubrel 구독 남용 차단, 보존/QoS 리플레이 경로에서 deny 규칙 적용, MQTT 비활성 시 WebSocket /mqtt 업그레이드 패닉 수정
  • JetStream/Raft 데이터 정합성 관련 대규모 수정: filestore 압축 손상, 카운터 스트림 스테이징 손상, 메타 복구 시 유령 스트림/컨슈머, raft 체크포인트/ApplyCommit 정확성, 스트림 캐치업 디싱크, truncate/snapshot 시 멤버십 롤백
  • CONNZ/SUBSZ 페이지네이션과 JetStream 원격 사용량 갱신의 정수 오버플로 패닉 수정, resolver 상위 디렉터리가 없을 때 시작 시 발생하던 nil 포인터 패닉 수정
  • 인증, 라우팅, 모니터링, 클러스터 요청 처리 전반의 패닉/치명적 오류/데이터 레이스 다수 수정
  • 게이트웨이/프록시 관련 수정: 게이트웨이 CONNECT 처리 중 레이스, 신뢰 프록시 추적 중 누수, PROXY 프로토콜 감지, allow_non_tls TLS 스니핑, PROXY v1 주소 체계 파싱
  • 서비스 임포트 응답이 클러스터 라우트 간에도 전달되도록 수정, 임포트/익스포트에서 메시지 트레이싱 정상화, 계정 클레임 갱신 시 JWT 상속 기본 권한과 외부 인증 설정도 올바르게 갱신되도록 수정
  • 그 외 일상적 수정: 연결별 로그를 디버그 레벨로 조정, s2_fast 압축 모드에서 writer 옵션 일관성 확보, 마이그레이션을 위한 스트림/컨슈머 할당 처리 리팩터링
원문

Strimzi

Networking & Messaging2026년 6월 27일

Strimzi 1.1.0은 Kafka 4.3.0·4.2.1 지원을 추가하고 Kafka 4.1.x를 제거한 기능 릴리스입니다. 엔티티 오퍼레이터 헬스체크 포트 이름 변경과 KafkaBridge·KafkaMirrorMaker2의 TLS 형식 전환, 두 가지 브레이킹 체인지를 업그레이드 전에 반드시 확인해야 합니다.

  • breaking엔티티 오퍼레이터 헬스체크 포트 이름 변경

    엔티티 오퍼레이터의 헬스체크 포트 이름이 `healthcheck`에서 topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었습니다. 이 포트 이름을 참조하는 PodMonitor, ServiceMonitor, NetworkPolicy 등 커스텀 리소스가 있다면 업그레이드 전에 수정해야 합니다.

  • breakingKafka 4.1.x 지원 제거

    1.1.0부터 Kafka 4.1.x는 지원이 끊겼습니다. Kafka 4.1.x를 실행 중인 클러스터는 이 Strimzi 버전으로 올리기 전에 먼저 4.2.1 또는 4.3.0으로 업그레이드해야 합니다.

  • breakingKafkaBridge·KafkaMirrorMaker2의 TLS 트러스트스토어 형식이 PEM으로 변경

    KafkaBridge와 KafkaMirrorMaker2가 TLS 인증 및 트러스트스토어에 P12/JKS 대신 PEM 파일을 사용하도록 바뀌었습니다. 이 컴포넌트에서 P12/JKS 형식을 기대하는 외부 시스템이나 도구가 있다면 점검이 필요합니다.

  • breakingCRD v1만 지원 — 구 API 버전 사용 불가

    CRD API 버전 v1beta2, v1beta1, v1alpha1은 1.0.0부터 이미 지원이 종료되었습니다. 아직 리소스를 v1로 전환하지 않았다면 1.1.0 업그레이드 전에 변환을 완료해야 합니다.

주요 변경 (8)
  • Apache Kafka 4.3.0·4.2.1 지원 추가, Kafka 4.1.x 지원 제거.
  • 엔티티 오퍼레이터 헬스체크 포트 이름 변경: topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었으므로 참조 리소스를 수정해야 합니다.
  • KafkaBridge·KafkaMirrorMaker2의 TLS 인증 및 트러스트스토어가 P12/JKS에서 PEM으로 전환되었으며, PEM 파일은 KubernetesSecretConfigProvider를 통해 시크릿에서 직접 읽습니다.
  • 실패한 KafkaConnector를 이제 중지할 수 있습니다. 실패 상태의 커넥터를 일시 중지하려 하면 Kafka Connect가 지원하지 않는 작업이라 거부됩니다.
  • 클러스터 오퍼레이터에 `STRIMZI_PKCS12_KEYSTORE_GENERATION` 옵션이 추가되어 CA·KafkaUser 시크릿에서 PKCS12 스토어 생성을 비활성화할 수 있습니다. KafkaUser별로 mTLS `validityDays`·`renewalDays`도 설정 가능해졌습니다.
  • Gateway API `tlsroute` 리스너 타입, 브로커별 리스너 어노테이션·레이블 템플릿, Kafka Connect Build에서 Maven 아티팩트 의존성 스코프 설정이 새로 지원됩니다.
  • `UseBackgroundPodDeletion` 피처 게이트(알파, 기본 비활성)가 추가되어 롤링 업데이트 중 파드 삭제 시 백그라운드 삭제 전파 방식을 선택할 수 있습니다.
  • Strimzi Drain Cleaner가 1.6.0으로, Strimzi Access Operator가 0.3.0으로 업데이트되어 설치 파일에 포함되었습니다.
원문

Open Policy Agent (OPA)

Security2026년 6월 26일

v1.18.0은 버그픽스 중심 릴리스로, 운영자가 반드시 확인해야 할 변경 사항은 RFC 9110 준수를 위한 User-Agent 헤더 하이픈 추가 하나입니다. 나머지는 런타임 개선, 포매터 및 커버리지 도구 수정, Go 툴체인 버전 갱신입니다.

  • breakingUser-Agent 헤더 형식 변경 (RFC 9110 준수)

    OPA가 HTTP 요청 시 전송하는 User-Agent 헤더가 'Open Policy Agent/<version> (<os>, <arch>)'에서 'Open-Policy-Agent/<version> (<os>, <arch>)'로 바뀌었습니다('Open'과 'Policy' 사이에 하이픈 추가). 이전 문자열을 정확히 일치시키는 서버 측 로그 필터, WAF 규칙, 접근 정책이 있다면 v1.18.0 업그레이드 후 반드시 수정해야 합니다.

주요 변경 (7)
  • User-Agent 헤더가 'Open Policy Agent'에서 'Open-Policy-Agent'(하이픈 추가)로 변경됨 — 이전 문자열 정확 일치 필터나 WAF 규칙은 업그레이드 전 점검 필요
  • 컨테이너 환경 리소스 제한 복원 및 확장: GOMAXPROCS 자동 설정 복구, GOMEMLIMIT 자동 설정 신규 지원
  • opa fmt 교정 버그 다수 수정: 단일 항목 이터러블의 멀티라인 형식 유지, 주석 뒤 with 절 유실 문제 해결
  • opa test --coverage 개선: 리포트에 범위 정보 추가, 인라인 규칙 헤드 추적, 논리곱(conjunction) 표현식 커버리지 지원
  • future.keywords.not을 every 블록 내부에서 사용할 때 발생하던 부분 평가 회귀 버그 수정, every 내부 컴프리헨션의 변수 네임스페이싱 문제도 함께 수정
  • 성능 개선: object.get 메모리 할당 감소, topdown dst.Compare(src) 숏컷 제거, format_int 10진수 경로에서 strconv.ParseInt 호출 생략
  • Go 1.26.3 → 1.26.4 업데이트, 웹사이트 및 노드 의존성 일괄 갱신
원문

cert-manager

Security2026년 6월 26일

v1.19.6은 cert-manager-edit ClusterRole에서 발견된 HIGH 등급 RBAC 권한 상승 취약점(사용자가 ACME Challenge/Order를 직접 생성해 Issuer solver 셀렉터를 우회할 수 있던 문제)을 수정하는 보안 패치이며, CVE 3건을 해결하는 Go 툴체인 업데이트도 포함합니다. 이번 RBAC 수정에는 문서화된 주요 권한 변경이 포함되어 있습니다.

  • securityACME Challenge/Order 직접 생성을 통한 RBAC 권한 상승

    v1.19.6에 적용됩니다. 기본 cert-manager-edit 애그리게이트 ClusterRole은 네임스페이스 사용자가 ACME Challenge와 Order 리소스를 직접 생성할 수 있게 해, Issuer solver 셀렉터를 우회할 수 있었습니다. 이번 패치로 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create/patch/update 권한이 해당 역할에서 제거되었습니다. HIGH 등급 취약점(GHSA-8rvj-mm4h-c258)이므로 v1.19.6으로 업그레이드하세요.

  • securityGo 툴체인 1.25.11로 업데이트, CVE 3건 해결

    v1.19.6에서 무조건 적용됩니다. Go가 1.25.11로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 해결합니다. 업그레이드 외에 별도 조치는 필요 없습니다.

  • breakingcert-manager-edit ClusterRole의 Challenge/Order 생성 권한 제거

    Certificate → CertificateRequest → Order → Challenge 흐름을 벗어나 Challenge나 Order 리소스를 직접 생성하는 도구나 워크플로우가 있다면, 업그레이드 후 해당 권한을 잃게 되므로 별도로 권한을 부여해야 합니다.

주요 변경 (4)
  • HIGH 등급 RBAC 취약점 수정(GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole이 ACME Challenge/Order 직접 생성을 허용해 Issuer solver 셀렉터를 우회할 수 있었음
  • 주요 변경(breaking): cert-manager-edit이 더 이상 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create/patch/update 권한을 부여하지 않음. Challenge/Order를 직접 생성하는 도구는 권한을 별도로 부여해야 함
  • Go를 1.25.11로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 해결
  • 앞서 Go 1.25.10 업데이트와 기타 의존성 업데이트 다수 포함
원문

cert-manager

Security2026년 6월 26일

v1.20.3은 cert-manager-edit ClusterRole의 HIGH 심각도 RBAC 과잉 권한(GHSA-8rvj-mm4h-c258)을 수정하고 Go를 v1.26.4로 올려 CVE 3건을 해결한 보안 릴리스입니다. 업그레이드 전에 Challenge·Order 리소스를 직접 생성하는 워크플로가 있는지 반드시 확인하세요.

  • securitycert-manager-edit ClusterRole RBAC 과잉 권한 (GHSA-8rvj-mm4h-c258)

    GHSA-8rvj-mm4h-c258(HIGH): cert-manager-edit 집계 ClusterRole이 네임스페이스 사용자에게 Challenge·Order 리소스 직접 생성 권한을 부여해, Issuer 솔버 셀렉터를 우회할 수 있었습니다. v1.20.3에서 수정되었으므로, 클러스터에 신뢰하지 않는 네임스페이스 사용자가 있다면 즉시 업그레이드하세요.

  • securityGo v1.26.4 업데이트 (CVE 3건)

    Go가 v1.26.4로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 세 건의 CVE가 수정됩니다. 별도 설정 변경 없이 cert-manager를 업그레이드하면 적용됩니다.

  • breakingBreaking: cert-manager-edit에서 Challenge·Order 직접 생성 권한 제거

    cert-manager-edit ClusterRole에서 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create·patch·update 권한이 제거되었습니다. 정상 흐름(Certificate → CertificateRequest → Order → Challenge)을 거치지 않고 Challenge나 Order를 직접 생성하는 자동화 도구·CI 워크플로가 있다면, 업그레이드 전에 반드시 수정하세요.

주요 변경 (4)
  • HIGH 심각도 RBAC 취약점 수정 (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole에서 Challenge·Order 직접 생성을 허용하는 권한을 제거해 Issuer 솔버 셀렉터 우회 경로를 차단했습니다.
  • Breaking 변경: cert-manager-edit 집계 ClusterRole에서 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create·patch·update 권한이 삭제되었습니다.
  • Go를 v1.26.4로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 수정했습니다.
  • 버그 수정: Challenge 리소스에 포함되어 있던 issuer owner reference가 제거되어 Challenge 가비지 컬렉션이 정상 작동합니다.
원문

Fluentd

Observability2026년 6월 25일

Fluentd v1.19.3은 out_http, buffer/in_http, output 태그 처리의 입력 검증을 강화하고 in_monitor_agent와 in_debug_agent의 기본 접근 범위를 좁힌 보안 강화 패치입니다. 나머지는 일반적인 버그 수정과 소소한 의존성/CI 정리입니다.

  • securityout_http, buffer/in_http, output 태그 경로 검증 강화

    v1.19.3에 무조건 적용됩니다. out_http는 동적 엔드포인트의 호스트명을 엄격히 검증하고, buffer와 in_http는 압축 해제된 페이로드 크기에 제한을 두며, output은 태그 값의 경로 경계를 엄격히 검사합니다. 신뢰할 수 없는 입력으로 호스트나 태그, 페이로드 크기를 구성하는 설정이 있다면 점검이 필요합니다.

  • breakingin_monitor_agent와 in_debug_agent 기본 노출 범위 축소

    v1.19.3에 무조건 적용됩니다. in_monitor_agent는 config, retry, debug 정보의 기본 노출 범위를 변경했고, in_debug_agent는 기본적으로 로컬 머신에서만 접속을 허용합니다. 두 에이전트를 외부에서 접근하거나 전체 출력을 외부에 노출해 쓰고 있었다면, 방화벽 규칙이나 명시적 설정으로 필요한 접근 권한을 다시 열어줘야 합니다.

주요 변경 (7)
  • 보안 강화(중간 등급): out_http가 동적 엔드포인트 호스트명을 엄격히 검증합니다.
  • 보안 강화(중간 등급): buffer와 in_http가 압축 해제된 페이로드 크기를 제한해 압축 폭탄류 위험을 막습니다.
  • 보안 강화(중간 등급): output이 태그 값의 경로 경계를 엄격히 검사합니다.
  • 기본 설정 변경: in_monitor_agent가 config, retry, debug 정보의 기본 노출 범위를 줄였습니다.
  • 기본 설정 변경: in_debug_agent가 기본적으로 로컬 머신에서만 접속을 허용합니다.
  • 버그 수정: storage_local의 비ASCII 문자 읽기 인코딩 오류, parser_csv의 빈 줄/파싱 불가 줄 스킵 처리, out_forward가 원격 연결 끊김 후 닫힌 keepalive 소켓을 재사용하지 않도록 수정, buffer 경로에 대괄호가 있어도 정상 재개.
  • 그 외 소소한 변경: Ruby 4.1용 런타임 의존성으로 win32-registry 추가, 에러 메시지 중복 단어 제거, Windows 종료 시 타임아웃 체크 단축, 기본 timekey(1d) 사용 시 경고 추가, 백신 제외 경로 권장 문서화, 각종 CI 수정.
원문

Dragonfly

Storage & Data2026년 6월 25일

Dragonfly v2.5.0은 Hugging Face/ModelScope 모델 다운로드, P2P 인젝터 웹훅, 다운로드 블록리스트, 전면적인 속도 제한을 추가하는 기능 릴리스이며, 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트 제거와 헬스체크의 /healthy 통합이라는 주요 변경도 포함합니다. 다수의 버그 수정과 Nydus 서브프로젝트 개선도 함께 담겼습니다.

  • breakingV1 프리히트 API 엔드포인트 제거

    v2.5.0부터 조건 없이 적용됩니다: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되었습니다. 이 경로를 호출하던 자동화나 연동은 업그레이드 전에 현재 프리히트 API로 옮겨야 합니다.

  • breaking헬스체크 /healthy로 통합

    v2.5.0부터 조건 없이 적용됩니다: 헬스체크가 /healthy 엔드포인트 하나로 통합되었습니다. 기존 헬스체크 경로를 참조하던 로드밸런서, 쿠버네티스 프로브, 모니터링 설정을 수정해야 합니다.

  • enhancement긴급 다운로드 블록리스트

    현재 Manager 콘솔에서 사용 가능합니다: 특정 다운로드를 긴급 차단할 수 있는 블록리스트를 설정할 수 있습니다. 차단된 gRPC 요청은 PermissionDenied, HTTP 프록시 요청은 FORBIDDEN을 반환하며 장애 대응에 활용할 수 있습니다.

  • enhancementgRPC 및 클라이언트 전반 속도 제한

    현재 Manager/Scheduler gRPC 서버와 클라이언트 전반에 적용됩니다: 대역폭, 업/다운로드 요청, 적응형 제한을 포함한 속도 제한이 추가되었습니다. 배포 전에 제한값을 검토해 정상 트래픽이 의도치 않게 제한되지 않도록 확인하세요.

주요 변경 (8)
  • 주요 변경: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되고 헬스체크가 /healthy 하나로 통합되었습니다.
  • 신규: Dragonfly 클라이언트가 Hugging Face와 ModelScope에서 모델 저장소를 직접 내려받을 수 있게 되었습니다. Git LFS 데이터는 P2P로 가속하고 메타데이터는 Git 프로토콜로 가져옵니다.
  • 신규: dragonfly-injector Mutating Admission Webhook이 어노테이션 기반 정책으로 Pod에 P2P 기능을 자동 주입하며, Helm 차트도 이를 지원합니다.
  • 신규: Manager 콘솔에서 블록리스트를 설정해 특정 다운로드를 긴급 차단할 수 있습니다(gRPC는 PermissionDenied, HTTP 프록시는 FORBIDDEN 반환).
  • 신규: Manager/Scheduler gRPC 서버와 클라이언트 측 대역폭·요청 처리 전반에 속도 제한이 추가되어 소스 서비스를 보호합니다.
  • 신규: 로컬 스토리지 작업(목록 조회, 삭제, 프리히트)을 Scheduler와 함께 관리하는 dfctl CLI가 추가되었고, dfdaemon은 containerd의 ns 쿼리 파라미터로 업스트림 레지스트리를 추론할 수 있습니다.
  • 성능 및 안정성 개선: 스케줄링 전 부모 피어 선택 로직 개선, 파일 내보내기/다운로드의 버퍼링 처리, 대용량 전송을 위한 gRPC 스트림 버퍼 튜닝, HTTP 백엔드 개선(HTTP/1.1 적용, HEAD 재시도 로직, 크로스오리진 리다이렉트 시 인증 헤더 제거, 상대경로 307 리다이렉트 캐싱 오류 수정).
  • 그 외 다수의 소소한 수정: 피어 TTL과 concurrent_piece_count 관련 Redis Lua 스크립트 인자 순서 수정, 기본 클러스터 시딩 후 PostgreSQL SERIAL 시퀀스 처리 개선, ExternalRedis TLS 지원 추가, Nydus 서브프로젝트 업데이트(프리페치 최적화 블롭, DAX 백엔드 지원, 빌더/이미지 감지 관련 버그 수정 다수).
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.29.5는 ISTIO-SECURITY-2026-005에 해당하는 Envoy CVE 14건을 수정한 보안 릴리스로, HIGH 심각도 DoS·크래시·use-after-free 취약점 다수가 포함됩니다. 게이트웨이 리비전 레이블 변경 시 트래픽 중단, ambient ipset 헬스 프로브 누락, krt 메모리 누수, 멀티클러스터 컨트롤러 패닉도 함께 수정되었습니다.

  • securityEnvoy CVE 14건 수정(최대 심각도 HIGH) — ISTIO-SECURITY-2026-005

    ISTIO-SECURITY-2026-005에 묶인 Envoy CVE 14건이 1.29.5에서 모두 수정되었습니다. 심각도 HIGH 항목으로는 HTTP/3 QPACK 디코딩 DoS(GHSA-p7c7-7c47-pwch), MaxInflateRatio를 우회하는 압축 페이로드 과팽창(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), QUIC content-length 유효성 검사 문제(CVE-2026-48743), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692)가 있습니다. 1.29.x 운영 환경 전체를 1.29.5로 즉시 업그레이드하세요.

  • securityOAuth2 필터 AES-256-CBC 패딩 오라클(CVE-2026-47775)

    OAuth2 필터에서 AES-256-CBC 쿠키 암호화를 사용 중이라면 즉시 업그레이드해야 합니다. 이번 패치에서 padding oracle이 수정되었고, AES-256-GCM이 gcm. 알고리즘 마커와 함께 새로 지원됩니다. 업그레이드 후 AES-256-CBC에서 AES-256-GCM으로의 전환을 계획하세요.

  • securityext_authz 라우트별 오버라이드에서 use-after-free(CVE-2026-47205)

    ext_authz에서 라우트별 서비스 오버라이드를 사용하는 경우, 인가 요청이 진행 중일 때 다운스트림 연결이 리셋되면 use-after-free 크래시가 발생할 수 있었습니다(CVE-2026-47205). 1.29.5로 업그레이드하면 해당 크래시 경로가 제거됩니다.

  • breakingJSON 중첩 깊이 상한 1000으로 축소(CVE-2026-48042)

    JSON 파서 중첩 깊이 기본값이 10000에서 1000으로 낮아졌습니다. 더 깊은 중첩이 필요하다면 런타임 플래그 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 임시 복원할 수 있으나, 깊은 중첩 의존성을 제거하는 방향으로 전환을 준비하세요.

주요 변경 (7)
  • ISTIO-SECURITY-2026-005로 묶인 Envoy CVE 14건 수정(최대 HIGH): HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), 압축 페이로드 과팽창(CVE-2026-48044), REQUESTED_SERVER_NAME 포매터 크래시(CVE-2026-47220), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692), QUIC 헤더 유효성 검사(CVE-2026-48743) 등
  • OAuth2 필터 padding oracle 수정(CVE-2026-47775), AES-256-GCM 신규 지원 — AES-256-CBC 사용 환경은 전환 필요
  • JSON 파서 중첩 깊이 기본값 1000으로 변경(기존 10000); envoy.reloadable_features.limit_json_parser_nesting_depth=false로 임시 복원 가능(CVE-2026-48042)
  • ext_authz 라우트별 서비스 오버라이드 use-after-free 수정(CVE-2026-47205), ext_proc 예기치 않은 응답 처리 및 gRPC 통계 필터 UAF/크래시도 함께 수정
  • Kubernetes Gateway 또는 ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단 수정 — 이전 컨트롤 플레인이 게이트웨이 파드에 빈 xDS 설정을 푸시하던 문제 해결
  • 노드 또는 kubelet 재시작 후 ambient 등록 파드가 호스트 헬스 프로브 ipset에서 누락되어 kubelet 프로브가 ztunnel로 전달되고 거부되던 문제 수정
  • krt 컨트롤러의 역방향 인덱스 잔류로 인한 메모리 누수 수정, 멀티클러스터 시크릿 컨트롤러의 채널 중복 close 패닉 수정, 1.29.2 이전 사이드카 설정 생성 버그 수정
원문

Istio

Networking & Messaging2026년 6월 25일

Istio 1.30.2는 보안과 버그 수정을 함께 담은 패치 릴리스로, ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건(QPACK 기반 HTTP/3 DoS가 high 등급, 나머지는 medium~high)을 수정했고 pilot-agent 메트릭 병합 방식 변경과 AuthorizationPolicy 트러스트 도메인 필드 추가 등 운영자가 챙겨야 할 변경도 포함합니다.

  • securityISTIO-SECURITY-2026-005, Envoy CVE 14건 수정 (일부 high 등급)

    모든 1.30.x 배포에 적용됩니다. QPACK 블록 디코딩을 이용한 HTTP/3 스택 DoS를 수정했고, JSON 파서의 중첩 깊이를 1000으로 제한했습니다(envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정한 경우에만 기존 10K 한도로 완화 가능). 헤더만 있는 요청/응답의 content-length 검증도 envoy.reloadable_features.quic_validate_headers_only_content_length 플래그로 강화되었습니다. 1.30.2로 업그레이드하세요.

  • securityext_authz, ext_proc, gRPC stats, OAuth2 필터의 use-after-free/크래시 수정 다수

    ext_authz에서 per-route 서비스 오버라이드가 활성화된 상태로 인증 확인 중 다운스트림 연결이 끊기는 경우(CVE-2026-47205), 또는 ext_proc, gRPC stats, OAuth2 필터를 사용하는 경우에 해당됩니다. use-after-free와 패딩 오라클 문제가 수정되었고, OAuth2 필터는 gcm. 마커를 통한 AES-256-GCM 쿠키 암호화도 지원합니다.

  • breakingpilot-agent 메트릭 병합이 protobuf content type을 거부함

    pilot-agent 메트릭 병합(PILOT_AGENT_MERGE_ENVOY_STATS)을 사용하는 배포에 적용됩니다. 허용되는 content type이 text/plain과 application/openmetrics-text로 제한되어, protobuf 기반으로 병합된 메트릭을 수집하던 구성은 깨질 수 있습니다. 업그레이드 전 스크래핑 설정을 확인하세요.

  • enhancementAuthorizationPolicy에 트러스트 도메인 매칭 기능 추가

    mTLS 트러스트 도메인 기반 접근 제어가 필요한 AuthorizationPolicy 작성자에게 적용됩니다. Source에 추가된 trustDomains, notTrustDomains 필드로 피어 인증서의 트러스트 도메인을 기준으로 요청을 매칭하거나 제외할 수 있습니다.

주요 변경 (8)
  • ISTIO-SECURITY-2026-005에서 Envoy CVE 14건을 수정했으며 최고 등급은 high입니다. 가장 눈에 띄는 것은 HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제기의 메모리 소진(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), JSON 중첩 깊이를 1000으로 제한한 항목(CVE-2026-48042)입니다
  • ext_authz(연결 리셋 중 per-route 오버라이드), ext_proc, gRPC stats 필터, 비동기 토큰 콜백 경로에서 use-after-free/크래시가 수정되었습니다
  • OAuth2 필터는 AES-256-CBC 쿠키 복호화의 패딩 오라클 문제를 해결했고 AES-256-GCM 지원을 추가했습니다
  • pilot-agent 메트릭 병합이 허용 content type을 text/plain과 application/openmetrics-text로 제한하면서 protobuf 지원이 빠졌고, 병합 동작을 제어하는 PILOT_AGENT_MERGE_ENVOY_STATS 환경 변수가 새로 추가되었습니다
  • AuthorizationPolicy의 Source에 trustDomains, notTrustDomains 필드가 추가되어 트러스트 도메인 기반 요청 매칭이 가능해졌습니다
  • Kubernetes Gateway/ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단과, WasmPlugin의 TrafficExtension 변환으로 인한 중복·과다 xDS 푸시 문제를 수정했습니다
  • 앰비언트 모드에서는 노드/kubelet 재시작 후 파드가 호스트 헬스 프로브 ipset에서 빠져 kubelet 프로브가 ztunnel로 리다이렉트되어 거부되던 문제를 수정했습니다
  • 그 외 소소한 수정 여러 건: Gateway API CRD가 최소 버전보다 낮을 때의 로그를 warn 레벨로 변경, 1.29.2 이전 사이드카 설정 생성 수정, krt 컨트롤러의 오래된 역인덱스 항목으로 인한 메모리 누수 수정
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.38.3은 보안 전용 릴리스로, 15개 CVE와 상위 의존성 wasmtime의 CVE 1건을 수정합니다. 그 중 TLS SAN NUL 바이트 인증 우회(CVE-2026-47778)와 HTTP/3→HTTP/1 요청 스머글링(CVE-2026-48743) 두 건이 Critical로, 나머지 13건은 크래시·DoS·힙 오버플로·데이터 유출 등을 포함하는 High 등급입니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 포함되면 비교 시 문자열이 잘려 인증서 기반 인증을 우회할 수 있습니다. 조건 없이 v1.38.3으로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3 → HTTP/1 요청 스머글링 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청이 HTTP/1 백엔드로 스머글링될 수 있습니다. HTTP/3을 HTTP/1로 프록시하는 배포 환경은 모두 영향을 받으며, v1.38.3으로 업그레이드해야 합니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 "skipped" TLV를 그대로 내보내 공격자가 제어하는 데이터 최대 65 KB가 업스트림 애플리케이션 스트림으로 유입됩니다. v1.38.3으로 업그레이드해야 합니다.

  • breakingIntel DLB 연결 밸런서 확장 제거됨

    컨트리뷰션 확장 envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서)가 소스 아카이브 손상으로 v1.38.3에서 Bazel 빌드 레이어 전체에서 비활성화됐습니다. 이 확장에 의존하던 배포 환경은 다른 연결 밸런서로 전환해야 합니다.

  • breakingTLS 인증서 Brotli 압축 기본값 비활성화로 변경

    런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli가 기본값 비활성화로 변경됐습니다. 비활성화 상태에서는 QUIC이 zlib 전용 인증서 압축을 사용하고, TCP TLS는 인증서 압축을 수행하지 않습니다. Brotli 압축에 의존하던 경우 업그레이드 후 해당 플래그를 명시적으로 다시 활성화해야 합니다.

주요 변경 (8)
  • CRITICAL: TLS SAN NUL 바이트 잘림으로 인증서 인증 우회 가능 (CVE-2026-47778, 전체 15개 CVE 중 최고 심각도)
  • CRITICAL: Content-Length가 있는 헤더 전용 HTTP/3 요청을 통한 HTTP/1 요청 스머글링 (CVE-2026-48743)
  • HIGH: PROXY Protocol v2가 업스트림 스트림으로 최대 65 KB 유출 (CVE-2026-47692); OAuth2 PKCE 패딩 오라클 (CVE-2026-47775) 및 스트림 종료 후 비동기 토큰 완료 시 UAF/크래시 (CVE-2026-48090)
  • HIGH: authz 퍼-라우트 (CVE-2026-47205), 라우터 내부 리다이렉트 (CVE-2026-47221), REQUESTED_SERVER_NAME (CVE-2026-47220), Connect→direct_response의 grpc_stats 필터 (CVE-2026-47204), ext_proc 단일 gRPC 메시지 응답 (CVE-2026-47207)에서 크래시 수정
  • HIGH: zstd RLE 집 밤 DoS (CVE-2026-48044), JSON 깊은 중첩 소멸자 스택 오버플로 (CVE-2026-48042), DNS UDP 필터 비정상 종료 (CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로 (CVE-2026-48706), HTTP/3 QPACK 블록 디코딩 DoS (GHSA-p7c7-7c47-pwch)
  • CVE-2026-47261 해결을 위해 wasmtime 의존성 업그레이드 (중간 심각도)
  • 소스 아카이브 손상으로 Intel DLB 컨트리뷰션 확장(envoy.network.connection_balance.dlb) 전체 빌드에서 비활성화
  • 런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli 기본값이 비활성화로 변경됨 — TCP TLS 인증서 압축이 중단되고 QUIC은 zlib 전용으로 복귀
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.37.5는 보안 전용 릴리스로, Envoy 자체 CVE/GHSA 15건과 upstream 의존성 CVE 1건을 수정합니다. 심각도는 Critical까지 올라가며, HTTP/3→HTTP/1 요청 밀수, TLS SAN 인증 우회, PROXY Protocol v2 업스트림 스트림 유출 등 Critical 3건이 특히 주목됩니다. v1.37.x 배포라면 지체 없이 업그레이드해야 합니다.

  • securityCritical: HTTP/3 → HTTP/1 요청 밀수 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청으로 HTTP/1 업스트림에 요청을 밀수할 수 있습니다. HTTP/3을 종료하고 HTTP/1 백엔드로 프록시하는 모든 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityCritical: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 삽입된 인증서는 비교 시 그 지점에서 잘려 의도하지 않은 패턴에 매칭됩니다. TLS SAN 검증으로 인증 결정을 내리는 배포에서 인증 우회가 발생합니다. 즉시 업그레이드하세요.

  • securityCritical: PROXY Protocol v2 TLV 업스트림 스트림 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 건너뛰어야 할 TLV를 그대로 출력해, 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림에 유입됩니다. 업스트림 방향으로 PROXY Protocol v2 헤더를 생성하는 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityHigh: OAuth2 필터 패딩 오라클 및 UAF (CVE-2026-47775, CVE-2026-48090)

    CVE-2026-47775 (GHSA-396h-jpq4-vc7p)는 PKCE 코드 검증자 패딩 오라클 취약점이고, CVE-2026-48090 (GHSA-3cj2-c63f-q26f)는 스트림 해제 후 비동기 토큰 완료 시 UAF 위험입니다. 둘 다 envoy.filters.http.oauth2를 사용하는 배포에 적용됩니다.

  • securityHigh: HTTP/3 QPACK 블로킹 디코딩 DoS (GHSA-p7c7-7c47-pwch)

    HTTP/3 QPACK 블로킹 디코딩(GHSA-p7c7-7c47-pwch)을 악용해 HTTP/3 스택을 DoS 상태로 만들 수 있습니다. HTTP/3을 서비스하는 모든 배포에 적용됩니다.

  • securityHigh: grpc_stats 필터 세그폴트 (CVE-2026-47204)

    CVE-2026-47204 (GHSA-3jxh-8p6x-7pf6): Connect 프로토콜 요청이 direct_response 라우트로 전달될 때 grpc_stats 필터가 세그폴트를 일으킵니다. envoy.filters.http.grpc_stats를 사용하는 배포에 적용됩니다.

  • breakingIntel DLB 연결 밸런서 contrib 익스텐션 빌드 시 비활성화

    envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서) contrib 익스텐션이 소스 아카이브 손상으로 인해 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화되었습니다. 이 익스텐션을 사용하는 배포는 소스 문제가 해결될 때까지 로컬 우회 방법이나 대체 밸런싱 전략을 사용해야 합니다.

주요 변경 (5)
  • Critical CVE 3건 수정: HTTP/3→HTTP/1 요청 밀수(CVE-2026-48743), TLS SAN NUL 바이트 인증 우회(CVE-2026-47778), PROXY Protocol v2 업스트림 스트림 65 KB 유출(CVE-2026-47692).
  • High 심각도 CVE 9건 추가 수정: OAuth2 패딩 오라클·UAF(CVE-2026-47775, CVE-2026-48090), HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), grpc_stats 세그폴트(CVE-2026-47204), DNS UDP 필터 비정상 종료(CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706), 깊은 JSON 중첩 스택 오버플로(CVE-2026-48042), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), REQUESTED_SERVER_NAME 크래시(CVE-2026-47220), ext_proc gRPC 응답 크래시(CVE-2026-47207), authz 퍼라우트 크래시(CVE-2026-47205).
  • zstd 압축 해제 RLE 집 밤 DoS(CVE-2026-48044, High) 수정. zstd 필터를 사용하는 배포에 적용됩니다.
  • wasmtime 의존성 업그레이드로 CVE-2026-47261 해결.
  • envoy.network.connection_balance.dlb(Intel DLB) contrib 익스텐션이 소스 아카이브 손상으로 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화됨. 릴리스 노트에 로컬 우회 방법이 안내되어 있습니다.
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.36.9는 보안 패치만 포함된 릴리스로, TLS SAN 처리, HTTP/3, PROXY 프로토콜, JSON 파싱, OAuth2, ext_proc, grpc_stats, zstd, DNS, statsd에 걸쳐 15개 CVE(2개 critical, 나머지 high/medium)를 수정합니다. TLS SAN 인증 우회와 HTTP/3 요청 스머글링은 광범위하게 악용될 수 있으므로 즉시 업그레이드해야 합니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778 / GHSA-f8x4-rw5x-f3r7)

    TLS SAN에 NUL 바이트가 포함된 경우 SAN이 잘려 인증서 기반 인증 검사를 우회할 수 있습니다. 모든 배포에 영향을 미치므로 즉시 v1.36.9로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3-to-HTTP/1 요청 스머글링 (CVE-2026-48743 / GHSA-8phg-2h2q-jgxf)

    nonzero Content-Length를 가진 headers-only HTTP/3 요청이 HTTP/1 백엔드로 밀수될 수 있습니다. HTTP/3를 HTTP/1 백엔드로 프록시하는 환경에 영향을 줍니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692 / GHSA-wh36-hm39-mm3r)

    PROXY Protocol v2 헤더 생성기가 TLV를 잘못 방출해 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림으로 흘러들어갑니다. PROXY Protocol v2 헤더 생성기를 사용하는 환경에 해당합니다.

  • securityHIGH: 깊은 중첩 JSON으로 인한 스택 오버플로 (CVE-2026-48042 / GHSA-f24p-rxw2-g6pv)

    중첩 깊이가 매우 큰 JSON 입력이 들어오면 객체 소멸자에서 스택 오버플로가 발생해 프록시가 크래시됩니다. 모든 배포에 영향을 줍니다.

  • securityHIGH: wasmtime 의존성 CVE (CVE-2026-47261)

    CVE-2026-47261 해결을 위해 wasmtime 의존성이 업데이트되었습니다. Wasm 확장을 사용하는 모든 배포에 적용됩니다.

  • breakingDLB 커넥션 밸런서 확장 비활성화 (기능 제거)

    contrib Intel DLB 커넥션 밸런서 확장(envoy.network.connection_balance.dlb)이 소스 아카이브 문제로 인해 모든 플랫폼의 Bazel 빌드에서 비활성화되었습니다. 이 확장을 사용하던 빌드는 조용히 기능을 잃게 됩니다.

주요 변경 (8)
  • CRITICAL (2개): TLS SAN NUL 바이트 잘림으로 인한 인증 우회(CVE-2026-47778)와, headers-only HTTP/3 요청의 nonzero Content-Length를 이용한 HTTP/1 백엔드 요청 스머글링(CVE-2026-48743).
  • HIGH: PROXY Protocol v2 헤더 생성기가 skipped TLV를 잘못 방출해 공격자 제어 데이터 최대 65 KB가 업스트림 스트림으로 유출(CVE-2026-47692).
  • HIGH: 깊은 중첩 JSON 소멸자에서 스택 오버플로 발생, 전 배포 영향(CVE-2026-48042).
  • HIGH: 여러 필터의 크래시 및 보안 문제 수정 -- ext_proc 단일 gRPC 메시지 응답(CVE-2026-47207), grpc_stats가 direct_response 라우트에 Connect 프로토콜 요청 시 세그폴트(CVE-2026-47204), authz 퍼 라우트 크래시(CVE-2026-47205), 라우터 내부 리다이렉트 크래시(CVE-2026-47221).
  • HIGH: OAuth2 필터 두 가지 수정 -- PKCE 코드 검증자 패딩 오라클(CVE-2026-47775)과 스트림 해제 후 지연된 비동기 토큰 완료로 인한 UAF 위험(CVE-2026-48090).
  • HIGH: zstd RLE zip-bomb 압축 증폭(CVE-2026-48044), DNS UDP 필터 비정상 종료(CVE-2026-48497), HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706).
  • CVE-2026-47261 해결을 위한 wasmtime 의존성 업데이트(HIGH, 모든 배포 적용).
  • 소스 아카이브 문제로 contrib envoy.network.connection_balance.dlb(Intel DLB) 확장이 모든 빌드에서 비활성화.
원문

Envoy

Networking & Messaging2026년 6월 24일

Envoy v1.35.13은 CVE 13건을 수정한 주요 보안 릴리스로, 그중 2건은 critical입니다. 업스트림 스트림에 최대 65KB가 유출되는 PROXY 프로토콜 v2 TLV 유출 결함과, 인증서 기반 인증을 우회할 수 있는 TLS SAN NUL 절단 결함이 포함됩니다. 소스 아카이브 문제로 contrib Intel DLB 커넥션 밸런서 확장도 비활성화됐습니다.

  • securityPROXY 프로토콜 v2 TLV 유출 (CVE-2026-47692)

    PROXY 프로토콜 v2 헤더 생성을 사용하는 모든 v1.35.13 배포에 해당합니다. CVE-2026-47692는 공격자가 조작한 "skipped" TLV로 인해 업스트림 애플리케이션 스트림에 최대 65KB가 유출되는 취약점입니다. 이 기능을 쓴다면 즉시 업그레이드하세요.

  • securityTLS SAN NUL 절단으로 인한 인증 우회 (CVE-2026-47778)

    SAN 기반으로 클라이언트 인증서를 검증하는 배포에 해당합니다. CVE-2026-47778은 TLS SAN에 삽입된 NUL 바이트로 인해 파싱된 이름이 잘려서, 의도하지 않은 호스트명과 일치하며 인증을 우회할 수 있는 취약점입니다. 즉시 업그레이드하세요.

  • security핵심 필터와 HTTP/3에 걸친 추가 CVE 11건

    ext_proc, 라우터 내부 리다이렉트, OAuth2(패딩 오라클과 비동기 토큰 완료 지연으로 인한 use-after-free 두 건), zstd 압축 해제, grpc_stats, JSON 파싱, DNS 필터, HTTP/3(content-length 검증 미비와 별도의 QPACK 기반 DoS), TcpStatsdSync 등에서 추가로 11건의 높은 심각도 CVE가 수정됐습니다. 각각 특정 필터나 코덱에 얽힌 크래시, DoS, 메모리 안전성 문제입니다. 전체 수정을 적용하려면 업그레이드하고, 사용 중인 필터를 확인해 우선순위를 정하세요.

  • securitywasmtime 의존성 업데이트로 CVE-2026-47261 수정

    com_github_wasmtime 의존성을 올려 별도의 wasmtime CVE(CVE-2026-47261)를 수정했습니다. Wasm 필터를 사용하는 배포에 해당합니다.

  • breakingIntel DLB 커넥션 밸런서 확장 비활성화

    contrib 확장 envoy.network.connection_balance.dlb(Intel DLB 커넥션 밸런서)가 소스 아카이브 문제로 모든 빌드와 플랫폼에서 Bazel 빌드 레벨에서 비활성화됐습니다. 이 확장을 활성화해 빌드하던 곳은 다른 커넥션 밸런서로 전환해야 합니다.

주요 변경 (7)
  • 이번 릴리스에서 CVE 13건이 수정됐고 그중 2건은 심각도 critical입니다: PROXY 프로토콜 v2 TLV 유출(CVE-2026-47692, 업스트림 스트림으로 최대 65KB 유출)과 TLS SAN NUL 절단으로 인한 인증 우회(CVE-2026-47778).
  • 핵심 요청 처리 경로에서 다수의 높은 심각도 결함이 수정됐습니다: ext_proc 단일 메시지 응답 처리(CVE-2026-47207), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), direct_response 라우트로의 Connect 프로토콜 요청 시 grpc_stats 세그폴트(CVE-2026-47204), 깊게 중첩된 JSON 소멸 시 스택 오버플로(CVE-2026-48042).
  • OAuth2 필터에서 서로 다른 두 건이 수정됐습니다: 코드 검증자 패딩 오라클(CVE-2026-47775), 스트림 종료 후 비동기 토큰 완료 지연으로 인한 use-after-free(CVE-2026-48090).
  • HTTP/3 스택이 두 가지 문제에서 강화됐습니다: 헤더만 있는 요청/응답의 content-length 미검증(CVE-2026-48743), QPACK 블록 디코딩을 악용한 DoS.
  • 그 외 높은 심각도 수정: zstd RLE 압축 해제 시 zip bomb(CVE-2026-48044), 긴 쿼리 이름으로 인한 DNS 필터 크래시(CVE-2026-48497), 큰 stats 이름으로 인한 TcpStatsdSync 버퍼 오버플로(CVE-2026-48706).
  • 업스트림 wasmtime 의존성을 올려 Wasm 필터의 CVE-2026-47261을 해결했습니다.
  • contrib 확장 envoy.network.connection_balance.dlb(Intel DLB)가 소스 아카이브 문제로 모든 빌드에서 Bazel 레벨에서 비활성화됐습니다.
원문

OpenTelemetry

Observability2026년 6월 24일

v0.155.0은 운영자 입장에서 대응이 필요한 릴리스입니다. 안정화됐던 feature gate 7개가 제거되고, memory_limiter 메트릭 이름이 바뀌었으며, 설정/서비스 API 2개가 스냅샷 기반으로 대체 예정입니다. 나머지는 mdatagen과 새로 옮겨온 schemagen CLI 관련 도구 작업입니다.

  • breaking안정화된 feature gate 7개 제거

    confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 --feature-gates 플래그나 설정에 남아있다면 해당됩니다. v0.155.0에서 이 게이트들이 완전히 제거되어 참조가 남아있으면 시작 자체가 실패합니다. 업그레이드 전에 CLI 인자와 설정에서 모두 제거하세요.

  • breakingmemory_limiter 메트릭 이름에 접두사 추가

    memory_limiter 프로세서의 otelcol_processor_* 메트릭을 대시보드나 알림 규칙에서 사용 중이라면 해당됩니다. 다른 프로세서와 구분하기 위해 otelcol_processor_memory_limiter_* 로 이름이 바뀌었습니다. 대시보드와 알림 규칙, 메트릭 쿼리를 새 이름으로 수정해야 합니다.

  • breakingmdatagen의 reaggregation_enabled 설정 제거

    mdatagen metadata.yaml에서 reaggregation_enabled를 쓰던 커스텀 컴포넌트가 해당됩니다. 이 설정이 제거되고 이제 항상 메트릭별 재집계 설정이 생성됩니다. 기존 파일에 필드가 남아있어도 값은 무시되므로, 생성된 결과가 기대와 일치하는지 확인하세요.

  • breakingConfig watcher API deprecated, 스냅샷 기반으로 전환 권고

    service.Settings.CollectorConf나 extensioncapabilities.ConfigWatcher를 쓰는 익스텐션이나 코어 코드가 해당됩니다. 각각 service.Settings.ConfigSnapshot과 extensioncapabilities.ConfigSnapshotWatcher로 대체되며 deprecated 처리됐습니다. 즉시 강제되진 않지만 스냅샷 기반 API로 이전을 준비하세요.

주요 변경 (8)
  • 안정화됐던 feature gate 7개가 완전히 제거됨: confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting. 이제 이 게이트들을 참조하면 실패합니다.
  • memory_limiter 프로세서 메트릭 이름이 otelcol_processor_memory_limiter_* 접두사로 바뀌어 기존 대시보드와 알림이 깨집니다.
  • mdatagen의 reaggregation_enabled 메타데이터 설정이 제거되고, 이제 메트릭별 재집계 설정이 무조건 생성됩니다(기존 파일은 허용되지만 값은 무시됨).
  • service.Settings.CollectorConf와 extensioncapabilities.ConfigWatcher가 deprecated되고 ConfigSnapshot, ConfigSnapshotWatcher로 대체됨.
  • schemagen CLI가 opentelemetry-collector-contrib에서 이 저장소의 cmd/schemagen으로 이전됐고, 수작업 스키마 조각을 병합하는 overlayFile, 커스텀 Go 패키지 패턴을 지정하는 -p 플래그, component|package 강제 지정용 -m 플래그가 추가되고 외부 패키지 대상 모드 감지 버그도 수정됨.
  • mdatagen이 버전별 메트릭을 지원해 새 시맨틱 컨벤션으로 메트릭 이름/타입/속성 이전을 도와주며, 마지막 feature gate 제거 시 남던 잔여 파일 문제와 생성된 식별자의 약어 대문자화 오류도 고쳐짐.
  • pdata JSONUnmarshaler에 DisallowUnknownFields 옵션(기본값 false)이 추가되어, 켜면 알려지지 않은 OTLP JSON 필드를 에러로 처리할 수 있음(단, 활성화 시 하위 호환성은 떨어짐).
  • 미들웨어 설정(pkg/config/configmiddleware)이 스키마 기반 정의로 이전됨.
원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v2.3.3은 OCI 패키지 서명 검증의 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94)을 수정하고, namespaced XR에서 `crossplane render`가 잘못된 namespace를 주입하던 버그를 고칩니다.

  • securityOCI 서명 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94) — 즉시 업그레이드 필요

    이 취약점은 악의적인 OCI 레지스트리가 서명 검증을 통과한 뒤 서명되지 않은 패키지 콘텐츠를 제공할 수 있는 문제입니다. OCI 레지스트리에서 패키지를 설치하는 모든 Crossplane 환경에 해당됩니다. v2.3.3으로 업그레이드하고, 취약한 버전에서 설치된 패키지는 재설치를 검토하세요. 기술 세부사항은 crossplane-runtime v2.3.3 어드바이저리를 확인하세요.

  • securitygolang.org/x/net, x/sys CVE 패치 — 소스 빌드 환경 확인 필요

    Crossplane을 소스에서 빌드하거나 자체 provider/function에서 이 라이브러리를 vendor로 관리하는 팀은 의존성 버전을 v2.3.3 기준으로 맞춰야 합니다. 공식 이미지를 사용 중이라면 v2.3.3 이미지에 이미 패치된 버전이 포함되어 있습니다.

  • breakingnamespaced XR에서 crossplane render의 namespace 주입 동작 변경

    CI 파이프라인이나 로컬 테스트에서 `crossplane render`를 namespaced XR 대상으로 실행한다면, 이제 injected resource ref에 namespace가 붙지 않습니다. 실제 reconciler 동작에 맞춘 수정이지만, 기존 render 테스트 결과가 달라질 수 있습니다. 업그레이드 후 render 테스트를 다시 돌려 예상치 못한 차이가 없는지 확인하세요.

주요 변경 (4)
  • OCI 패키지 서명 검증 TOCTOU 취약점 수정 — crossplane-runtime v2.3.3 통해 반영 (GHSA-mf7q-r4rv-jv94)
  • namespaced XR의 resource ref에 namespace가 잘못 설정되던 `crossplane render` 버그 수정 — KCL 바인딩 등 strict schema 함수가 깨지는 문제 해결
  • Go 툴체인을 1.25.11로 업그레이드
  • apis 모듈 내 golang.org/x/net 및 golang.org/x/sys를 CVE 패치 버전으로 업데이트
원문

OpenKruise

CI/CD & App Delivery2026년 6월 21일

OpenKruise v1.9.0은 워크로드 기능을 여럿 추가하고, ImagePullJob CPU 급등·SidecarSet 패닉 등 프로덕션에서 실제로 문제가 됐던 버그들을 다수 수정했습니다.

  • breakingmaxUnavailable/maxSurge 문자열 값, 이제 webhook에서 거부됨

    maxUnavailable: '5'처럼 정수를 따옴표로 감싼 문자열 형식은 이제 admission webhook에서 거부됩니다. CloneSet 스펙이나 Helm 차트에서 이런 방식으로 값을 지정하고 있다면 업그레이드 후 배포가 막힙니다. v1.9.0 업그레이드 전에 관련 매니페스트를 미리 점검하세요.

  • enhancementImagePullJob CPU 스파이크 수정 — 대규모 클러스터라면 업그레이드 우선 검토

    reconcile이 연쇄적으로 증폭되면서 controller-manager CPU가 급등하는 버그가 있었습니다. 원인 불명의 CPU 압박을 겪고 있었다면 이 버그일 가능성이 높습니다. v1.9.0으로 올리면 별도 설정 변경 없이 해결됩니다.

  • enhancementCloneSet progressDeadlineSeconds·OnDelete 전략 활용 검토

    CloneSet에 progressDeadlineSeconds가 추가되어 롤아웃이 멈췄을 때 자동으로 감지할 수 있습니다. 지금까지는 외부 모니터링 없이는 stuck 상태를 잡기 어려웠는데 이 필드로 해결됩니다. OnDelete 전략은 수동 업그레이드 제어가 필요한 팀에 유용합니다. CloneSet으로 카나리·단계적 배포를 운영 중이라면 두 옵션 모두 검토해 볼 만합니다.

주요 변경 (5)
  • ImagePullJob: 연쇄 reconcile 증폭으로 인한 CPU 스파이크 수정, 노드별 동시성 제어 추가 — 대규모 이미지 풀 환경에서 특히 중요
  • SidecarSet: Pod 삭제 시 패닉 및 null pointer 접근 버그 수정, 컨테이너 순서 주입·shareVolumeDevicePolicy 지원 추가
  • CloneSet: progressDeadlineSeconds·OnDelete 업데이트 전략 추가, CloneSetEventHandlerOptimization 활성 시 라이프사이클 훅 누락 버그 수정
  • UnitedDeployment: ReserveUnschedulablePods 기능 추가 — 스케줄 불가 Pod를 교체하지 않고 유지
  • PodUnavailableBudget이 Pod RESIZE 액션을 보호 — in-place 수직 스케일링 사용 시 유용
원문

Lima

Kubernetes Core2026년 6월 19일

Lima v2.1.3은 보안 패치 중심 릴리스입니다. QEMU VM 내 권한 상승(CVE-2026-53657)과 containerd 다수 CVE를 수정했으니 즉시 업그레이드해야 합니다.

  • securityQEMU 권한 상승(CVE-2026-53657) 즉시 패치

    QEMU 기반 Lima VM에서 비특권 사용자가 게스트 에이전트 소켓을 통해 VM 내 root를 획득할 수 있는 취약점입니다. 여러 사용자가 VM을 공유하거나 신뢰할 수 없는 워크로드를 실행 중이라면 우선순위가 높습니다. v2.1.3으로 업그레이드하고 영향받는 VM을 재시작하세요.

  • securitynerdctl v2.3.3에 포함된 containerd CVE 5건 패치 필요

    containerd v2.3.2에서 CVE 5건이 수정됐고, 이번 Lima 릴리스에 nerdctl v2.3.3으로 번들됩니다. Lima VM에서 컨테이너 워크로드를 실행 중이라면 기존 버전의 containerd가 노출된 상태입니다. Lima를 업그레이드한 뒤 VM을 재시작하거나 재생성해 새 nerdctl 바이너리가 반영되도록 하세요.

  • breaking비Linux 게스트에서 containerd.user 기본값 변경 확인 필요

    macOS, Windows 게스트에서 containerd.user=true가 더 이상 자동으로 설정되지 않습니다. 명시적 설정 없이 rootless containerd를 사용하던 환경이라면 업그레이드 후 VM 설정을 확인하고, 필요하면 containerd.user=true를 명시적으로 지정하세요.

주요 변경 (5)
  • CVE-2026-53657 수정: QEMU 게스트 에이전트 소켓을 통해 VM 내 임의 사용자가 root 권한 획득 가능했던 문제 해결
  • nerdctl을 v2.3.3으로 업데이트, 내부적으로 containerd v2.3.2를 포함해 CVE-2026-50195 등 5개 CVE 패치
  • 기본 템플릿 이미지가 ubuntu-25.10에서 ubuntu-26.04로 변경
  • 비Linux 게스트(macOS, Windows)에서 containerd.user가 더 이상 기본값 true로 설정되지 않음
  • copytool auto 모드에서 원본과 대상이 모두 원격일 경우 scp로 폴백
원문

Argo

CI/CD & App Delivery2026년 6월 18일

Argo CD 3.4.4는 헬스 체크, RBAC, diff, 템플릿 렌더링 안정성 개선에 초점을 맞춘 패치 릴리스입니다. 다중 네임스페이스 구성이나 Dex 인증을 사용한다면 업그레이드하세요.

  • breaking다중 네임스페이스 RBAC 회귀 수정

    이전 릴리스에서 다중 네임스페이스 아키텍처의 프로젝트 범위 리소스에 대한 RBAC 제어가 깨졌습니다. 이 패치가 정상 동작을 복구합니다. 여러 네임스페이스에 걸쳐 프로젝트 수준 RBAC 제한을 사용 중이라면 업그레이드 후 접근 제어가 올바르게 작동하는지 확인하세요. 특히 프로젝트 범위 리소스 가시성을 점검하세요.

  • enhancement헬스 체크 안정성 개선

    PromotionStrategy 헬스 체크가 no-op 재생성 후 잘못된 Progressing 상태를 보고하여 배포를 차단했습니다. 이제 고쳐졌습니다. PromotionStrategy를 사용 중이면 업그레이드하여 수동 개입이 필요한 고착 상태를 피하세요.

  • enhancement서버측 diff 회귀 복구

    최근 변경으로 새 객체에 대한 서버측 diff가 깨져 에러가 발생했습니다. 이 패치가 diff 기능을 복구합니다. 배포 파이프라인에서 서버측 diff를 의존 중이라면(특히 새 리소스의 경우) 이 업데이트를 적용하여 정상 동작을 되돌리세요.

주요 변경 (5)
  • PromotionStrategy 헬스 체크 회귀 수정 - Progressing 상태에 갇히던 리소스 복구
  • 다중 네임스페이스 배포에서 프로젝트 범위 RBAC 회귀 수정
  • 새 객체에 대한 diff 에러 수정
  • 달러 기호가 포함된 Dex 비밀번호 파싱 수정
  • ApplicationSet RenderGeneratorParams의 cross-generator Values 템플릿 해석 수정
원문

Argo

CI/CD & App Delivery2026년 6월 18일

Argo CD v3.3.12는 동기화 상태 추적, 클러스터 옵저버 락, 설정 파싱, Git 저장소 깊이 처리를 수정한 유지보수 릴리스입니다. Breaking 변경은 없습니다.

  • securityDex 인증에서 특수문자를 포함한 암호 처리

    Dex 암호 파싱 시 달러 기호가 포함된 암호를 처리하지 못해 사용자 로그인이 차단될 수 있었습니다. Dex OIDC를 사용하고 최근 특수문자가 포함된 암호를 설정했거나 변경했다면 v3.3.12로 즉시 업그레이드하여 접근을 복구하세요. 업그레이드 후 Dex 로그인을 테스트하세요.

  • enhancementArgo Rollouts 사용 시 PromotionStrategy 상태 고정 해결

    Argo Rollouts를 사용하고 PromotionStrategy를 쓰는 경우, 설정 리로드 후 변경이 없더라도 애플리케이션이 Progressing 상태에 남아 있을 수 있었습니다. v3.3.12로 업데이트하여 이 문제를 해결하세요. 업그레이드 후 애플리케이션 상태가 정상화되었는지 확인하세요.

주요 변경 (5)
  • 공(no-op) 리하이드레이션 이후 PromotionStrategy 상태가 Progressing에서 해제됨
  • 클러스터 인포머에 락 추가로 동시 접근 문제 방지
  • 달러 기호를 포함한 Dex 암호 파싱 수정
  • 변경 감지 및 fetch 작업에서 Git 저장소 깊이 설정 반영
  • 정규화에서 실시간 상태 제외로 정확도 개선
원문

Helm

Kubernetes Core2026년 6월 18일

Helm v4.2.2는 WaitForDelete의 조기 종료 수정사항을 되돌렸습니다. 상태 감시 레이스 컨디션을 해결하기 위한 한 줄짜리 패치입니다.

  • breakingWaitForDelete 레이스 컨디션 재도입—테스트 스위트 행(hang) 현상 복귀 가능성

    이전에 수정된 WaitForDelete의 레이스 컨디션(상태 감시자가 워치를 조기에 취소하는 문제)이 v4.2.2에서 되돌려졌습니다. Helm 테스트 스위트를 광범위하게 실행하거나 WaitForDelete 동작에 의존 중이라면 업그레이드 후 간헐적인 행(hang) 또는 타임아웃이 다시 나타날 수 있습니다. 업그레이드 후 테스트 실행에서 불안정성을 모니터링하세요. 향후 패치에서 적절한 수정이 나올 가능성이 높으므로, v4.2.2에 오래 머물지 마세요.

주요 변경 (2)
  • WaitForDelete의 조기 종료 수정사항을 되돌림—전체 테스트 스위트 실행 중 간헐적 실패 유발
  • 상태 감시자가 워치를 조기에 취소하는 레이스 컨디션 재도입
원문

Strimzi

Networking & Messaging2026년 6월 17일

Strimzi 1.0.1은 CVE 두 건을 패치하고, Entity Operator의 cross-namespace 감시 기능을 기본 비활성화로 변경했습니다. v1 CRD만 지원하는 정책은 1.0.0에서 이어집니다.

  • securityCVE 두 건 수정 — 빠른 업그레이드 권장

    CVE-2026-55225와 CVE-2026-55226이 1.0.1에서 수정됐습니다. 패치 릴리스 한 번에 CVE 두 건이 포함된 만큼, 정기 유지보수 시점을 기다리지 말고 업그레이드를 우선시하는 게 낫습니다. 세부 내용은 Strimzi 보안 어드바이저리를 확인하세요.

  • breakingwatchedNamespace 사용 중이라면 환경 변수 설정 필수

    Kafka CR의 Entity Operator 섹션에 watchedNamespace를 Kafka 클러스터와 다른 네임스페이스로 설정해 두었다면, 업그레이드 후 Topic/User Operator가 해당 네임스페이스를 감시하지 않습니다. Cluster Operator 디플로이먼트에 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED=true를 추가해야 합니다. 설정 누락 시 토픽·유저 reconciliation이 조용히 멈추므로, 모든 네임스페이스의 Kafka CR을 미리 확인하세요.

  • breaking업그레이드 전 CRD를 반드시 v1로 변환

    1.0.1은 v1 CRD만 인식합니다. 1.0.0으로의 마이그레이션 때 변환을 건너뛰었거나 구버전에서 직접 올린다면, 오퍼레이터 매니페스트를 적용하기 전에 Strimzi 1.0.1 배포 가이드의 CRD 변환 절차를 먼저 실행하세요. 변환 없이 오퍼레이터를 배포하면 reconciliation이 실패합니다.

주요 변경 (4)
  • v1beta2, v1beta1, v1alpha1 CRD API 버전이 모두 제거됨 — 업그레이드 전 CRD 변환 필수
  • CVE-2026-55225, CVE-2026-55226 두 건 패치
  • Entity Operator cross-namespace 감시 기능이 기본 비활성화로 변경됨
  • 새 환경 변수 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED로 해당 기능을 명시적으로 켜야 함
원문

OpenFGA

Security2026년 6월 17일

v1.18.0은 OIDC 인증 우회와 preshared key 타이밍 취약점 두 가지 보안 버그를 수정합니다. MySQL 사용자는 스키마 마이그레이션으로 인해 업그레이드 전 유지보수 시간을 반드시 확보해야 합니다.

  • securityOIDC audience 우회 취약점 — 업그레이드 전 설정 확인 필수

    authn.oidc.audience를 설정하지 않으면 JWT audience 검증이 무음으로 건너뛰어졌고, 신뢰된 issuer가 발급한 모든 토큰이 수락됐습니다. 업그레이드 후에는 issuer와 audience가 모두 없으면 서버가 기동하지 않습니다. 배포 설정에 authn.oidc.audience가 명시돼 있는지 미리 확인하세요.

  • securityPreshared key 타이밍 사이드채널 수정 — 키 교체 고려

    기존 map lookup 기반 preshared key 검증은 응답 시간 차이로 유효한 키 바이트를 추측할 수 있었습니다. 이제 constant-time 비교로 수정됐습니다. 즉각적인 조치는 불필요하지만, 이 키가 신뢰할 수 없는 네트워크 경로에 오랫동안 노출됐다면 키를 교체하는 것이 좋습니다.

  • breakingMySQL 사용자: 서버 기동 시 auto-migration 실행 금지

    마이그레이션 008은 tuple 및 changelog 테이블에 공유 락을 획득합니다. 데이터가 많은 프로덕션 환경에서는 Write 작업이 장시간 차단될 수 있습니다. collation_migrations.md 운영 가이드를 먼저 읽고, 유지보수 시간을 잡아 마이그레이션을 수동으로 실행하세요. auto-migration 옵션은 반드시 끄세요.

주요 변경 (4)
  • MySQL 스키마 마이그레이션 008: 식별자 비교를 대소문자 구분(case-sensitive)으로 변경, tuple·changelog 테이블에 공유 락(shared lock) 획득
  • Preshared key 인증에 constant-time 비교 도입 — 이전 map lookup 방식의 타이밍 사이드채널 차단
  • OIDC 설정 검증 강화: authn.oidc.issuer 또는 authn.oidc.audience 누락 시 서버 기동 거부, 기존의 JWT audience 조용한 우회 방지
  • MySQL 식별자 비교 동작이 Postgres·SQLite와 동일하게 대소문자 구분으로 통일
원문

Rook

Storage & Data2026년 6월 17일

Rook v1.20.1은 Ceph 연산자 안정성에 중점을 둔 패치 릴리스입니다. Ceph CSI 드라이버 호환성, OSD 메이저 버전 관리, CSI-addons 기본 비활성화로 예기치 않은 동작을 줄였습니다.

  • breakingCSI-addons 기본 비활성화 — 클러스터 종속성 확인 필수

    v1.20.1에서 CSI-addons(스냅샷, 클론, 확장 기능)이 기본적으로 비활성화됩니다. 워크로드가 이 기능에 의존 중이면 Ceph 클러스터 spec에서 명시적으로 활성화해야 합니다. 활성화하지 않으면 RWX 볼륨 스냅샷과 클론이 실패합니다. 업그레이드 전에 Helm 값과 연산자 설정을 검토하고 필요시 addons를 활성화하세요.

  • enhancement노드 라벨로 OSD 디바이스 클래스 할당 — 수동 맵핑 대체

    각 노드마다 디바이스 클래스를 하드코딩하는 대신 Kubernetes 노드 라벨(예: `disk-type: ssd`)을 사용하여 OSD를 자동으로 분류할 수 있습니다. 혼합 하드웨어 클러스터 확장이 간단해집니다. 노드 라벨을 적용한 후 Ceph 클러스터 spec에서 참조하여 노드별 설정 편차를 피하세요.

  • enhancementCeph 메이저 업그레이드 후 require-osd-release 자동 설정

    Ceph 메이저 버전 업그레이드(예: Quincy에서 Reef로) 후 Rook이 `require-osd-release`를 자동으로 설정하여 구 OSD가 클러스터 준비 전에 다시 합류하는 것을 방지합니다. 업그레이드 전에 모든 OSD를 함께 업데이트할 수 있는지 확인하세요. 일부 OSD를 구 버전으로 고정했다면 고정을 해제할 때까지 합류가 차단됩니다.

주요 변경 (5)
  • Helm 차트에 Rook 호환 Ceph CSI 드라이버 값 추가됨
  • Ceph 메이저 업그레이드 후 OSD require-osd-release 자동 설정으로 버전 불일치 방지
  • CSI-addons는 기본적으로 비활성화되어 의도하지 않은 기능 활성화 방지
  • 노드 라벨을 이용한 OSD 디바이스 클래스 할당 지원으로 수동 설정 단순화
  • 사용하지 않는 MDS, RGW pod disruption budget 자동 삭제로 클러스터 운영 차단 회피
원문

Backstage

CI/CD & App Delivery2026년 6월 17일

v1.52.0은 discovery API 기본값 변경, immediate stitching 제거, BUI union 타입 변경 등 세 가지 breaking change와 함께 PostgreSQL 카탈로그 성능 개선 및 다수의 안정성 수정이 포함됩니다.

  • breakingdiscovery.endpoints 마이그레이션 및 immediate stitching 설정 제거

    업그레이드 전에 두 가지 설정을 점검하세요. 첫째, `discovery.endpoints`에 내부 전용 문자열 타겟을 쓰고 있다면 객체 형태로 바꾸고 내부 URL은 `target.internal`에, 브라우저가 접근 가능한 URL은 `target.external`에 넣어야 합니다. 그렇지 않으면 프론트엔드가 내부 주소에 직접 요청을 보냅니다. 둘째, 설정 파일에서 `catalog.stitchingStrategy.mode: 'immediate'`를 삭제하세요. 이미 무시되지만 deprecation 경고가 발생합니다. 둘 다 설정 파일 수정으로 해결됩니다.

  • breakingComboboxProps / SelectProps 타입 확장 코드 업그레이드 전 수정 필요

    `ComboboxProps`와 `SelectProps`가 union 타입으로 바뀌었습니다. 두 타입을 `extends`로 확장한 인터페이스가 있으면 타입 에러가 납니다 — 타입 교차(intersection)로 바꾸세요. `.bui-SelectPopover`의 직계 자식으로 리스트 내용을 선택하던 CSS 셀렉터도 확인이 필요합니다. 런타임 폴백 없이 컴파일 단계에서 바로 실패합니다.

  • enhancementPostgreSQL 카탈로그 쿼리 성능 개선 — 마이그레이션만 실행하면 적용

    이번 릴리즈에 PostgreSQL 전용 쿼리 플래너 개선이 여러 건 포함됩니다. search 테이블에 다중 컬럼 통계 추가, 불필요한 레거시 인덱스 제거, vacuum 임계값 조정, count/list 쿼리 분리가 마이그레이션으로 자동 적용됩니다. 엔티티 수가 많은 환경에서 카탈로그 목록 조회가 10~40배 느렸다면 이 업그레이드가 직접적인 해결책입니다. 별도 설정 변경 없이 마이그레이션 실행만으로 적용됩니다. MySQL/SQLite 환경에는 해당되지 않습니다.

주요 변경 (7)
  • @backstage/plugin-app의 기본 discovery API가 FrontendHostDiscovery로 변경 — discovery.endpoints의 내부 전용 문자열 타겟을 객체 형태로 마이그레이션 필요
  • catalog.stitchingStrategy.mode: 'immediate' 제거 — 설정이 남아 있으면 경고 로그가 출력됨
  • ComboboxProps·SelectProps가 union 타입으로 변경 — 인터페이스 상속 코드 수정 필요
  • PostgreSQL 대상 카탈로그 백엔드 쿼리 플래너 개선 다수 포함 (다중 컬럼 통계, 레거시 인덱스 제거, count 쿼리 분리)
  • @backstage/connections 실험적 패키지 추가 — 기존 integrations의 장기 대체제 예정, 현재는 프로덕션 사용 금지
  • react-syntax-highlighter·@dagrejs/dagre 지연 로딩 전환으로 @backstage/core-components 초기 모듈 로드 약 10 MB 절감
  • 새로 생성되는 앱에 Yarn 4.13.0 및 npmMinimalAgeGate: 3d 설정이 기본 적용
원문

KubeVirt

Orchestration & Management2026년 6월 17일

KubeVirt v1.8.4는 virt-handler의 gRPC 연결 누수 버그 수정, CVE-2026-35469 패치, 누락된 메트릭·알림 추가를 담은 패치 릴리스입니다.

  • securityCVE-2026-35469 패치: v1.8.4로 즉시 업그레이드

    moby/spdystream 의존성에서 CVE-2026-35469(GHSA-pc3f-x583-g7j2)가 발견됐습니다. v1.8.4 이전 버전을 운영 중이라면 바로 업그레이드하세요. 내부 취약점 스캐너 결과에서 해당 CVE를 확인하고, 업그레이드 전후로 탐지 여부를 비교해두면 좋습니다.

  • breakinggRPC 연결 누수 수정 후 virt-handler 리소스 사용량 변화 확인

    GetLauncherClient의 연결 누수로 VMI 생성이 빈번한 클러스터에서는 메모리와 고루틴이 계속 쌓였습니다. 업그레이드 후 virt-handler 메모리 사용량이 눈에 띄게 줄어들 수 있으니, 누수 상태를 기준으로 설정했던 메모리 제한이나 알림 임계값이 있다면 재검토하세요.

  • enhancement새 메트릭·알림 추가 — 대시보드와 runbook 업데이트 필요

    virt 컴포넌트에서 빠져 있던 메트릭, recording rule, 알림이 추가됐습니다. 기존 Prometheus·Alertmanager 설정과 비교해 새로 추가된 항목을 확인하고, 필요한 알림을 runbook에 반영하세요.

주요 변경 (4)
  • CVE-2026-35469 대응: moby/spdystream v0.5.0 → v0.5.1 업그레이드 (GHSA-pc3f-x583-g7j2)
  • virt-handler GetLauncherClient의 gRPC 연결 누수 수정 — 동일 VMI에 여러 컨트롤러가 경쟁할 때 메모리·소켓·고루틴이 무제한 증가하던 문제
  • virt 컴포넌트의 누락된 메트릭, recording rule, 알림 추가
  • node-labeller에 --expand-cpu-features 및 --supported-cpu-features 플래그 적용
원문

Cilium

Networking & Messaging2026년 6월 16일

Cilium v1.19.5는 정책 적용 버그, Gateway API 패닉, 로드밸런서 오동작 등을 수정한 버그픽스 중심 패치입니다. CVE는 없지만 업그레이드 전 확인이 필요한 항목이 있습니다.

  • breaking업그레이드 전 `l2podAnnouncements.interface` Helm 값 교체 필수

    `l2podAnnouncements.interface` Helm 키가 제거되었습니다. 이 키는 에이전트가 더 이상 읽지 않는 configmap 항목을 써서, L2 pod announcements가 활성화된 클러스터에서 crash-loop를 유발합니다. 업그레이드 전에 Helm values 파일에서 이 키를 찾아 `l2podAnnouncements.interfacePattern`으로 교체하세요. 교체하지 않으면 업그레이드 후 에이전트가 기동되지 않습니다.

  • breakingNamespaceSelector를 쓰는 CiliumEgressGatewayPolicy 동작 재확인 필요

    CiliumEgressGatewayPolicy의 NamespaceSelector 필드가 손상되어 해당 규칙이 실제로 적용되지 않는 버그가 있었습니다. 1.19.5로 업그레이드한 후에는 NamespaceSelector를 사용하는 이그레스 정책이 실제로 트래픽을 차단하는지 확인하세요. 이전까지 허용되던 트래픽이 수정 후 차단될 수 있습니다.

  • enhancementselectorless ipBlock 정책 사용 중이라면 동작 변화 확인

    와일드카드 네임스페이스 셀렉터가 pod selector 없는 ipBlock 규칙을 우회하던 버그가 수정되었습니다. 명시적 네임스페이스 셀렉터 없이 ipBlock만 쓰는 CiliumNetworkPolicy가 있다면 업그레이드 후 정책 적용 결과가 바뀔 수 있으니 실제 트래픽 패턴을 점검하세요.

주요 변경 (5)
  • selectorless ipBlock 규칙에서 와일드카드 네임스페이스가 정책을 우회하던 버그 수정
  • `l2podAnnouncements.interface` Helm 값 제거 — `interfacePattern`으로 마이그레이션하지 않으면 업그레이드 후 crash-loop 발생
  • CiliumEgressGatewayPolicy의 NamespaceSelector가 손상되어 이그레스 정책이 조용히 무력화되던 버그 수정
  • ClusterIP/LoadBalancer VIP가 노드 로컬 IP와 겹칠 때 노드 연결이 끊기던 버그 수정
  • 수천 개 서비스가 백엔드를 공유하는 환경에서 성능 저하 없이 동작하도록 로드밸런싱 내부 구조 리팩터링
원문

Cilium

Networking & Messaging2026년 6월 16일

Cilium 1.18.11은 메모리 누수, 소켓 처리 충돌, Gateway API 라우팅 버그를 고치는 패치 릴리스입니다. 호환성을 깨는 변경이 없으므로 1.18.x를 운영 중인 팀이 안전하게 적용할 수 있습니다.

  • security소켓 처리 에이전트 크래시가 보이면 패치 적용

    Cilium 1.18.11은 filterAndDestroySockets의 nil 포인터 역참조를 고칩니다. 에이전트 파드가 갑자기 재시작되거나 소켓 필터링 관련 panic 로그가 보이면 즉시 업그레이드하세요. 1.18.10 이하를 운영 중이라면 이 안정성 문제를 만날 수 있습니다.

  • breaking업그레이드 후 Cilium 관리 대상이 아닌 인터페이스의 MTU 설정 검증

    1.18.11은 MTU 처리를 변경해 Cilium이 관리하지 않는 인터페이스를 건너뜁니다. 인프라가 Cilium으로 외부 인터페이스(예: 호스트 관리 veth 쌍)의 MTU를 조정하는 데 의존한다면 스테이징 환경에서 먼저 테스트하세요. Cilium 소유 인터페이스를 altname으로 표시해야 MTU가 수정됩니다.

  • enhancementKubernetes Gateway API에 TLS 라우트를 사용하면 적용 권장

    이 패치는 Gateway API 지원의 두 가지 버그를 고칩니다: TLSRoute passthrough의 가중치 백엔드 라우팅과 혼합 리스너 처리. Gateway API를 TLS 종료 또는 passthrough로 운영하면 이 업그레이드로 조용한 라우팅 실패를 없앨 수 있습니다. 설정 변경은 필요 없으며 기존 Gateway API 리소스를 스테이징 클러스터에서 먼저 테스트하세요.

주요 변경 (5)
  • 큰 StateDB 트랜잭션에서 watch 채널 해시맵 재사용 시 발생하는 메모리 누수 해결
  • Gateway API TLSRoute passthrough 리스너에서 가중치가 있는 백엔드 트래픽 분할 수정
  • 소켓 필터링 코드의 nil 포인터 역참조 수정으로 에이전트 크래시 방지
  • MTU 변경 동작을 Cilium이 관리하는 인터페이스에만 적용하도록 수정
  • troubleshoot 명령어의 kvstore 및 clustermesh 진단 정보 확대
원문

Dapr

Orchestration & Management2026년 6월 16일

Dapr v1.18.1은 워크플로우 엔진 버그 수정에 집중된 패치 릴리스로, 타이머 리마인더 누수, 설정 리로드 후 사이드카 불능 상태, 워크플로우 영구 중단 등 5가지 문제를 수정합니다.

  • breakingHelm 설치 사용자: 워크플로우 동시성 제한이 이전까지 무시됐습니다

    Helm으로 Dapr을 설치하면서 Configuration 리소스에 globalMaxConcurrentWorkflowInvocations, globalMaxConcurrentActivityInvocations 또는 per-name 제한 필드를 설정했다면, 해당 설정이 실제로는 적용되지 않았습니다. 1.18.1로 업그레이드하면 CRD 스키마가 올바르게 수정되어 제한이 실제로 적용되기 시작합니다. 값이 지나치게 보수적으로 설정돼 있으면 처리량이 갑자기 줄어들 수 있으므로, 프로덕션 업그레이드 전에 설정값을 반드시 검토하세요.

  • enhancement에이전트형·루프 워크플로우를 운영한다면 업그레이드 필수

    이번 릴리스에서 수정된 버그 3개가 ContinueAsNew 루프나 동일 이벤트 이름을 반복 대기하는 패턴에 직접 영향을 줍니다. 이런 패턴은 에이전트형 워크플로우에서 흔히 쓰입니다. 리마인더 누수는 워크플로우 수명 동안 계속 쌓이고, ContinueAsNew 교착 상태는 타임아웃 없이 영구 중단을 유발합니다. 루프 워크플로우가 RUNNING에서 멈추거나 이유 없이 깨어나는 현상이 관측된다면 1.18.1로 업그레이드하세요.

  • enhancement워크플로우 사이드카의 설정 핫 리로드가 이제 정상 동작합니다

    이 수정 이전에는 워크플로우 워커를 호스팅하는 사이드카에서 SIGHUP으로 설정 리로드를 수행하면 사이드카가 영구적으로 망가질 수 있었습니다 — 포트 50001이 연결을 거부하고 파드를 재시작하는 것 외에 복구 방법이 없었습니다. 워크플로우를 호스팅하는 배포에서 설정 핫 리로드를 사용한다면 1.18.1 업그레이드를 필수로 처리하세요.

주요 변경 (5)
  • 동일한 외부 이벤트 이름을 루프에서 반복 대기할 때 타이머 리마인더가 누수되던 문제 수정
  • 설정 핫 리로드(SIGHUP) 시 워크플로우 사이드카가 영구적으로 불능 상태에 빠지던 문제 수정 — 스트리밍 워커가 종료 시 정상적으로 닫힘
  • 실제 변경이 없는 Kubernetes 오퍼레이터 리싱크 이벤트에 사이드카가 불필요하게 재시작하던 문제 수정
  • ContinueAsNew 경계를 넘어 완료된 차일드 워크플로우 때문에 부모 워크플로우가 RUNNING 상태로 영구 중단되던 문제 수정
  • Helm 차트의 Configuration CRD에 v1.18.0에서 추가된 워크플로우/액티비티 동시성 제한 필드 누락 수정
원문

Linkerd

Networking & Messaging2026년 6월 16일

Linkerd edge-26.6.2는 정책 및 프로필 검증 버그를 고치고, 외부 워크로드에 네임스페이스 제한을 강화하며, Envoy 프록시 v2.357.0으로 업그레이드합니다.

  • security프로필 검증이 이제 nil 설정 거부

    프로필 검증의 nil 체크는 잘못된 설정으로 인한 크래시 경로를 닫습니다. 즉시 조치는 필요 없지만, 프로필을 프로그래밍 방식으로 생성한다면 적용 전에 항상 유효한 구조임을 확인하세요.

  • breaking네임스페이스 제한 외부 워크로드가 라우팅에 영향

    외부 워크로드와 엔드포인트가 이제 네임스페이스 경계를 준수합니다. Linkerd 설정에서 외부 워크로드 간 네임스페이스 호출을 하고 있다면, 업그레이드 후 라우팅이 정상 작동하는지 확인하세요. 기존 크로스 네임스페이스 접근에 의존하는 정책을 수정하세요.

  • enhancement통합 failure accrual로 로드 밸런싱 세부 조정

    통합 failure accrual 및 response-penalty 로드 biasing으로 프록시가 느리거나 실패한 엔드포인트를 처리하는 방식을 더 세밀하게 제어할 수 있습니다. 먼저 카나리 네임스페이스에서 테스트한 후 failure 임계값과 penalty 가중치를 SLO에 맞게 조정하세요. Linkerd 문서에서 새 정책 옵션을 확인하세요.

주요 변경 (5)
  • 정책 검증: 부적절한 AuthN 정책 체크 제거; 아웃바운드 인덱스 규칙 오타 수정.
  • 프로필 검증: nil 체크 추가로 검증 중 크래시 방지.
  • 네임스페이스 격리: 외부 워크로드와 엔드포인트가 네임스페이스 경계 준수하여 크로스 네임스페이스 누출 방지.
  • 로드 밸런싱: 정책 엔진에서 통합 failure accrual 및 response-penalty biasing 구현.
  • 프록시 업그레이드: Envoy v2.357.0, Go 1.25.11 빌드 사용.
원문

Dapr

Orchestration & Management2026년 6월 16일

Dapr 1.17.10은 pubsub publish 작업에서 resiliency retry policy의 `matching` 규칙이 무시되던 버그를 수정합니다. pubsub와 resiliency retry를 함께 사용 중이면 업그레이드해 의도한 재시도 동작을 강제하세요.

  • breakingPubsub publish 오류의 재시도 동작 변경

    pubsub outbound retry 대상으로 `matching` 규칙이 있는 resiliency policy를 설정했다면, publish 오류가 올바르게 분류되어 terminal 오류(예: 401 Unauthorized, 404 Not Found)는 더 이상 maxRetries를 소진하지 않고 즉시 멈춥니다. resiliency 정책 설정을 검토하세요. 기존 동작(항상 publish 재시도)에 의존했다면 retry policy를 조정하거나 `matching` 제약을 제거하세요.

  • enhancementPubsub에 resiliency policy 의도 강제 적용

    pubsub publish 대상으로 명시적인 `matching` 코드를 가진 resiliency policy를 설정했다면 1.17.10으로 업그레이드하세요. 정책이 의도한 대로 작동합니다. Service invocation, output binding 등 다른 작업과 같은 수준으로 pubsub publish가 retry `matching`을 존중하게 됩니다. 코드 변경은 불필요하며 투명한 수정입니다.

주요 변경 (3)
  • Pubsub Publish와 BulkPublish 작업에서 resiliency retry `matching` (httpStatusCodes/gRPCStatusCodes)이 이제 적용됨
  • Publish 오류가 gRPC status를 포함하면 resiliency.CodeError로 감싸져 다른 policy runner와 같은 동작 수행
  • Terminal pubsub 오류(유효하지 않은 topic, 권한 거부)가 maxRetries를 모두 소진하지 않고 즉시 실패하도록 변경
원문

Dapr

Orchestration & Management2026년 6월 16일

Dapr 1.16.16은 1.18→1.16 다운그레이드 후 발생하는 Sentry 인증서 서명 실패와 Helm StatefulSet 스토리지 충돌 두 가지 버그를 수정합니다.

  • breaking1.16.16으로 다운그레이드할 때 Helm 플래그를 반드시 확인하세요

    helm upgrade 시 --reset-values를 사용하고 원래 설치 때 넣었던 값을 명시적으로 다시 전달하세요. --reuse-values는 절대 사용하지 마세요. 1.17/1.18 차트의 computed default가 그대로 넘어오는데, 특히 placement의 disseminateTimeout=8s가 1.16 바이너리에서 허용 범위(1s~3s)를 벗어나 시작 시 실패합니다. 스케줄러 StatefulSet을 미리 삭제하지 않은 경우, --set dapr_scheduler.cluster.storageSize=<현재 값>을 추가하거나 --cascade=orphan으로 StatefulSet을 삭제한 뒤 진행하세요.

  • breaking1.18에서 1.16으로 롤백한 클러스터는 Sentry 크래시를 겪고 있을 가능성이 높습니다

    Dapr 1.18에서 1.16.x 초기 버전으로 롤백했다면, trust bundle의 Ed25519 키와 ECDSA CSR 타입 불일치로 Sentry가 시작 시 크래시되고 있을 겁니다. 1.16.16으로 업그레이드하면 해결되며, 인증서를 수동으로 교체할 필요는 없습니다.

주요 변경 (4)
  • 신뢰 번들이 신버전(Ed25519)으로 생성된 경우에도 Sentry가 ECDSA CSR을 정상적으로 서명하도록 수정
  • 인증서 템플릿에서 CSR의 SignatureAlgorithm을 복사하던 로직 제거 — 이제 Go x509 라이브러리가 발급자 키에서 알고리즘을 자동 추론
  • Helm 차트에 storageSize 템플릿 헬퍼를 백포팅하여, 다운그레이드 시 실제 StatefulSet 값을 읽어 immutable 필드 충돌 방지
  • 신규 설치는 기존과 동일하게 .Values.cluster.storageSize(기본 1Gi)로 폴백
원문

KServe

AI & ML2026년 6월 14일

KServe v0.19.0은 LLMInferenceService의 관측 가능성, 오토스케일링, 라우팅 기능을 크게 강화한 릴리스입니다. CVE 패치 2건도 포함됩니다.

  • securityCVE 두 건, 업그레이드 전 반드시 확인

    v0.19.0은 vLLM/Pillow CVE와 CVE-2026-21226(azure-core)을 수정합니다. vLLM 런타임이나 azure-core 의존성이 있는 환경이라면 v0.19.0으로 업그레이드하거나, 당장 업그레이드가 어렵다면 azure-core>=1.38.0을 수동으로 고정하세요. 커스텀 서버 이미지에 포함된 Pillow 버전도 확인하세요.

  • breaking라우터 splitter off-by-one 수정으로 트래픽 분배 비율 변경

    pickupRoute의 난수 범위 계산에 off-by-one 오류가 있었고 이번에 수정됐습니다. 업그레이드 후 splitter 가중치가 올바르게 계산되므로, 기존 버그에 맞춰 가중치를 조정해두었다면 실제 트래픽 분배가 달라질 수 있습니다. 운영 환경 적용 전에 스테이징에서 분할 설정을 검증하세요.

  • enhancementLLMISvc 오토스케일링 상태 모니터링 연동 권장

    HPA/KEDA 스케일링 조건이 LLMISvc status에 노출되고, 준비 상태 전환 시 k8s 이벤트가 발생합니다. LLMInferenceService를 운영 중이라면 이 조건들을 모니터링 대시보드와 알람에 추가하세요. kserve-install.sh의 --scaling 플래그를 쓰면 신규 설치 시 오토스케일링 설정이 간단해집니다.

주요 변경 (7)
  • CVE 패치: vLLM/Pillow 취약점 수정, azure-core>=1.38.0 고정으로 CVE-2026-21226 대응
  • LLMISvc에 HPA/KEDA 스케일링 상태를 서비스 조건으로 노출, kserve-install.sh에 --scaling 플래그 추가
  • LLMISvc 관측 가능성 강화: 준비 상태 전환 시 k8s 이벤트 발생, 라우팅 토폴로지와 워크로드 참조를 status에 기록
  • InferenceService Standard 모드에 REST/gRPC 이중 프로토콜 라우팅 추가
  • 라우터 splitter의 pickupRoute 범위 계산 off-by-one 버그 수정 — 트래픽 분할 정확도에 직접 영향
  • LLMInferenceService에 LocalModelCache 지원 추가, PVC 접근 문제 해결을 위한 NodeSelector 수정
  • llm-d v0.6 컴포넌트 업그레이드를 위한 마이그레이션 로직 추가
원문
이전 →