Cilium
v1.17.14Networking & MessagingCilium v1.17.14는 Envoy 어드민 소켓 권한 문제(보안)와 L7 LB 정책 우회 버그 2건을 수정했습니다. L7 LB나 Envoy를 사용 중이라면 즉시 업그레이드하세요.
securityEnvoy 어드민 소켓 권한 노출 — 즉시 업그레이드 필요
Envoy 어드민 소켓이 world-accessible 권한으로 생성되어 노드 내 모든 프로세스가 소켓에 접근할 수 있었습니다. 멀티테넌트나 공유 노드 환경에서는 로컬 권한 상승 위험이 됩니다. 외부 파일시스템 접근 제어 외에는 별도 우회책이 없으므로 v1.17.14로 즉시 업그레이드하고, 기존 노드에서 소켓이 실제로 접근 가능한 상태였는지 확인하세요.
securityL7 LB에서 인그레스 정책 우회 가능 — 정책 적용 여부 재확인 필요
L7 로드밸런싱 활성화 상태에서 로컬 백엔드에 대한 인그레스 정책이 제대로 적용되지 않았습니다. L7 LB를 통해 이스트-웨스트 트래픽을 제어하던 환경이라면 정책이 실제로 동작하지 않았을 가능성이 있습니다. 업그레이드 후 로컬 엔드포인트가 있는 서비스의 인그레스 정책 동작을 반드시 검증하세요.
enhancementbugtool에 BPF 파일시스템 정보 포함 — 장애 대응 절차 업데이트
bugtool이 이제 /sys/fs/bpf 경로 정보를 자동으로 수집합니다. BPF 맵이나 프로그램 문제를 진단할 때 가장 먼저 확인하는 정보가 기본으로 포함되는 셈입니다. 별도 조치는 불필요하지만, v1.17.14 이상에서는 bugtool 실행만으로 이 데이터를 얻을 수 있으므로 장애 대응 런북에서 SSH 수동 확인 단계를 제거해도 됩니다.
주요 변경 (5)
- Envoy 어드민 소켓이 world-accessible(0777)로 생성되던 보안 버그 수정
- 브리지 디바이스의 L7 LB에서 hairpin redirect가 올바르게 동작하도록 수정
- L7 LB를 통한 로컬 백엔드 인그레스 정책 우회 가능성 패치
- 베이스 이미지 v1.25.8 업데이트, cilium-envoy v1.35.9 다수 패치 빌드 반영
- bugtool 출력에 /sys/fs/bpf 경로 정보 포함 — 디버깅 편의성 향상