Contour
v1.33.4Networking & Messagingv1.33.4는 Cookie Rewriting 기능의 Lua 코드 인젝션 취약점(CVE-2026-41246)을 수정한 보안 패치입니다. Envoy 1.35.0 이상이 필수 요건이므로 즉시 업그레이드해야 합니다.
securityCVE-2026-41246 즉시 패치 — 공유 Envoy 환경에서 임의 코드 실행 위험
HTTPProxy 리소스를 생성하거나 수정할 수 있는 RBAC 권한이 있다면, pathRewrite 값을 조작해 Envoy 안에서 임의 Lua 코드를 실행할 수 있습니다. Envoy가 여러 테넌트 사이에서 공유되는 환경에서는 xDS 클라이언트 인증 정보 탈취나 서비스 거부 공격으로 이어질 수 있어 파급 범위가 넓습니다. Contour를 v1.33.4로 업그레이드하고, 배포 전에 Envoy 버전이 1.35.0 이상인지 반드시 확인하세요. 심층 방어 차원에서 HTTPProxy 쓰기 권한도 신뢰할 수 있는 주체로만 제한하도록 RBAC 정책을 점검하는 게 좋습니다.
breakingEnvoy 1.35.0 필수 요건 — 업그레이드 전 버전 확인 필수
새로운 filterContext 기반 Lua 방식 때문에 Envoy 1.35.0 미만 버전에서는 정상 동작하지 않습니다. Envoy 이미지를 직접 관리하거나 버전을 고정해 사용한다면 Contour 업그레이드 전에 Envoy를 먼저 올려야 합니다. 공식 매니페스트를 그대로 사용한다면 번들 Envoy가 이미 v1.35.10이라 별도 조치는 불필요하지만, 커스텀 환경이나 에어갭 환경은 별도로 확인해야 합니다.
enhancement업그레이드 여부와 관계없이 HTTPProxy RBAC 점검 권장
취약점 패치 후에도 근본적인 공격 경로는 HTTPProxy 리소스에 대한 넓은 쓰기 권한입니다. HTTPProxy 생성/수정 권한은 애플리케이션 개발자가 아닌 플랫폼 운영자 수준으로 좁히는 방향이 바람직합니다. 멀티 테넌트 환경일수록 이런 권한 분리가 장기적으로 더 효과적인 통제 수단이 됩니다.
주요 변경 (4)
- CVE-2026-41246 수정: cookieRewritePolicies pathRewrite 값을 통한 Lua 코드 인젝션으로 Envoy 내 임의 코드 실행 가능
- Cookie Rewriting 구현 방식 변경: text/template 기반 Lua 코드 생성 방식 제거, 정적 Lua 스크립트 + filterContext 구조 데이터 방식으로 전환
- Envoy 1.35.0 이상이 이번 릴리스의 하드 최소 요건으로 지정됨
- 번들 Envoy 버전이 v1.35.10으로 업데이트됨