Dapr
v1.17.5Orchestration & Management2026년 4월 17일
v1.17.5는 인코딩된 URL 문자를 이용한 경로 순회 공격으로 서비스 호출 ACL 정책을 우회할 수 있던 보안 취약점을 수정한 패치입니다.
security서비스 호출 ACL 사용 중이라면 즉시 업그레이드
서비스 호출에 접근 제어 정책을 쓰는 모든 배포 환경이 영향을 받습니다. Dapr API(HTTP·gRPC)에 접근할 수 있는 공격자가 경로를 인코딩하는 것만으로 차단된 엔드포인트에 도달할 수 있었습니다. gRPC는 메서드 문자열을 raw로 전달하기 때문에 특히 위험했습니다. 별도의 완화 방법은 없으며, v1.17.5로 즉시 업그레이드하세요. 업그레이드 후에는 ACL 정책을 검토해 의도한 경로가 실제로 적용되는지 확인하세요.
breaking#, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨
이번 수정으로 #, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 호출 진입점에서 즉시 거부됩니다. gRPC에서 이런 문자를 메서드 경로에 사용하는 서비스가 있다면(드물지만 가능) 업그레이드 후 해당 호출이 실패합니다. 운영 환경 적용 전에 스테이징에서 서비스 호출 경로를 반드시 테스트하세요.
주요 변경 (5)
- 서비스 호출 메서드 경로의 경로 순회 시퀀스(%2F, ../ 등)로 ACL 우회 가능 — 수정됨
- 인코딩된 프래그먼트(%23)·쿼리(%3F) 문자로 ACL이 실제 앱에 전달된 경로와 다른 경로를 평가하는 문제 수정
- 단독 % 문자로 ACL 정규화 크래시 유발 → 정책 전체 우회 가능성 존재했음
- gRPC는 메서드 문자열을 클라이언트 측 정제 없이 raw로 전달해 더 위험한 공격 경로였음
- 수정: path.Clean을 호출 진입점에서 적용, purell 의존성 ACL 경로에서 제거