RATATOSKRATATOSK
로그인

Envoy

v1.35.11Networking & Messaging
2026년 6월 4일

v1.35.11은 HTTP/2 CVE 2건과 oauth2 취약점 2건을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 사용 중이라면 즉시 업그레이드하세요.

  • securityHTTP/2 HPACK 쿠키-봄 취약점 즉시 패치 필요

    CVE-2026-47774는 공격자가 HPACK으로 압축된 대량의 쿠키를 담은 요청을 보내 메모리를 과도하게 소모시키는 공격입니다. 이번 수정으로 위반 스트림은 즉시 리셋되고, 쿠키도 기존 헤더 크기 제한에 포함됩니다. HTTP/2 트래픽을 처리하는 모든 Envoy 인스턴스에 패치를 배포하세요. 쿠키가 많은 워크로드에서 회귀 문제가 발생하면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 일시적으로 되돌릴 수 있지만, 이는 임시방편이므로 근본적인 해결책을 병행하세요.

  • securityoauth2 필터 사용 중이라면 두 가지 버그 모두 해당

    이번 릴리스에서 oauth2 관련 독립적인 두 문제를 수정했습니다. 하나는 HMAC 검증의 타이밍 차이를 이용해 시크릿 유효성을 추론할 수 있는 사이드채널 문제이고, 다른 하나는 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 잘못 성공하며 크래시를 일으키는 버그입니다. Envoy의 내장 oauth2 필터로 토큰 검증을 수행 중이라면 즉시 업그레이드해야 합니다.

  • enhancement메트릭 수가 많은 환경에서 stats eviction 도입 검토

    새로 추가된 `stats_eviction_interval` 설정으로 Envoy가 미사용 메트릭을 주기적으로 메모리에서 제거합니다. 요청별·사용자별 동적 레이블 등 고카디널리티 메트릭을 다루는 환경이라면 메모리 절감 효과를 기대할 수 있습니다. 다만 eviction은 해당 인터페이스를 구현한 extension에만 적용되므로, 스테이징에서 먼저 동작을 확인한 뒤 적용하는 편이 안전합니다.

주요 변경 (5)

  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 크기 위반 시 리셋되며, 압축 해제된 쿠키가 헤더 제한에 포함되어 HPACK 쿠키-봄 공격 차단
  • CVE-2026-27135: nghttp2 업스트림 패치 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 취약점 수정 — 반복 프로빙으로 시크릿 유효성 추론 가능했던 문제
  • oauth2: 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 성공하며 어서션 크래시를 유발하던 버그 수정
  • Stats: 미사용 메트릭을 주기적으로 메모리에서 제거하는 eviction 기능 추가 (`stats_eviction_interval` 설정)