RATATOSKRATATOSK
로그인

Envoy

v1.36.9Networking & Messaging
2026년 6월 24일

Envoy v1.36.9는 보안 패치만 포함된 릴리스로, TLS SAN 처리, HTTP/3, PROXY 프로토콜, JSON 파싱, OAuth2, ext_proc, grpc_stats, zstd, DNS, statsd에 걸쳐 15개 CVE(2개 critical, 나머지 high/medium)를 수정합니다. TLS SAN 인증 우회와 HTTP/3 요청 스머글링은 광범위하게 악용될 수 있으므로 즉시 업그레이드해야 합니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778 / GHSA-f8x4-rw5x-f3r7)

    TLS SAN에 NUL 바이트가 포함된 경우 SAN이 잘려 인증서 기반 인증 검사를 우회할 수 있습니다. 모든 배포에 영향을 미치므로 즉시 v1.36.9로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3-to-HTTP/1 요청 스머글링 (CVE-2026-48743 / GHSA-8phg-2h2q-jgxf)

    nonzero Content-Length를 가진 headers-only HTTP/3 요청이 HTTP/1 백엔드로 밀수될 수 있습니다. HTTP/3를 HTTP/1 백엔드로 프록시하는 환경에 영향을 줍니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692 / GHSA-wh36-hm39-mm3r)

    PROXY Protocol v2 헤더 생성기가 TLV를 잘못 방출해 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림으로 흘러들어갑니다. PROXY Protocol v2 헤더 생성기를 사용하는 환경에 해당합니다.

  • securityHIGH: 깊은 중첩 JSON으로 인한 스택 오버플로 (CVE-2026-48042 / GHSA-f24p-rxw2-g6pv)

    중첩 깊이가 매우 큰 JSON 입력이 들어오면 객체 소멸자에서 스택 오버플로가 발생해 프록시가 크래시됩니다. 모든 배포에 영향을 줍니다.

  • securityHIGH: wasmtime 의존성 CVE (CVE-2026-47261)

    CVE-2026-47261 해결을 위해 wasmtime 의존성이 업데이트되었습니다. Wasm 확장을 사용하는 모든 배포에 적용됩니다.

  • breakingDLB 커넥션 밸런서 확장 비활성화 (기능 제거)

    contrib Intel DLB 커넥션 밸런서 확장(envoy.network.connection_balance.dlb)이 소스 아카이브 문제로 인해 모든 플랫폼의 Bazel 빌드에서 비활성화되었습니다. 이 확장을 사용하던 빌드는 조용히 기능을 잃게 됩니다.

주요 변경 (8)

  • CRITICAL (2개): TLS SAN NUL 바이트 잘림으로 인한 인증 우회(CVE-2026-47778)와, headers-only HTTP/3 요청의 nonzero Content-Length를 이용한 HTTP/1 백엔드 요청 스머글링(CVE-2026-48743).
  • HIGH: PROXY Protocol v2 헤더 생성기가 skipped TLV를 잘못 방출해 공격자 제어 데이터 최대 65 KB가 업스트림 스트림으로 유출(CVE-2026-47692).
  • HIGH: 깊은 중첩 JSON 소멸자에서 스택 오버플로 발생, 전 배포 영향(CVE-2026-48042).
  • HIGH: 여러 필터의 크래시 및 보안 문제 수정 -- ext_proc 단일 gRPC 메시지 응답(CVE-2026-47207), grpc_stats가 direct_response 라우트에 Connect 프로토콜 요청 시 세그폴트(CVE-2026-47204), authz 퍼 라우트 크래시(CVE-2026-47205), 라우터 내부 리다이렉트 크래시(CVE-2026-47221).
  • HIGH: OAuth2 필터 두 가지 수정 -- PKCE 코드 검증자 패딩 오라클(CVE-2026-47775)과 스트림 해제 후 지연된 비동기 토큰 완료로 인한 UAF 위험(CVE-2026-48090).
  • HIGH: zstd RLE zip-bomb 압축 증폭(CVE-2026-48044), DNS UDP 필터 비정상 종료(CVE-2026-48497), HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706).
  • CVE-2026-47261 해결을 위한 wasmtime 의존성 업데이트(HIGH, 모든 배포 적용).
  • 소스 아카이브 문제로 contrib envoy.network.connection_balance.dlb(Intel DLB) 확장이 모든 빌드에서 비활성화.