Envoy
v1.37.3Networking & Messagingv1.37.3은 HTTP/2 CVE 2건과 oauth2 취약점을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 사용 중이라면 즉시 업그레이드해야 합니다.
securityHTTP/2 운영 환경은 즉시 패치하세요
이번 릴리스에서 HTTP/2 관련 CVE 두 건이 수정됩니다. CVE-2026-47774는 대량의 쿠키를 전송해 헤더 크기 제한을 우회하고 메모리를 과도하게 소비시키는 쿠키-봄 공격을 허용하는 취약점이고, CVE-2026-27135는 nghttp2 라이브러리 수준의 취약점입니다. HTTP/2 트래픽을 처리하는 환경이라면 v1.37.3으로 즉시 업그레이드하세요. 새로운 쿠키 계산 방식은 기본 활성화되며, 문제가 발생하면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 임시 비활성화할 수 있지만 영구적인 해결책으로 쓰면 안 됩니다.
security업그레이드 후 oauth2 HMAC 시크릿을 교체하세요
HMAC 검증의 타이밍 사이드채널을 통해 공격자가 특정 시크릿의 유효 여부를 탐색했을 가능성이 있습니다. 특히 인터넷에 노출된 환경이라면 업그레이드 후 oauth2 HMAC 시크릿을 교체하는 것이 좋습니다. AES-CBC 크래시 수정도 단순한 안정성 문제가 아닙니다. 1/256 확률의 오복호화는 예측 불가능한 인증 동작으로 이어질 수 있었습니다.
breaking쿠키가 많은 요청은 HTTP/2 스트림 리셋이 발생할 수 있습니다
CVE-2026-47774 수정으로 인해 쿠키가 `mutable_max_request_headers_kb` 및 `max_headers_count` 제한에 포함됩니다. 이전에는 통과되던 쿠키 다수 포함 요청이 제한에 걸려 스트림 리셋으로 거부될 수 있습니다. 프로덕션 배포 전에 스테이징에서 쿠키가 많은 트래픽 패턴을 테스트하고, 현재 설정된 헤더 크기 제한이 실제 워크로드에 적합한지 검토하세요.
주요 변경 (5)
- CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기를 초과하면 리셋되도록 변경, 비압축 쿠키도 헤더 제한에 포함해 HPACK 쿠키-봄 공격 차단
- CVE-2026-27135: nghttp2 상위 취약점 패치 적용
- oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 비밀키 유효 여부가 노출될 수 있었던 문제
- oauth2: AES-CBC 복호화 크래시 수정 — 시크릿 불일치 상황에서 약 1/256 확률로 복호화가 잘못 성공해 내부 어서션이 실패하던 버그
- load_report: ADS 스트림 종료 시 레이스 컨디션을 gRPC 스트림 정리 로직 추가로 해결