Envoy
v1.38.3Networking & MessagingEnvoy v1.38.3은 보안 전용 릴리스로, 15개 CVE와 상위 의존성 wasmtime의 CVE 1건을 수정합니다. 그 중 TLS SAN NUL 바이트 인증 우회(CVE-2026-47778)와 HTTP/3→HTTP/1 요청 스머글링(CVE-2026-48743) 두 건이 Critical로, 나머지 13건은 크래시·DoS·힙 오버플로·데이터 유출 등을 포함하는 High 등급입니다.
securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)
CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 포함되면 비교 시 문자열이 잘려 인증서 기반 인증을 우회할 수 있습니다. 조건 없이 v1.38.3으로 업그레이드해야 합니다.
securityCRITICAL: HTTP/3 → HTTP/1 요청 스머글링 (CVE-2026-48743)
CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청이 HTTP/1 백엔드로 스머글링될 수 있습니다. HTTP/3을 HTTP/1로 프록시하는 배포 환경은 모두 영향을 받으며, v1.38.3으로 업그레이드해야 합니다.
securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692)
CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 "skipped" TLV를 그대로 내보내 공격자가 제어하는 데이터 최대 65 KB가 업스트림 애플리케이션 스트림으로 유입됩니다. v1.38.3으로 업그레이드해야 합니다.
breakingIntel DLB 연결 밸런서 확장 제거됨
컨트리뷰션 확장 envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서)가 소스 아카이브 손상으로 v1.38.3에서 Bazel 빌드 레이어 전체에서 비활성화됐습니다. 이 확장에 의존하던 배포 환경은 다른 연결 밸런서로 전환해야 합니다.
breakingTLS 인증서 Brotli 압축 기본값 비활성화로 변경
런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli가 기본값 비활성화로 변경됐습니다. 비활성화 상태에서는 QUIC이 zlib 전용 인증서 압축을 사용하고, TCP TLS는 인증서 압축을 수행하지 않습니다. Brotli 압축에 의존하던 경우 업그레이드 후 해당 플래그를 명시적으로 다시 활성화해야 합니다.
주요 변경 (8)
- CRITICAL: TLS SAN NUL 바이트 잘림으로 인증서 인증 우회 가능 (CVE-2026-47778, 전체 15개 CVE 중 최고 심각도)
- CRITICAL: Content-Length가 있는 헤더 전용 HTTP/3 요청을 통한 HTTP/1 요청 스머글링 (CVE-2026-48743)
- HIGH: PROXY Protocol v2가 업스트림 스트림으로 최대 65 KB 유출 (CVE-2026-47692); OAuth2 PKCE 패딩 오라클 (CVE-2026-47775) 및 스트림 종료 후 비동기 토큰 완료 시 UAF/크래시 (CVE-2026-48090)
- HIGH: authz 퍼-라우트 (CVE-2026-47205), 라우터 내부 리다이렉트 (CVE-2026-47221), REQUESTED_SERVER_NAME (CVE-2026-47220), Connect→direct_response의 grpc_stats 필터 (CVE-2026-47204), ext_proc 단일 gRPC 메시지 응답 (CVE-2026-47207)에서 크래시 수정
- HIGH: zstd RLE 집 밤 DoS (CVE-2026-48044), JSON 깊은 중첩 소멸자 스택 오버플로 (CVE-2026-48042), DNS UDP 필터 비정상 종료 (CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로 (CVE-2026-48706), HTTP/3 QPACK 블록 디코딩 DoS (GHSA-p7c7-7c47-pwch)
- CVE-2026-47261 해결을 위해 wasmtime 의존성 업그레이드 (중간 심각도)
- 소스 아카이브 손상으로 Intel DLB 컨트리뷰션 확장(envoy.network.connection_balance.dlb) 전체 빌드에서 비활성화
- 런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli 기본값이 비활성화로 변경됨 — TCP TLS 인증서 압축이 중단되고 QUIC은 zlib 전용으로 복귀