etcd
v3.5.32Kubernetes Core2026년 7월 2일
etcd v3.5.32는 --listen-client-http-urls를 설정했을 때 gRPC 리스너에서 CRL 검증이 우회되던 HIGH 등급 취약점(GHSA-3wh4-j44w-pg92)을 수정한 보안 릴리스입니다. v2-deprecation 우회 옵션 추가와 버그 수정도 함께 포함되었습니다.
securitygRPC 리스너의 CRL 검증 우회 취약점 (GHSA-3wh4-j44w-pg92)
--listen-client-http-urls 플래그를 설정한 경우 gRPC 리스너에서 CRL 검증이 작동하지 않아 폐기된 인증서가 허용되었습니다. 해당 플래그와 mTLS, CRL을 함께 사용 중이라면 v3.5.32로 업그레이드하세요.
주요 변경 (6)
- 보안(HIGH): --listen-client-http-urls 설정 시 gRPC 리스너에서 CRL 검증이 우회되던 문제 수정 (GHSA-3wh4-j44w-pg92)
- --v2-deprecation 플래그에 write-only-skip-check 옵션 추가로 v2 콘텐츠 검사 우회 가능
- 서버가 비관리자의 유지보수 상태 요청을 허용하도록 변경
- etcdutl check v2store 명령이 v2 스냅샷과 WAL 레코드를 모두 검사하도록 개선
- bearer 형식 토큰을 사용한 WebSocket 인증 버그 수정
- 토큰 파싱 실패 시 JWT 토큰 내용이 로그에 남지 않도록 처리