Istio
1.28.8Networking & MessagingIstio 1.28.8은 Envoy HTTP/2 메모리 고갈 취약점(CVSS 7.5)을 패치하고, TLS 인증서 전달 오류, 라우트 필터 상태 미보고, ambient 모드 헬스 정책 오염 버그를 수정합니다.
securityHTTP/2 엔드포인트 노출 중이라면 즉시 CVE-2026-47774 패치 적용
인증 없이도 조작된 HTTP/2 요청만으로 Envoy 프로세스 메모리를 고갈시킬 수 있습니다. 쿠키 헤더 바이트가 크기 검증에서 누락되고, HPACK 제한이 인코딩 크기에만 적용되어 디코딩 후 실제 크기를 제어하지 못하는 구조적 결함입니다. 외부 트래픽이나 신뢰할 수 없는 HTTP/2 트래픽을 받는 클러스터는 지금 바로 1.28.8로 업그레이드하세요. 즉시 업그레이드가 어렵다면 Envoy 요청 헤더 크기 제한 설정이나 WAF 규칙으로 임시 대응하세요.
breakingambient 모드에서 publishNotReadyAddresses + 존 기반 트래픽 분산 조합 즉시 점검 필요
ambient 모드에서 publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode를 함께 쓰는 서비스가 있다면, 해당 트래픽 분산 프리셋을 공유하는 모든 서비스의 ztunnel 헬스 정책이 AllowAll로 오염되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 후 영향받은 서비스의 엔드포인트 헬스 동작을 재확인하고, 문제가 활성화된 기간 동안 비정상 파드로 트래픽이 유입됐는지 점검하세요.
enhancement라우트 필터 묵살 버그 수정으로 설정 디버깅 신뢰성 향상
기존에는 HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 아무 오류 없이 사라져 트래픽 동작 이상의 원인을 찾기가 매우 어려웠습니다. 이제 invalid filter status가 Gateway API 리소스 상태에 명시적으로 표시됩니다. 업그레이드 후 과거 감으로 디버깅했던 라우트 설정을 재검토하면 헤더 필터 거부 여부를 바로 확인할 수 있습니다.
주요 변경 (4)
- CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 유발 가능 — 쿠키 헤더 크기 미산정 및 HPACK 디코딩 크기 제한 부재가 원인
- ListenerSet + 수동 Gateway 배포 조합에서 HTTPS 리스너가 TLS 인증서를 전달하지 못하던 문제 수정
- HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 조용히 삭제되던 문제 수정 — 이제 invalid filter status로 명시적 보고
- ambient 모드에서 publishNotReadyAddresses:true + PreferSameZone/PreferSameNode 조합이 동일 트래픽 분산 프리셋을 공유하는 전체 서비스의 헬스 정책을 오염시키던 심각한 버그 수정