Istio
1.28.9Networking & MessagingIstio 1.28.9는 ISTIO-SECURITY-2026-005 권고 아래 Envoy CVE 14건을 묶어 수정한 보안 릴리스로, 최고 심각도 HIGH 항목은 HTTP/3 DoS, 압축 해제 메모리 고갈, JSON 파싱 depth 제한입니다.
securityEnvoy CVE 14건 일괄 수정, 최고 심각도 HIGH
ISTIO-SECURITY-2026-005 권고에 Envoy CVE 14건이 포함되어 있으며 최고 심각도는 HIGH입니다. 대상 CVE는 GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS), CVE-2026-48044(Zstd 메모리 고갈), CVE-2026-48042(JSON 파싱 depth), CVE-2026-48743(HTTP/3 content-length 검증)입니다. 해당 버전을 사용 중이면 1.28.9로 업그레이드하세요.
securityext_authz use-after-free (조건부)
CVE-2026-47205는 라우트별 서비스 오버라이드가 활성화된 상태에서 다운스트림 연결이 인가 확인 도중 리셋될 때 ext_authz 필터에서 use-after-free 크래시를 유발합니다. 해당 설정을 쓰는 경우 우선 검토하세요.
breakingJSON nesting depth 제한 도입
CVE-2026-48042로 JSON 파서의 nesting depth 기본값이 1000으로 제한됩니다. 더 깊은 nesting이 필요하면 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 10K까지 완화할 수 있으나, 이는 원래의 DoS 취약점을 다시 열 수 있습니다.
주요 변경 (8)
- ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건 수정, 최고 심각도 HIGH
- HIGH: HTTP/3 QPACK blocked decoding으로 인한 DoS (GHSA-p7c7-7c47-pwch)
- HIGH: MaxInflateRatio 검사 지연으로 인한 Zstd 압축 해제 메모리 고갈 (CVE-2026-48044)
- HIGH: JSON 파서 nesting depth 기본 1000으로 제한, envoy.reloadable_features.limit_json_parser_nesting_depth로 조정 가능 (CVE-2026-48042)
- HIGH: HTTP/3 headers-only content-length 검증 수정, envoy.reloadable_features.quic_validate_headers_only_content_length로 제어 (CVE-2026-48743)
- MEDIUM 다수: 연결 리셋 시 ext_authz use-after-free, direct response 라우트에서 gRPC stats 필터 크래시, NUL 바이트 포함 SAN 검증 우회, OAuth2 필터 AES-256-CBC 쿠키 복호화 패딩 오라클(AES-256-GCM 지원 추가)
- 추가 MEDIUM 수정: TLV 길이 불일치, ext_proc 예상치 못한 응답 처리, HTTP 303 내부 리다이렉트 문제, DNS 쿼리 이름 길이 검사, TcpStatsdSink 버퍼 오버플로, 필터 해제 후 토큰 콜백 호출
- 보안 패치와 함께 안정성 개선을 위한 일반 버그 수정도 포함