RATATOSKRATATOSK
로그인

Istio

1.29.3Networking & Messaging
2026년 5월 19일

Istio 1.29.3은 AuthorizationPolicy 우회 취약점과 XDS 네임스페이스 간 설정 노출 문제 등 두 건의 보안 패치를 포함하며, 멀티클러스터 데드락과 AWS EKS 환경 문제도 수정했습니다.

  • security접미사 매칭 사용 중인 AuthorizationPolicy 즉시 점검 및 업그레이드 필요

    source.principals와 source.namespaces 필드에 포함된 점(.), 대괄호([) 등 정규식 메타문자가 Envoy SafeRegex에 이스케이핑 없이 삽입됐습니다. 예를 들어 'spiffe://cluster.local/ns/foo/sa/bar.admin'을 허용하는 정책이 'spiffe://cluster.local/ns/foo/sa/barXadmin' 같은 의도치 않은 identity까지 허용할 수 있었습니다. 와일드카드(*) 접두사를 사용하는 principals 규칙을 모두 점검하고, 1.29.3으로 즉시 업그레이드하세요.

  • securityXDS 디버그 엔드포인트 접근 이력 감사 필요

    StatusGen이 서빙하는 /debug/syncz와 /debug/config_dump 엔드포인트에 네임스페이스 경계 검증이 없었습니다. 네임스페이스 A의 워크로드가 네임스페이스 B의 Envoy 설정 전체를 열람할 수 있었던 셈입니다. 멀티테넌트 클러스터를 운영 중이라면 API 서버 감사 로그에서 해당 엔드포인트 접근 이력을 확인하고, 1.29.3으로 즉시 업그레이드하세요.

  • breaking멀티클러스터 운영 시 업그레이드 후 클러스터 연결/해제 동작 검증 필요

    멀티클러스터 시크릿 컨트롤러에서 원격 클러스터 업데이트 중 발생하던 데드락이 수정됐습니다. 기존에 컨트롤 플레인이 멀티클러스터 환경에서 간헐적으로 멈추는 증상을 겪었다면 이 수정으로 해결됩니다. 업그레이드 후 클러스터 조인/이탈 워크플로우를 스테이징 환경에서 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

주요 변경 (5)

  • 보안 수정: source.principals(접미사 매칭) 및 source.namespaces의 정규식 메타문자 미이스케이핑으로 인한 AuthorizationPolicy 우회 취약점 패치
  • 보안 수정: XDS 디버그 엔드포인트(/debug/syncz, /debug/config_dump)에 동일 네임스페이스 권한 검증 추가 — 기존에는 모든 인증된 워크로드가 타 네임스페이스 설정 덤프를 조회 가능했음
  • 멀티클러스터 시크릿 컨트롤러의 원격 클러스터 업데이트 중 데드락 수정
  • 리프 인증서의 NotAfter 시간이 서명 CA 만료 시간을 초과할 수 있던 문제 수정
  • AWS EKS 환경에서 Security Groups for Pods(branch ENI) 사용 시 kubelet 헬스 프로브 실패 문제 수정