Istio
1.29.5Networking & MessagingIstio 1.29.5는 ISTIO-SECURITY-2026-005에 해당하는 Envoy CVE 14건을 수정한 보안 릴리스로, HIGH 심각도 DoS·크래시·use-after-free 취약점 다수가 포함됩니다. 게이트웨이 리비전 레이블 변경 시 트래픽 중단, ambient ipset 헬스 프로브 누락, krt 메모리 누수, 멀티클러스터 컨트롤러 패닉도 함께 수정되었습니다.
securityEnvoy CVE 14건 수정(최대 심각도 HIGH) — ISTIO-SECURITY-2026-005
ISTIO-SECURITY-2026-005에 묶인 Envoy CVE 14건이 1.29.5에서 모두 수정되었습니다. 심각도 HIGH 항목으로는 HTTP/3 QPACK 디코딩 DoS(GHSA-p7c7-7c47-pwch), MaxInflateRatio를 우회하는 압축 페이로드 과팽창(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), QUIC content-length 유효성 검사 문제(CVE-2026-48743), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692)가 있습니다. 1.29.x 운영 환경 전체를 1.29.5로 즉시 업그레이드하세요.
securityOAuth2 필터 AES-256-CBC 패딩 오라클(CVE-2026-47775)
OAuth2 필터에서 AES-256-CBC 쿠키 암호화를 사용 중이라면 즉시 업그레이드해야 합니다. 이번 패치에서 padding oracle이 수정되었고, AES-256-GCM이 gcm. 알고리즘 마커와 함께 새로 지원됩니다. 업그레이드 후 AES-256-CBC에서 AES-256-GCM으로의 전환을 계획하세요.
breakingJSON 중첩 깊이 상한 1000으로 축소(CVE-2026-48042)
JSON 파서 중첩 깊이 기본값이 10000에서 1000으로 낮아졌습니다. 더 깊은 중첩이 필요하다면 런타임 플래그 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 임시 복원할 수 있으나, 깊은 중첩 의존성을 제거하는 방향으로 전환을 준비하세요.
securityext_authz 라우트별 오버라이드에서 use-after-free(CVE-2026-47205)
ext_authz에서 라우트별 서비스 오버라이드를 사용하는 경우, 인가 요청이 진행 중일 때 다운스트림 연결이 리셋되면 use-after-free 크래시가 발생할 수 있었습니다(CVE-2026-47205). 1.29.5로 업그레이드하면 해당 크래시 경로가 제거됩니다.
주요 변경 (7)
- ISTIO-SECURITY-2026-005로 묶인 Envoy CVE 14건 수정(최대 HIGH): HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), 압축 페이로드 과팽창(CVE-2026-48044), REQUESTED_SERVER_NAME 포매터 크래시(CVE-2026-47220), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692), QUIC 헤더 유효성 검사(CVE-2026-48743) 등
- OAuth2 필터 padding oracle 수정(CVE-2026-47775), AES-256-GCM 신규 지원 — AES-256-CBC 사용 환경은 전환 필요
- JSON 파서 중첩 깊이 기본값 1000으로 변경(기존 10000); envoy.reloadable_features.limit_json_parser_nesting_depth=false로 임시 복원 가능(CVE-2026-48042)
- ext_authz 라우트별 서비스 오버라이드 use-after-free 수정(CVE-2026-47205), ext_proc 예기치 않은 응답 처리 및 gRPC 통계 필터 UAF/크래시도 함께 수정
- Kubernetes Gateway 또는 ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단 수정 — 이전 컨트롤 플레인이 게이트웨이 파드에 빈 xDS 설정을 푸시하던 문제 해결
- 노드 또는 kubelet 재시작 후 ambient 등록 파드가 호스트 헬스 프로브 ipset에서 누락되어 kubelet 프로브가 ztunnel로 전달되고 거부되던 문제 수정
- krt 컨트롤러의 역방향 인덱스 잔류로 인한 메모리 누수 수정, 멀티클러스터 시크릿 컨트롤러의 채널 중복 close 패닉 수정, 1.29.2 이전 사이드카 설정 생성 버그 수정