RATATOSKRATATOSK
로그인

Istio

1.30.2Networking & Messaging
2026년 6월 25일

Istio 1.30.2는 보안과 버그 수정을 함께 담은 패치 릴리스로, ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건(QPACK 기반 HTTP/3 DoS가 high 등급, 나머지는 medium~high)을 수정했고 pilot-agent 메트릭 병합 방식 변경과 AuthorizationPolicy 트러스트 도메인 필드 추가 등 운영자가 챙겨야 할 변경도 포함합니다.

  • securityISTIO-SECURITY-2026-005, Envoy CVE 14건 수정 (일부 high 등급)

    모든 1.30.x 배포에 적용됩니다. QPACK 블록 디코딩을 이용한 HTTP/3 스택 DoS를 수정했고, JSON 파서의 중첩 깊이를 1000으로 제한했습니다(envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정한 경우에만 기존 10K 한도로 완화 가능). 헤더만 있는 요청/응답의 content-length 검증도 envoy.reloadable_features.quic_validate_headers_only_content_length 플래그로 강화되었습니다. 1.30.2로 업그레이드하세요.

  • securityext_authz, ext_proc, gRPC stats, OAuth2 필터의 use-after-free/크래시 수정 다수

    ext_authz에서 per-route 서비스 오버라이드가 활성화된 상태로 인증 확인 중 다운스트림 연결이 끊기는 경우(CVE-2026-47205), 또는 ext_proc, gRPC stats, OAuth2 필터를 사용하는 경우에 해당됩니다. use-after-free와 패딩 오라클 문제가 수정되었고, OAuth2 필터는 gcm. 마커를 통한 AES-256-GCM 쿠키 암호화도 지원합니다.

  • breakingpilot-agent 메트릭 병합이 protobuf content type을 거부함

    pilot-agent 메트릭 병합(PILOT_AGENT_MERGE_ENVOY_STATS)을 사용하는 배포에 적용됩니다. 허용되는 content type이 text/plain과 application/openmetrics-text로 제한되어, protobuf 기반으로 병합된 메트릭을 수집하던 구성은 깨질 수 있습니다. 업그레이드 전 스크래핑 설정을 확인하세요.

  • enhancementAuthorizationPolicy에 트러스트 도메인 매칭 기능 추가

    mTLS 트러스트 도메인 기반 접근 제어가 필요한 AuthorizationPolicy 작성자에게 적용됩니다. Source에 추가된 trustDomains, notTrustDomains 필드로 피어 인증서의 트러스트 도메인을 기준으로 요청을 매칭하거나 제외할 수 있습니다.

주요 변경 (8)

  • ISTIO-SECURITY-2026-005에서 Envoy CVE 14건을 수정했으며 최고 등급은 high입니다. 가장 눈에 띄는 것은 HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제기의 메모리 소진(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), JSON 중첩 깊이를 1000으로 제한한 항목(CVE-2026-48042)입니다
  • ext_authz(연결 리셋 중 per-route 오버라이드), ext_proc, gRPC stats 필터, 비동기 토큰 콜백 경로에서 use-after-free/크래시가 수정되었습니다
  • OAuth2 필터는 AES-256-CBC 쿠키 복호화의 패딩 오라클 문제를 해결했고 AES-256-GCM 지원을 추가했습니다
  • pilot-agent 메트릭 병합이 허용 content type을 text/plain과 application/openmetrics-text로 제한하면서 protobuf 지원이 빠졌고, 병합 동작을 제어하는 PILOT_AGENT_MERGE_ENVOY_STATS 환경 변수가 새로 추가되었습니다
  • AuthorizationPolicy의 Source에 trustDomains, notTrustDomains 필드가 추가되어 트러스트 도메인 기반 요청 매칭이 가능해졌습니다
  • Kubernetes Gateway/ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단과, WasmPlugin의 TrafficExtension 변환으로 인한 중복·과다 xDS 푸시 문제를 수정했습니다
  • 앰비언트 모드에서는 노드/kubelet 재시작 후 파드가 호스트 헬스 프로브 ipset에서 빠져 kubelet 프로브가 ztunnel로 리다이렉트되어 거부되던 문제를 수정했습니다
  • 그 외 소소한 수정 여러 건: Gateway API CRD가 최소 버전보다 낮을 때의 로그를 warn 레벨로 변경, 1.29.2 이전 사이드카 설정 생성 수정, krt 컨트롤러의 오래된 역인덱스 항목으로 인한 메모리 누수 수정