OpenFGA
v1.14.1Securityv1.14.1은 AuthZEN 디스커버리의 호스트 헤더 포이즈닝 취약점을 패치하고 취약한 Docker 의존성을 제거했습니다. ListObjects 성능도 소폭 개선됐습니다.
securityAuthZEN 호스트 헤더 포이즈닝 취약점, 즉시 패치 필요
AuthZEN의 well-known 디스커버리 엔드포인트가 요청의 Host 헤더로 URL을 구성하고 있었습니다. 공격자가 이를 악용하면 클라이언트를 악성 엔드포인트로 유도할 수 있었습니다. AuthZEN 디스커버리 메타데이터를 외부에 노출하고 있다면 v1.14.1로 즉시 업그레이드하세요. 별도 설정 변경은 불필요하지만, 서버 설정의 authzen.baseURL이 올바르게 지정되어 있는지 확인하는 것이 좋습니다.
security테스트 바이너리를 컨테이너 이미지에 포함하고 있다면 점검 필요
github.com/docker/docker 패키지는 알려진 CVE가 있으며 테스트 코드에서만 사용됐습니다. 프로덕션 빌드 자체는 영향이 없지만, 파이프라인에서 테스트 바이너리나 vendor 디렉터리를 컨테이너 이미지에 포함하는 경우 업그레이드 후 취약한 패키지가 제거됐는지 확인하세요.
enhancementKubernetes 환경에서 셧다운 타임아웃 명시적으로 설정하세요
새로 추가된 셧다운 타임아웃 옵션으로 OpenFGA가 종료 전 진행 중인 요청을 얼마나 기다릴지 제어할 수 있습니다. 설정이 없으면 파드 재시작 시 요청 오류가 발생할 수 있습니다. Kubernetes의 terminationGracePeriodSeconds보다 약간 짧게 설정해 두면 안전한 트래픽 전환이 가능합니다.
주요 변경 (5)
- 보안 수정: AuthZEN 디스커버리 메타데이터가 요청의 Host 헤더 대신 설정된 baseURL을 사용하도록 변경
- 취약한 github.com/docker/docker 테스트 의존성 제거 후 Moby 클라이언트 & API로 교체
- 서버 셧다운 타임아웃 설정 옵션 추가 — Kubernetes 환경의 graceful drain에 유용
- ListObjects 힙 할당 감소로 실질적인 레이턴시 개선
- 캐시 키 생성 시 fmt 제거 및 제어 문자 정규화 범위를 튜플, 조건, 컨텍스트까지 확장