RATATOSKRATATOSK
로그인

SPIRE

v1.14.3Security
2026년 3월 18일

v1.14.3은 SPIFFE 인증서 체인 검증을 우회할 수 있는 TLS 세션 티켓 취약점을 패치하고, 노드 캐시 재구축 버그와 AWS·페더레이션 관련 안정성 문제를 수정했습니다.

  • securityTLS 세션 티켓 우회 취약점 — 즉시 업그레이드 필요

    SPIRE 서버 TCP 엔드포인트에서 TLS 세션 재개 시 SPIFFE 인증서 체인 검증이 생략될 수 있었습니다. 만료되거나 폐기된 인증서를 가진 클라이언트가 현재 신뢰 번들 검증 없이 재연결할 수 있는 신뢰 경계 위반입니다. v1.14.3으로 즉시 업그레이드하세요. 서버 측에서 자동으로 세션 티켓을 비활성화하므로 별도 설정 변경은 필요 없습니다.

  • security에이전트 로그의 셀렉터 데이터 노출 문제 해결

    셀렉터에는 Kubernetes 파드 레이블, Unix UID, AWS 메타데이터 등 민감한 워크로드 식별 정보가 포함될 수 있습니다. 업그레이드 후에는 에이전트 로그에 더 이상 기록되지 않지만, 기존 로그 파이프라인과 보존 정책을 점검해 과거 로그에 남아 있는 데이터를 확인하세요.

  • breakingPQC 사용자: X25519MLKEM768 마이그레이션 필요

    RequirePQKEM TLS 정책을 활성화한 경우, 알고리즘이 초안 x25519Kyber768Draft00에서 표준 X25519MLKEM768로 변경됩니다. 양쪽 피어 모두 v1.14.3 이상이어야 TLS 핸드셰이크가 성공합니다. 에이전트와 서버를 동시에 업그레이드하는 일정을 조율하세요.

  • enhancement노드 캐시 재구축 버그 — 동적 환경에서 특히 중요

    노드 캐시 재구축이 시작 후 단 1회만 실행되고 이후에는 중단되는 버그가 있었습니다. 워크로드 변경이 잦은 환경에서는 에이전트가 오래된 캐시 데이터를 계속 제공하게 됩니다. v1.14.3에서 자동 수정되며 별도 설정 변경 없이 업그레이드만 하면 됩니다. 동적 환경일수록 에이전트 업그레이드를 서두르세요.

주요 변경 (5)

  • 서버 TCP 엔드포인트의 TLS 세션 티켓 재개(resumption) 비활성화 — 신뢰 번들 검증 우회 가능성 차단
  • 민감 정보 노출 방지를 위해 에이전트 레벨 셀렉터 로깅 제거
  • RequirePQKEM 정책의 알고리즘을 초안 x25519Kyber768Draft00에서 표준화된 X25519MLKEM768로 교체
  • 노드 캐시 주기적 재구축이 최초 1회만 실행되던 버그 수정 — 설정된 인터벌로 정상 반복 실행
  • ReadOnlyEntry.Clone() 버그 수정: Admin 필드 값이 Downstream 필드로 잘못 복사되어 인가 메타데이터가 오염되던 문제 해결