SPIRE
v1.14.7Security2026년 5월 29일
v1.14.7은 azure_imds 노드 어테스터의 인증서 검증 결함을 수정합니다. 공격자가 임의 Azure VM으로 위장해 노드 어테스테이션을 통과할 수 있었던 취약점으로, Azure IMDS를 사용 중이면 즉시 업그레이드해야 합니다.
securityazure_imds 노드 어테스터 사용 중이면 즉시 업그레이드
azure_imds 노드 어테스터에서 PKCS7 인증서 검증 로직에 결함이 있었습니다. 인증서 백의 첫 번째 인증서를 Azure 루트에 anchoring하면서도, 실제 서명 검증은 SignerInfo에서 별도로 가져온 서명자 인증서로 수행했습니다. 공격자가 정상적인 Azure 인증서를 인증서 백에 넣고 별개의 인증서로 서명된 문서를 함께 제출하면, 임의 VM으로 위장한 노드 어테스테이션이 통과될 수 있었습니다. Azure IMDS 노드 어테스터를 쓰고 있다면 즉시 업그레이드해야 합니다.
enhancement의존성 패키지 일괄 업데이트 포함
golang.org/x/net, golang.org/x/crypto, go-jose/v4, Go 툴체인(1.26.3)이 모두 업데이트됩니다. SPIRE 자체를 업그레이드하면 함께 적용되므로 별도 조치는 필요 없습니다.
주요 변경 (4)
- azure_imds 서버 노드 어테스터의 PKCS7 인증서 검증 결함 수정 — 서명 검증과 체인 검증이 분리되어 노드 위장 가능했던 문제
- Go 툴체인 1.26.3으로 업데이트
- golang.org/x/net v0.55.0, golang.org/x/crypto v0.52.0으로 업그레이드
- go-jose/v4 v4.1.4로 업데이트