RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

Envoy

Networking & Messaging어제2026년 7월 14일

Envoy v1.39.0은 keyUsage 강제 필수화, DLB 밸런서 비활성화, TLS inspector 검증 강화, OTel 샘플링 동작 변경 등 여러 주요 변경 사항과, HTTP/2, HTTP/3, ext_authz, ext_proc, OAuth2, DNS 등 여러 하위 시스템에 걸친 약 20건의 medium 등급 CVE 수정을 함께 담은 대규모 릴리스입니다. dynamic modules 확장 포인트와 AI 프로토콜용 스트리밍 JSON 파서 등 비조치성 기능 및 성능 개선도 다수 포함되어 있습니다.

  • security핵심 프로토콜과 확장 기능 전반에 걸친 대규모 CVE 수정

    이번 릴리스는 HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸쳐 약 20건의 CVE를 수정했으며, 릴리스 노트 기준 모두 medium 등급입니다. 대표적으로 HTTP/2 cookie 기반 헤더 제한 우회(CVE-2026-47774), HTTP/3 QPACK 블로킹 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제 시 메모리 고갈(CVE-2026-48044)이 있습니다. 수정 사항은 v1.39.0에 포함됩니다.

  • securityOAuth2 쿠키 암호화가 AES-256-GCM으로 전환(선택적 마이그레이션)

    OAuth2에 CVE-2026-47775 대응을 위한 AES-256-GCM 쿠키 암호화가 추가되었습니다. 마이그레이션은 선택적으로 진행되며, oauth2_use_gcm_encryption을 활성화하고 oauth_legacy_cbc_decrypt 지표를 모니터링한 뒤, 레거시 복호화가 더 이상 관측되지 않으면 oauth2_legacy_cbc_decrypt_compat을 비활성화하는 단계로 이뤄집니다.

  • breaking인증서 keyUsage 강제 적용이 필수화됨

    Envoy는 인증서의 keyUsage 확장을 항상 강제하도록 바뀌었고, enforce_rsa_key_usage 필드는 지원 중단되어 무시됩니다. v1.39.0부터 무조건 적용되므로, 느슨한 검증에 의존하던 인증서는 검증에 실패할 수 있습니다.

  • breakingDLB 커넥션 밸런서가 모든 빌드에서 비활성화됨

    Intel DLB 커넥션 밸런서(envoy.network.connection_balance.dlb)는 소스 아카이브 손상으로 모든 빌드에서 비활성화되었습니다. 이 확장을 사용하는 환경에 해당합니다.

  • breakingTLS inspector가 범위를 벗어난 클라이언트 TLS 버전을 거부

    TLS inspector가 클라이언트 TLS 버전이 1.0에서 1.3 사이인지 검증하며, 범위를 벗어나면 거부합니다. v1.39.0에서는 무조건 적용되지만 envoy.reloadable_features.tls_inspector_enforce_client_tls_version으로 되돌릴 수 있습니다.

  • breakingOTel 트레이싱이 Envoy 자체 샘플링 결정을 우선함

    OpenTelemetry 트레이서가 전파된 트레이스 컨텍스트나 설정된 샘플러가 샘플링을 요청하더라도, overall_sampling을 포함한 Envoy 자체의 요청 단위 샘플링 결정을 우선하도록 바뀌었습니다. 다운스트림이나 컨텍스트 기반 샘플링 결정이 Envoy 설정보다 우선되는 것에 의존하던 환경에 해당하며, 내보내는 스팬 수가 줄어들 수 있습니다.

주요 변경 (8)
  • HTTP/2, HTTP/3, ext_authz, ext_proc, gRPC stats, 내부 리다이렉트, OAuth2, DNS, JSON 파싱, PROXY 프로토콜, 포매터, StatsD, TLS SAN 처리, Zstd 압축 해제에 걸친 약 20건의 medium 등급 CVE 수정. 대표적으로 CVE-2026-47774(HTTP/2 cookie 헤더 제한 우회), GHSA-p7c7-7c47-pwch(HTTP/3 QPACK DoS), CVE-2026-48044(Zstd 메모리 고갈)
  • OAuth2에 AES-256-GCM 쿠키 암호화 추가(CVE-2026-47775), 레거시 CBC 복호화에서 선택적 단계 마이그레이션 가능
  • 인증서 keyUsage 강제 적용 필수화(enforce_rsa_key_usage 지원 중단). TLS inspector가 1.0~1.3 범위를 벗어난 클라이언트 TLS 버전을 거부
  • Intel DLB 커넥션 밸런서 확장이 소스 아카이브 손상으로 모든 빌드에서 비활성화
  • OpenTelemetry 트레이서가 overall_sampling을 포함한 Envoy 자체 샘플링 결정을 우선하게 되어, 내보내는 스팬 수가 줄어들 수 있음
  • 통합 DNS 클러스터 구현이 기본값으로 활성화되어, c-ares 리졸버와 qcache를 클러스터 간에 공유할 수 있음
  • HeaderMatcher가 개별로 전달된 헤더 값을 쉼표로 결합한 형태뿐 아니라 개별적으로 매칭하도록 변경(기능 게이트로 되돌릴 수 있음)
  • 비조치 항목으로는 dynamic modules 확장 포인트와 Rust SDK, MCP/A2A/OpenAI/Anthropic용 신규 Wuffs 기반 스트리밍 JSON 파서, 대역폭 공유 및 서브 필터 체인용 신규 HTTP 필터, CNSA/포스트 퀀텀 TLS 정책, io_uring 및 SO_REUSEPORT BPF 성능 개선, 커넥션 풀 재진입 문제와 DNS 리졸버 누수 등 다수의 버그 수정이 포함됨
원문

gRPC

Networking & Messaging2026년 7월 8일

gRPC v1.82.1은 파이썬 protobuf 의존성 하한을 7.35.1로 올린 것 외에는 별다른 변경이 없는 routine 패치 릴리스입니다. 다만 protobuf 6.x에 고정된 환경에서는 업그레이드 전 확인이 필요합니다.

  • breakingprotobuf 최소 버전 7.35.1로 상향

    파이썬용 gRPC가 protobuf 최소 버전 요구치를 6.33.5에서 7.35.1로 올렸습니다. protobuf를 6.x 버전대에 고정해둔 프로젝트는 이번 gRPC 업그레이드 시 의존성 충돌이 발생하므로, protobuf도 7.35.1 이상으로 함께 올려야 합니다.

주요 변경 (1)
  • protobuf 의존성 하한선을 6.33.5에서 7.35.1로 상향 (하위 호환성 깨짐)
원문

gRPC

Networking & Messaging2026년 7월 2일

gRPC 1.82.0은 Core, PHP, Python, Ruby 전반의 자잘한 수정을 모은 루틴 릴리스이며 보안 이슈나 파괴적 변경은 없습니다. 눈에 띄는 부분은 xDS의 프로토콜 추가 두 가지(A85 ORCA-to-LRS, A114 가중 라운드로빈)와 다수의 소소한 버그 수정입니다.

주요 변경 (8)
  • CVE, 破壊的 API 제거, deprecation 없음
  • xDS에 ORCA-to-LRS 전파(gRFC A85)와 커스텀 백엔드 메트릭 기반 가중 라운드로빈(A114) 지원 추가
  • 호출 자격 증명이 리전별 액세스 경계 정책 메타데이터를 조회하고 첨부할 수 있게 됨
  • Python aio 수정: -O 플래그 실행 시 CPU 100% 점유 문제 해결, fork된 자식 프로세스에서 채널을 닫지 않고 호출만 취소 가능
  • Ruby에 순수 Ruby 구현 호출 자격 증명 추가, 인터셉터가 의도대로 FIFO 순서로 실행되도록 수정
  • POSIX 소켓 코드에서 파일 디스크립터 0이 잘못 무효로 처리되던 문제 수정, 엔드포인트 종료 시 CFStream 콜백 등록 해제
  • PHP 확장 백포트에 PIE 지원 추가, Python aio call/metadata 모듈에 Pyright·Typeguard 타입 체크 적용
  • 그 외 abseil nullopt assertion을 잘못 발생시키던 RetryFilter 버그도 수정
원문

Istio

Networking & Messaging2026년 7월 1일

Istio 1.28.10은 단일 버그 수정을 담은 일반 패치입니다. krt 컨트롤러에서 Fetch 필터 키가 변경될 때 역방향 인덱스 항목이 누적되던 메모리 누수가 해결되었습니다.

주요 변경 (1)
  • krt 컨트롤러에서 Fetch 필터 키가 바뀔 때(예: 파드를 다른 웨이포인트로 재레이블링) 오래된 역방향 인덱스 항목이 정리되지 않고 남아 메모리가 계속 증가하고 불필요한 재계산이 발생하던 메모리 누수 수정
원문
월별 보기