Contour v1.33.5는 보안 패치 릴리스입니다. fallback 인증서와 JWT 검증을 함께 쓸 때 발생하던 JWT 검증 우회 취약점을 막습니다.
securityJWT 검증 우회 취약점 패치 (GHSA-g3xr-5w5j-w4q4)
fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy 구성에서, SNI가 없거나 인식되지 않는 SNI로 오는 요청이 JWT 검증을 우회할 수 있었습니다. TLS SNI 없이 들어오는 트래픽을 처리하면서 JWT로 인가를 걸어둔 라우트가 있다면 우선 점검하고 v1.33.5로 업그레이드하세요.
breakingfallback 인증서 + JWT 조합 구성 거부 확인
이번 버전부터 fallback 인증서와 JWT 검증을 동시에 설정한 HTTPProxy는 유효하지 않은 구성으로 거부됩니다. 업그레이드 전에 관련 설정이 있는지 확인하고, 거부될 경우 라우트 구성을 재설계해야 합니다.
주요 변경 (4)
- GHSA-g3xr-5w5j-w4q4 보안 패치: fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy에서 SNI 없이 오거나 인식 안 되는 SNI로 오는 요청이 JWT 검증을 우회할 수 있던 문제 수정
- 이제 Contour는 이런 유효하지 않은 구성을 거부합니다
- Kubernetes 1.32~1.34 버전에서 테스트 완료
- 이번 릴리스에 다른 기능 변경 사항 없음