RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Envoy해제 ×

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.38.3은 보안 전용 릴리스로, 15개 CVE와 상위 의존성 wasmtime의 CVE 1건을 수정합니다. 그 중 TLS SAN NUL 바이트 인증 우회(CVE-2026-47778)와 HTTP/3→HTTP/1 요청 스머글링(CVE-2026-48743) 두 건이 Critical로, 나머지 13건은 크래시·DoS·힙 오버플로·데이터 유출 등을 포함하는 High 등급입니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 포함되면 비교 시 문자열이 잘려 인증서 기반 인증을 우회할 수 있습니다. 조건 없이 v1.38.3으로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3 → HTTP/1 요청 스머글링 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청이 HTTP/1 백엔드로 스머글링될 수 있습니다. HTTP/3을 HTTP/1로 프록시하는 배포 환경은 모두 영향을 받으며, v1.38.3으로 업그레이드해야 합니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 "skipped" TLV를 그대로 내보내 공격자가 제어하는 데이터 최대 65 KB가 업스트림 애플리케이션 스트림으로 유입됩니다. v1.38.3으로 업그레이드해야 합니다.

  • breakingIntel DLB 연결 밸런서 확장 제거됨

    컨트리뷰션 확장 envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서)가 소스 아카이브 손상으로 v1.38.3에서 Bazel 빌드 레이어 전체에서 비활성화됐습니다. 이 확장에 의존하던 배포 환경은 다른 연결 밸런서로 전환해야 합니다.

  • breakingTLS 인증서 Brotli 압축 기본값 비활성화로 변경

    런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli가 기본값 비활성화로 변경됐습니다. 비활성화 상태에서는 QUIC이 zlib 전용 인증서 압축을 사용하고, TCP TLS는 인증서 압축을 수행하지 않습니다. Brotli 압축에 의존하던 경우 업그레이드 후 해당 플래그를 명시적으로 다시 활성화해야 합니다.

주요 변경 (8)
  • CRITICAL: TLS SAN NUL 바이트 잘림으로 인증서 인증 우회 가능 (CVE-2026-47778, 전체 15개 CVE 중 최고 심각도)
  • CRITICAL: Content-Length가 있는 헤더 전용 HTTP/3 요청을 통한 HTTP/1 요청 스머글링 (CVE-2026-48743)
  • HIGH: PROXY Protocol v2가 업스트림 스트림으로 최대 65 KB 유출 (CVE-2026-47692); OAuth2 PKCE 패딩 오라클 (CVE-2026-47775) 및 스트림 종료 후 비동기 토큰 완료 시 UAF/크래시 (CVE-2026-48090)
  • HIGH: authz 퍼-라우트 (CVE-2026-47205), 라우터 내부 리다이렉트 (CVE-2026-47221), REQUESTED_SERVER_NAME (CVE-2026-47220), Connect→direct_response의 grpc_stats 필터 (CVE-2026-47204), ext_proc 단일 gRPC 메시지 응답 (CVE-2026-47207)에서 크래시 수정
  • HIGH: zstd RLE 집 밤 DoS (CVE-2026-48044), JSON 깊은 중첩 소멸자 스택 오버플로 (CVE-2026-48042), DNS UDP 필터 비정상 종료 (CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로 (CVE-2026-48706), HTTP/3 QPACK 블록 디코딩 DoS (GHSA-p7c7-7c47-pwch)
  • CVE-2026-47261 해결을 위해 wasmtime 의존성 업그레이드 (중간 심각도)
  • 소스 아카이브 손상으로 Intel DLB 컨트리뷰션 확장(envoy.network.connection_balance.dlb) 전체 빌드에서 비활성화
  • 런타임 가드 envoy.reloadable_features.tls_certificate_compression_brotli 기본값이 비활성화로 변경됨 — TCP TLS 인증서 압축이 중단되고 QUIC은 zlib 전용으로 복귀
원문

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.37.5는 보안 전용 릴리스로, Envoy 자체 CVE/GHSA 15건과 upstream 의존성 CVE 1건을 수정합니다. 심각도는 Critical까지 올라가며, HTTP/3→HTTP/1 요청 밀수, TLS SAN 인증 우회, PROXY Protocol v2 업스트림 스트림 유출 등 Critical 3건이 특히 주목됩니다. v1.37.x 배포라면 지체 없이 업그레이드해야 합니다.

  • securityCritical: HTTP/3 → HTTP/1 요청 밀수 (CVE-2026-48743)

    CVE-2026-48743 (GHSA-8phg-2h2q-jgxf): Content-Length가 0이 아닌 헤더 전용 HTTP/3 요청으로 HTTP/1 업스트림에 요청을 밀수할 수 있습니다. HTTP/3을 종료하고 HTTP/1 백엔드로 프록시하는 모든 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityCritical: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778)

    CVE-2026-47778 (GHSA-f8x4-rw5x-f3r7): TLS SAN에 NUL 바이트가 삽입된 인증서는 비교 시 그 지점에서 잘려 의도하지 않은 패턴에 매칭됩니다. TLS SAN 검증으로 인증 결정을 내리는 배포에서 인증 우회가 발생합니다. 즉시 업그레이드하세요.

  • securityCritical: PROXY Protocol v2 TLV 업스트림 스트림 유출 (CVE-2026-47692)

    CVE-2026-47692 (GHSA-wh36-hm39-mm3r): PROXY Protocol v2 헤더 생성기가 건너뛰어야 할 TLV를 그대로 출력해, 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림에 유입됩니다. 업스트림 방향으로 PROXY Protocol v2 헤더를 생성하는 배포에 적용됩니다. 즉시 업그레이드하세요.

  • securityHigh: OAuth2 필터 패딩 오라클 및 UAF (CVE-2026-47775, CVE-2026-48090)

    CVE-2026-47775 (GHSA-396h-jpq4-vc7p)는 PKCE 코드 검증자 패딩 오라클 취약점이고, CVE-2026-48090 (GHSA-3cj2-c63f-q26f)는 스트림 해제 후 비동기 토큰 완료 시 UAF 위험입니다. 둘 다 envoy.filters.http.oauth2를 사용하는 배포에 적용됩니다.

  • securityHigh: HTTP/3 QPACK 블로킹 디코딩 DoS (GHSA-p7c7-7c47-pwch)

    HTTP/3 QPACK 블로킹 디코딩(GHSA-p7c7-7c47-pwch)을 악용해 HTTP/3 스택을 DoS 상태로 만들 수 있습니다. HTTP/3을 서비스하는 모든 배포에 적용됩니다.

  • securityHigh: grpc_stats 필터 세그폴트 (CVE-2026-47204)

    CVE-2026-47204 (GHSA-3jxh-8p6x-7pf6): Connect 프로토콜 요청이 direct_response 라우트로 전달될 때 grpc_stats 필터가 세그폴트를 일으킵니다. envoy.filters.http.grpc_stats를 사용하는 배포에 적용됩니다.

  • breakingIntel DLB 연결 밸런서 contrib 익스텐션 빌드 시 비활성화

    envoy.network.connection_balance.dlb(Intel DLB 연결 밸런서) contrib 익스텐션이 소스 아카이브 손상으로 인해 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화되었습니다. 이 익스텐션을 사용하는 배포는 소스 문제가 해결될 때까지 로컬 우회 방법이나 대체 밸런싱 전략을 사용해야 합니다.

주요 변경 (5)
  • Critical CVE 3건 수정: HTTP/3→HTTP/1 요청 밀수(CVE-2026-48743), TLS SAN NUL 바이트 인증 우회(CVE-2026-47778), PROXY Protocol v2 업스트림 스트림 65 KB 유출(CVE-2026-47692).
  • High 심각도 CVE 9건 추가 수정: OAuth2 패딩 오라클·UAF(CVE-2026-47775, CVE-2026-48090), HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), grpc_stats 세그폴트(CVE-2026-47204), DNS UDP 필터 비정상 종료(CVE-2026-48497), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706), 깊은 JSON 중첩 스택 오버플로(CVE-2026-48042), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), REQUESTED_SERVER_NAME 크래시(CVE-2026-47220), ext_proc gRPC 응답 크래시(CVE-2026-47207), authz 퍼라우트 크래시(CVE-2026-47205).
  • zstd 압축 해제 RLE 집 밤 DoS(CVE-2026-48044, High) 수정. zstd 필터를 사용하는 배포에 적용됩니다.
  • wasmtime 의존성 업그레이드로 CVE-2026-47261 해결.
  • envoy.network.connection_balance.dlb(Intel DLB) contrib 익스텐션이 소스 아카이브 손상으로 모든 플랫폼에서 Bazel 빌드 레이어 수준으로 비활성화됨. 릴리스 노트에 로컬 우회 방법이 안내되어 있습니다.
원문

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.36.9는 보안 패치만 포함된 릴리스로, TLS SAN 처리, HTTP/3, PROXY 프로토콜, JSON 파싱, OAuth2, ext_proc, grpc_stats, zstd, DNS, statsd에 걸쳐 15개 CVE(2개 critical, 나머지 high/medium)를 수정합니다. TLS SAN 인증 우회와 HTTP/3 요청 스머글링은 광범위하게 악용될 수 있으므로 즉시 업그레이드해야 합니다.

  • securityCRITICAL: TLS SAN NUL 바이트 인증 우회 (CVE-2026-47778 / GHSA-f8x4-rw5x-f3r7)

    TLS SAN에 NUL 바이트가 포함된 경우 SAN이 잘려 인증서 기반 인증 검사를 우회할 수 있습니다. 모든 배포에 영향을 미치므로 즉시 v1.36.9로 업그레이드해야 합니다.

  • securityCRITICAL: HTTP/3-to-HTTP/1 요청 스머글링 (CVE-2026-48743 / GHSA-8phg-2h2q-jgxf)

    nonzero Content-Length를 가진 headers-only HTTP/3 요청이 HTTP/1 백엔드로 밀수될 수 있습니다. HTTP/3를 HTTP/1 백엔드로 프록시하는 환경에 영향을 줍니다.

  • securityHIGH: PROXY Protocol v2 업스트림 데이터 유출 (CVE-2026-47692 / GHSA-wh36-hm39-mm3r)

    PROXY Protocol v2 헤더 생성기가 TLV를 잘못 방출해 공격자가 제어하는 최대 65 KB 데이터가 업스트림 애플리케이션 스트림으로 흘러들어갑니다. PROXY Protocol v2 헤더 생성기를 사용하는 환경에 해당합니다.

  • securityHIGH: 깊은 중첩 JSON으로 인한 스택 오버플로 (CVE-2026-48042 / GHSA-f24p-rxw2-g6pv)

    중첩 깊이가 매우 큰 JSON 입력이 들어오면 객체 소멸자에서 스택 오버플로가 발생해 프록시가 크래시됩니다. 모든 배포에 영향을 줍니다.

  • securityHIGH: wasmtime 의존성 CVE (CVE-2026-47261)

    CVE-2026-47261 해결을 위해 wasmtime 의존성이 업데이트되었습니다. Wasm 확장을 사용하는 모든 배포에 적용됩니다.

  • breakingDLB 커넥션 밸런서 확장 비활성화 (기능 제거)

    contrib Intel DLB 커넥션 밸런서 확장(envoy.network.connection_balance.dlb)이 소스 아카이브 문제로 인해 모든 플랫폼의 Bazel 빌드에서 비활성화되었습니다. 이 확장을 사용하던 빌드는 조용히 기능을 잃게 됩니다.

주요 변경 (8)
  • CRITICAL (2개): TLS SAN NUL 바이트 잘림으로 인한 인증 우회(CVE-2026-47778)와, headers-only HTTP/3 요청의 nonzero Content-Length를 이용한 HTTP/1 백엔드 요청 스머글링(CVE-2026-48743).
  • HIGH: PROXY Protocol v2 헤더 생성기가 skipped TLV를 잘못 방출해 공격자 제어 데이터 최대 65 KB가 업스트림 스트림으로 유출(CVE-2026-47692).
  • HIGH: 깊은 중첩 JSON 소멸자에서 스택 오버플로 발생, 전 배포 영향(CVE-2026-48042).
  • HIGH: 여러 필터의 크래시 및 보안 문제 수정 -- ext_proc 단일 gRPC 메시지 응답(CVE-2026-47207), grpc_stats가 direct_response 라우트에 Connect 프로토콜 요청 시 세그폴트(CVE-2026-47204), authz 퍼 라우트 크래시(CVE-2026-47205), 라우터 내부 리다이렉트 크래시(CVE-2026-47221).
  • HIGH: OAuth2 필터 두 가지 수정 -- PKCE 코드 검증자 패딩 오라클(CVE-2026-47775)과 스트림 해제 후 지연된 비동기 토큰 완료로 인한 UAF 위험(CVE-2026-48090).
  • HIGH: zstd RLE zip-bomb 압축 증폭(CVE-2026-48044), DNS UDP 필터 비정상 종료(CVE-2026-48497), HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), TcpStatsdSink 힙 버퍼 오버플로(CVE-2026-48706).
  • CVE-2026-47261 해결을 위한 wasmtime 의존성 업데이트(HIGH, 모든 배포 적용).
  • 소스 아카이브 문제로 contrib envoy.network.connection_balance.dlb(Intel DLB) 확장이 모든 빌드에서 비활성화.
원문

Envoy

Networking & Messaging2026년 6월 23일

Envoy v1.35.13은 CVE 13건을 수정한 주요 보안 릴리스로, 그중 2건은 critical입니다. 업스트림 스트림에 최대 65KB가 유출되는 PROXY 프로토콜 v2 TLV 유출 결함과, 인증서 기반 인증을 우회할 수 있는 TLS SAN NUL 절단 결함이 포함됩니다. 소스 아카이브 문제로 contrib Intel DLB 커넥션 밸런서 확장도 비활성화됐습니다.

  • securityPROXY 프로토콜 v2 TLV 유출 (CVE-2026-47692)

    PROXY 프로토콜 v2 헤더 생성을 사용하는 모든 v1.35.13 배포에 해당합니다. CVE-2026-47692는 공격자가 조작한 "skipped" TLV로 인해 업스트림 애플리케이션 스트림에 최대 65KB가 유출되는 취약점입니다. 이 기능을 쓴다면 즉시 업그레이드하세요.

  • securityTLS SAN NUL 절단으로 인한 인증 우회 (CVE-2026-47778)

    SAN 기반으로 클라이언트 인증서를 검증하는 배포에 해당합니다. CVE-2026-47778은 TLS SAN에 삽입된 NUL 바이트로 인해 파싱된 이름이 잘려서, 의도하지 않은 호스트명과 일치하며 인증을 우회할 수 있는 취약점입니다. 즉시 업그레이드하세요.

  • security핵심 필터와 HTTP/3에 걸친 추가 CVE 11건

    ext_proc, 라우터 내부 리다이렉트, OAuth2(패딩 오라클과 비동기 토큰 완료 지연으로 인한 use-after-free 두 건), zstd 압축 해제, grpc_stats, JSON 파싱, DNS 필터, HTTP/3(content-length 검증 미비와 별도의 QPACK 기반 DoS), TcpStatsdSync 등에서 추가로 11건의 높은 심각도 CVE가 수정됐습니다. 각각 특정 필터나 코덱에 얽힌 크래시, DoS, 메모리 안전성 문제입니다. 전체 수정을 적용하려면 업그레이드하고, 사용 중인 필터를 확인해 우선순위를 정하세요.

  • securitywasmtime 의존성 업데이트로 CVE-2026-47261 수정

    com_github_wasmtime 의존성을 올려 별도의 wasmtime CVE(CVE-2026-47261)를 수정했습니다. Wasm 필터를 사용하는 배포에 해당합니다.

  • breakingIntel DLB 커넥션 밸런서 확장 비활성화

    contrib 확장 envoy.network.connection_balance.dlb(Intel DLB 커넥션 밸런서)가 소스 아카이브 문제로 모든 빌드와 플랫폼에서 Bazel 빌드 레벨에서 비활성화됐습니다. 이 확장을 활성화해 빌드하던 곳은 다른 커넥션 밸런서로 전환해야 합니다.

주요 변경 (7)
  • 이번 릴리스에서 CVE 13건이 수정됐고 그중 2건은 심각도 critical입니다: PROXY 프로토콜 v2 TLV 유출(CVE-2026-47692, 업스트림 스트림으로 최대 65KB 유출)과 TLS SAN NUL 절단으로 인한 인증 우회(CVE-2026-47778).
  • 핵심 요청 처리 경로에서 다수의 높은 심각도 결함이 수정됐습니다: ext_proc 단일 메시지 응답 처리(CVE-2026-47207), 라우터 내부 리다이렉트 크래시(CVE-2026-47221), direct_response 라우트로의 Connect 프로토콜 요청 시 grpc_stats 세그폴트(CVE-2026-47204), 깊게 중첩된 JSON 소멸 시 스택 오버플로(CVE-2026-48042).
  • OAuth2 필터에서 서로 다른 두 건이 수정됐습니다: 코드 검증자 패딩 오라클(CVE-2026-47775), 스트림 종료 후 비동기 토큰 완료 지연으로 인한 use-after-free(CVE-2026-48090).
  • HTTP/3 스택이 두 가지 문제에서 강화됐습니다: 헤더만 있는 요청/응답의 content-length 미검증(CVE-2026-48743), QPACK 블록 디코딩을 악용한 DoS.
  • 그 외 높은 심각도 수정: zstd RLE 압축 해제 시 zip bomb(CVE-2026-48044), 긴 쿼리 이름으로 인한 DNS 필터 크래시(CVE-2026-48497), 큰 stats 이름으로 인한 TcpStatsdSync 버퍼 오버플로(CVE-2026-48706).
  • 업스트림 wasmtime 의존성을 올려 Wasm 필터의 CVE-2026-47261을 해결했습니다.
  • contrib 확장 envoy.network.connection_balance.dlb(Intel DLB)가 소스 아카이브 문제로 모든 빌드에서 Bazel 레벨에서 비활성화됐습니다.
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.38.2는 소규모 패치 릴리스입니다. RTDS 런타임 버그 수정 1건과 HTTP/2 쿠키 관련 opt-in 기능 2건이 포함되며, 보안 수정은 없습니다.

  • breakingRTDS 런타임 가드 삭제 동작 변경 — 오버라이드 제거 로직 검증 필요

    RTDS 런타임 가드 오버라이드를 삭제할 때 기본값으로 복원되길 기대했다면, 기존 버전에서는 그 동작이 잘못되어 있었습니다. v1.38.2 업그레이드 후에는 삭제 시 기본값이 올바르게 복원됩니다. 런타임 오버라이드를 제거하는 자동화 스크립트나 CI 파이프라인이 있다면, 업그레이드 전후로 동작을 확인하세요.

  • enhancementHTTP/2 쿠키 헤더 크기 제한 플래그 활용 검토

    envoy.reloadable_features.http2_max_cookies_size_in_kb를 설정하면 HTTP/2에서 재조합된 cookie 헤더의 최대 크기를 제한할 수 있습니다. 신뢰할 수 없는 트래픽을 처리하거나 대형 쿠키가 빈번히 유입되는 환경이라면, 적절한 값을 설정해 메모리 사용을 줄이세요. 기본값은 무제한이므로 명시적으로 opt-in해야 합니다.

주요 변경 (3)
  • RTDS 런타임 수정: 런타임 가드 오버라이드를 삭제할 때 기본값으로 올바르게 복원되지 않던 버그 수정
  • HTTP/2 헤더 통계용 opt-in 히스토그램 추가 (envoy.reloadable_features.http2_record_histograms) — 향후 릴리스에서 제거 예정인 임시 기능
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조합된 cookie 헤더 크기를 제한 가능 (기본값: 무제한)
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.37.4는 RTDS 버그 수정 하나와 HTTP/2 쿠키 관련 옵트인 기능 두 가지를 포함한 소규모 패치입니다. CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리 중이라면, 기존에는 오버라이드를 삭제해도 이전 값이 남아 있었습니다. 이번 수정으로 삭제 시 프로세스 전체 기본값으로 복원됩니다. 오버라이드 삭제 후 적용될 기본값이 의도한 값인지 확인하세요. 특히 기존 버그 동작을 우회하는 방식으로 설정했던 경우 반드시 검토가 필요합니다.

  • enhancement신뢰할 수 없는 HTTP/2 클라이언트가 있다면 쿠키 크기 제한 설정을 고려하세요

    이번 릴리스 이전에는 HTTP/2 재조립 cookie 헤더에 크기 제한이 없었습니다. 외부 HTTP/2 트래픽을 프록시한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb를 적절한 값(예: 32–64 KB)으로 설정해 비정상적으로 큰 쿠키가 업스트림에 전달되는 상황을 막을 수 있습니다. 기본값은 무제한이므로 명시적으로 설정해야 합니다.

  • enhancementHTTP/2 헤더 히스토그램을 스테이징에서 먼저 켜서 트래픽 특성을 파악하세요

    envoy.reloadable_features.http2_record_histograms를 활성화하면 헤더 수, 바이트 크기, 쿠키 관련 메트릭을 히스토그램으로 수집할 수 있습니다. HTTP/2 헤더 부하를 파악하는 데 유용하지만, 향후 릴리스에서 제거될 임시 기능입니다. 프로덕션 대시보드에 장기 의존하지 않도록 주의하세요.

주요 변경 (4)
  • RTDS 버그 수정: 런타임 가드 오버라이드 삭제 시 프로세스 전체 기본값으로 정상 복원되도록 수정
  • HTTP/2 헤더 통계 히스토그램 옵트인 추가 — envoy.reloadable_features.http2_record_histograms로 활성화
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 플래그 추가로 재조립된 cookie 헤더 크기 상한 설정 가능 (기본값: 무제한)
  • HTTP/2 헤더 히스토그램은 임시 기능으로, 향후 릴리스에서 제거 예정
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.36.8은 RTDS 버그 수정 1건과 HTTP/2 관찰성 기능 2건을 담은 소규모 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingHTTP/2 헤더 히스토그램은 임시 기능 — 영구 대시보드에 연결하지 마세요

    http2_record_histograms 기능과 그 runtime guard는 향후 Envoy 릴리스에서 제거될 예정이라고 명시되어 있습니다. HTTP/2 헤더 디버깅 목적으로 활성화하더라도, 이 메트릭을 영구 대시보드나 알림에 연결해두면 업그레이드 시 깨집니다. 임시 디버깅 용도로만 쓰세요.

  • enhancementHTTP/2 헤더·쿠키 크기 문제를 디버깅할 때 새 히스토그램 활용

    HTTP/2 요청이 예상보다 크거나 쿠키 관련 이상 동작이 보인다면 envoy.reloadable_features.http2_record_histograms를 켜서 헤더 항목 수, 바이트 크기, 쿠키 메트릭을 수집하세요. 업스트림 서비스를 과도하게 큰 쿠키 헤더로부터 보호해야 한다면 envoy.reloadable_features.http2_max_cookies_size_in_kb로 크기 상한도 함께 설정하는 것이 좋습니다.

주요 변경 (4)
  • RTDS runtime guard override 삭제 시 프로세스 전체 기본값이 제대로 복원되지 않던 버그 수정
  • envoy.reloadable_features.http2_record_histograms로 HTTP/2 헤더 히스토그램(항목 수, 바이트 크기, 쿠키 길이, 쿠키 수) 활성화 가능 (opt-in)
  • envoy.reloadable_features.http2_max_cookies_size_in_kb 추가 — 재조합된 cookie 헤더 크기 상한 설정 (기본값: 제한 없음)
  • HTTP/2 히스토그램과 관련 runtime guard는 향후 릴리스에서 제거 예정 — 임시 기능임이 명시됨
원문

Envoy

Networking & Messaging2026년 6월 10일

Envoy v1.35.12는 RTDS 런타임 가드 버그 수정 1건과 HTTP/2 쿠키·헤더 관찰용 opt-in 기능 2건이 포함된 마이너 패치입니다. Breaking change나 CVE는 없습니다.

  • breakingRTDS 오버라이드 삭제 동작 변경 — 런타임 가드 기본값 확인 필요

    RTDS로 런타임 가드 오버라이드를 관리하고 있다면 스테이징에서 동작을 검증하세요. 이전에는 오버라이드를 삭제해도 기존 값이 유지됐지만, 이제는 프로세스 기본값으로 복원됩니다. 삭제 후에도 값이 유지된다고 가정하는 자동화 스크립트가 있다면 동작이 달라집니다.

  • enhancementHTTP/2 쿠키 크기 제한 플래그로 메모리 사용량 통제

    envoy.reloadable_features.http2_max_cookies_size_in_kb는 기본적으로 비활성화 상태입니다. 신뢰할 수 없는 HTTP/2 트래픽을 받는 환경이라면, 재조합된 cookie 헤더로 인한 메모리 소비를 제한하기 위해 적절한 값을 설정하세요. 먼저 새로 추가된 히스토그램으로 실제 쿠키 크기를 측정한 뒤 상한값을 결정하는 순서가 좋습니다.

주요 변경 (3)
  • RTDS 런타임 가드 오버라이드를 삭제했을 때 프로세스 기본값으로 제대로 복원되지 않던 버그 수정
  • HTTP/2 헤더 히스토그램(엔트리 수, 바이트 크기, 쿠키 길이, 쿠키 수) opt-in 추가 — envoy.reloadable_features.http2_record_histograms로 활성화, 향후 릴리스에서 제거 예정
  • envoy.reloadable_features.http2_max_cookies_size_in_kb로 재조합된 cookie 헤더 크기를 제한할 수 있음 (기본값: 제한 없음)
원문

Envoy

Networking & Messaging2026년 6월 4일

HTTP/2 CVE 2건과 oauth2 취약점 2건을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 운영 중이라면 즉시 업그레이드해야 합니다.

  • securityHTTP/2·oauth2 CVE — 다음 정기 점검을 기다리지 말고 지금 패치하세요

    HPACK 쿠키 폭탄을 통한 메모리 소진(CVE-2026-47774), nghttp2 취약점(CVE-2026-27135), oauth2 HMAC 타이밍 오라클, oauth2 크래시 유발 버그까지 총 4개의 보안 이슈가 수정됐습니다. oauth2 필터를 쓰고 있다면 HMAC 타이밍 사이드채널이 특히 위험합니다. 공격자가 반복 요청으로 HMAC 시크릿의 유효성을 추적할 수 있습니다. v1.38.1로 즉시 업그레이드하세요. HTTP/2 헤더 제한 동작은 기본값으로 활성화되므로, 명확한 이유 없이 `envoy.reloadable_features.http2_include_cookies_in_limits`로 되돌리지 마세요.

  • breakingHTTP 응답 본문에서 upstream 장애 이유가 제거됩니다 — 클라이언트 에러 처리 로직을 점검하세요

    이전까지 HTTP 응답 본문에 포함되던 upstream transport failure reason이 사라집니다. 이 정보를 파싱하거나 표시하는 다운스트림 클라이언트나 대시보드가 있다면 업그레이드 전에 반드시 확인해야 합니다. 액세스 로그에는 여전히 기록되니 모니터링 방식을 조정하세요. 이전 동작이 꼭 필요하다면 `envoy.reloadable_features.hide_transport_failure_reason_in_response_body`로 일시적으로 복원할 수 있습니다.

  • breakingEDS 배치 업데이트 시 LB 재구성 병합이 opt-in으로 전환됩니다

    EDS 배치 호스트 업데이트 중 로드밸런서 재구성 병합이 기본 비활성화됩니다. 파드 수가 많은 Kubernetes 환경에서 롤링 배포가 잦다면 LB 재구성 빈도가 늘어 CPU 부하가 증가할 수 있습니다. 업그레이드 후 컨트롤 플레인과의 상호작용 패턴을 벤치마킹하세요. 성능 저하가 확인되면 `envoy.reloadable_features.coalesce_lb_rebuilds_on_batch_update`로 이전 동작을 복원하세요.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기 위반 시 리셋됨. 비압축 쿠키가 헤더 크기/개수 제한에 포함되어 HPACK 쿠키 폭탄 공격 차단
  • CVE-2026-27135: nghttp2 패치 적용 — HTTP/2 트래픽 전반에 영향
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 시크릿 유효성 유출 방지
  • oauth2: 시크릿 불일치 시 AES-CBC 복호화가 약 1/256 확률로 성공하던 크래시 수정
  • 라우터가 HTTP 응답 본문에 upstream transport failure reason을 더 이상 포함하지 않음 — 액세스 로그(%UPSTREAM_TRANSPORT_FAILURE_REASON%)에서만 확인 가능
원문

Envoy

Networking & Messaging2026년 6월 4일

v1.37.3은 HTTP/2 CVE 2건과 oauth2 취약점을 수정한 보안 패치입니다. HTTP/2 또는 oauth2 필터를 사용 중이라면 즉시 업그레이드해야 합니다.

  • securityHTTP/2 운영 환경은 즉시 패치하세요

    이번 릴리스에서 HTTP/2 관련 CVE 두 건이 수정됩니다. CVE-2026-47774는 대량의 쿠키를 전송해 헤더 크기 제한을 우회하고 메모리를 과도하게 소비시키는 쿠키-봄 공격을 허용하는 취약점이고, CVE-2026-27135는 nghttp2 라이브러리 수준의 취약점입니다. HTTP/2 트래픽을 처리하는 환경이라면 v1.37.3으로 즉시 업그레이드하세요. 새로운 쿠키 계산 방식은 기본 활성화되며, 문제가 발생하면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 임시 비활성화할 수 있지만 영구적인 해결책으로 쓰면 안 됩니다.

  • security업그레이드 후 oauth2 HMAC 시크릿을 교체하세요

    HMAC 검증의 타이밍 사이드채널을 통해 공격자가 특정 시크릿의 유효 여부를 탐색했을 가능성이 있습니다. 특히 인터넷에 노출된 환경이라면 업그레이드 후 oauth2 HMAC 시크릿을 교체하는 것이 좋습니다. AES-CBC 크래시 수정도 단순한 안정성 문제가 아닙니다. 1/256 확률의 오복호화는 예측 불가능한 인증 동작으로 이어질 수 있었습니다.

  • breaking쿠키가 많은 요청은 HTTP/2 스트림 리셋이 발생할 수 있습니다

    CVE-2026-47774 수정으로 인해 쿠키가 `mutable_max_request_headers_kb` 및 `max_headers_count` 제한에 포함됩니다. 이전에는 통과되던 쿠키 다수 포함 요청이 제한에 걸려 스트림 리셋으로 거부될 수 있습니다. 프로덕션 배포 전에 스테이징에서 쿠키가 많은 트래픽 패턴을 테스트하고, 현재 설정된 헤더 크기 제한이 실제 워크로드에 적합한지 검토하세요.

주요 변경 (5)
  • CVE-2026-47774: HTTP/2 스트림이 최대 헤더 목록 크기를 초과하면 리셋되도록 변경, 비압축 쿠키도 헤더 제한에 포함해 HPACK 쿠키-봄 공격 차단
  • CVE-2026-27135: nghttp2 상위 취약점 패치 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 비밀키 유효 여부가 노출될 수 있었던 문제
  • oauth2: AES-CBC 복호화 크래시 수정 — 시크릿 불일치 상황에서 약 1/256 확률로 복호화가 잘못 성공해 내부 어서션이 실패하던 버그
  • load_report: ADS 스트림 종료 시 레이스 컨디션을 gRPC 스트림 정리 로직 추가로 해결
원문

Envoy

Networking & Messaging2026년 6월 4일

v1.36.7은 HTTP/2 관련 CVE 2건, oauth2 필터의 HMAC 타이밍 사이드채널 및 충돌 버그를 수정한 보안 패치입니다. 즉시 업그레이드가 필요합니다.

  • securityHTTP/2 CVE 2건 — 즉시 패치 적용 필요

    CVE-2026-47774는 HPACK 압축 쿠키를 이용해 Envoy 메모리를 고갈시키는 공격 벡터입니다. 패치 후에는 쿠키가 `mutable_max_request_headers_kb` 및 `max_headers_count` 제한에 포함됩니다. 업그레이드 후 정상 요청이 리셋된다면 `envoy.reloadable_features.http2_include_cookies_in_limits` 플래그로 일시적으로 되돌릴 수 있지만, 먼저 헤더 크기 설정을 점검하세요. CVE-2026-27135는 별도 우회 방법이 없으므로 반드시 업그레이드해야 합니다.

  • securityoauth2 필터 사용 중이라면 이번 릴리스를 최우선으로 배포하세요

    HMAC 타이밍 사이드채널은 공격자가 반복 요청으로 시크릿 유효성을 추론할 수 있는 취약점입니다. AES-CBC 충돌 버그(불량 토큰 기준 1/256 확률)는 의도적으로 트리거할 수 있어 서비스 안정성에도 영향을 줍니다. 두 이슈 모두 설정으로 우회할 방법이 없으므로, oauth2 필터를 쓰는 환경이라면 이번 패치를 최우선으로 배포하세요.

  • breaking배포 전 헤더 크기 제한 설정 반드시 검토

    기존에 헤더 크기 계산에서 제외됐던 쿠키가 이제 제한에 포함됩니다. 쿠키가 많거나 큰 애플리케이션은 업그레이드 후 `max_headers_count` 또는 `mutable_max_request_headers_kb` 초과로 HTTP/2 스트림이 리셋될 수 있습니다. 롤아웃 전에 실 트래픽의 쿠키 크기를 기준으로 현재 제한값을 점검하고, 필요하다면 reloadable feature 플래그로 시간을 버세요. 단, 장기간 비활성화 상태로 두는 건 피해야 합니다.

주요 변경 (5)
  • CVE-2026-47774: HPACK 쿠키 폭탄 공격 차단 — 비압축 쿠키가 이제 헤더 크기/개수 제한에 포함됨
  • CVE-2026-27135: nghttp2 레이어 패치 직접 적용
  • oauth2: HMAC 검증의 타이밍 사이드채널 수정 — 시크릿 유효성 추론 가능성 차단
  • oauth2: AES-CBC 복호화가 시크릿 불일치 상황에서 약 1/256 확률로 성공하던 충돌 버그 수정
  • load_report: ADS 스트림과의 종료 시 경쟁 조건을 gRPC 스트림 정리로 해결
원문

Envoy

Networking & Messaging2026년 4월 23일

v1.38은 대형 릴리스로, RSA 키 사용 강제 적용, BoringSSL 빌드 플래그 변경, tcp_proxy 설정 검증 등 즉각 조치가 필요한 브레이킹 체인지가 여럿 포함됩니다.

  • securityCVE-2026-27135 패치 — HTTP/2 사용 시 v1.38로 업그레이드 우선 검토

    이번 릴리스에 nghttp2의 CVE-2026-27135 패치가 포함됩니다. Envoy를 HTTP/2 게이트웨이나 프록시로 운용 중이라면 직접적인 노출 가능성이 있습니다. HTTP/2 트래픽을 처리하는 클러스터부터 업그레이드를 우선 적용하세요. RBAC 헤더 매처의 연결 기반 우회 공격 수정도 함께 포함되어 있어 보안 측면에서 이번 업그레이드는 권장 수준을 넘어섭니다.

  • breaking업그레이드 전 TLS 설정 전수 점검 — RSA 키 사용 이제 강제 적용

    enforce_rsa_key_usage가 이번 릴리스부터 기본 true로 바뀌었고, 다음 릴리스에서는 옵션 자체가 삭제됩니다. 인증서의 키 사용(Key Usage) 확장이 협상된 암호와 맞지 않으면 업스트림 연결이 즉시 거부됩니다. 업그레이드 전에 업스트림 인증서 설정을 점검하고, 스테이징 환경에서 먼저 테스트하세요. 운영 환경에서 실패하면 연결 리셋으로만 나타나 원인 파악이 어렵습니다.

  • breakingBoringSSL FIPS 빌드 파이프라인 수정 필수

    --define=boringssl=fips Bazel 플래그가 완전히 제거됩니다. FIPS 모드로 Envoy를 빌드하는 CI/CD 파이프라인이나 Dockerfile은 오류가 발생합니다. --config=boringssl-fips로 교체하세요. 공식 바이너리를 사용한다면 직접 영향은 없지만, 커스텀 빌드를 유지 중이라면 파이프라인 수정을 v1.38 적용 전에 완료해야 합니다.

  • enhancementOTel 메트릭을 OTLP/HTTP로 직접 전송 — 콜렉터 사이드카 제거 가능

    OpenTelemetry 스탯 싱크가 이제 콜렉터 사이드카 없이 OTLP/HTTP로 직접 메트릭을 전송할 수 있습니다. Envoy 메트릭 수집만을 위해 otel-collector를 DaemonSet으로 운용 중이라면 아키텍처를 단순화할 기회입니다. Grafana Cloud나 Honeycomb 같은 백엔드로 직접 전송이 가능한지 검토해 운영 복잡도를 줄이세요.

주요 변경 (6)
  • enforce_rsa_key_usage가 업스트림 TLS 컨텍스트에서 기본값 true로 변경 — 인증서 키 사용이 맞지 않으면 연결 거부
  • BoringSSL FIPS 빌드 플래그가 --define=boringssl=fips에서 --config=boringssl-fips로 변경
  • tcp_proxy에서 IMMEDIATE 이외의 upstream_connect_mode 사용 시 max_early_data_bytes 명시 필수, 미설정 시 시작 시점에 검증 실패
  • nghttp2의 CVE-2026-27135 패치 적용
  • OAuth2 토큰 암호화가 기본 활성화로 전환, 비활성화하려면 disable_token_encryption 명시 필요
  • 동적 모듈에 트레이서, TLS 검증기, 커스텀 LB 정책 등 확장 포인트 대폭 추가, v1.39 바이너리와의 ABI 전방 호환 보장
원문

Envoy

Networking & Messaging2026년 4월 10일

Envoy v1.37.2는 리스너 제거 시 크래시, 동적 모듈 필터의 불완전한 바디 전달, 내부 리다이렉트 버퍼 오버플로우로 인한 요청 행 문제를 수정한 패치 릴리스입니다.

  • breaking프로세스 레벨 액세스 로그 레이트 리미터 사용 중이라면 즉시 업그레이드

    프로세스 레벨 액세스 로그 레이트 리미터를 설정한 상태에서 xDS를 통한 리스너 변경이나 제거가 발생하면 프로세스가 크래시합니다. 이는 드문 엣지 케이스가 아닙니다. 리스너 제거는 일상적인 설정 업데이트에서도 발생합니다. 다음 설정 배포 전에 v1.37.2로 업그레이드하세요.

  • breaking동적 모듈 필터 파이프라인의 바디 잘림 현상 확인 필요

    동적 모듈 필터를 ext_proc, gRPC 트랜스코딩, JWT 바디 검사 등 버퍼링을 수행하는 필터와 함께 실행 중이라면, 에러 없이 잘린 페이로드가 업스트림이나 클라이언트로 전달됐을 가능성이 있습니다. 업그레이드 후 스테이징에서 바디 크기 불일치 로그를 점검하고 동작을 검증하세요.

  • breaking대용량 요청 바디 + 내부 리다이렉트 조합은 요청 행(hang) 위험

    내부 리다이렉트를 사용하는 라우트에서 큰 POST/PUT 바디로 리다이렉트가 트리거되면 요청이 에러 없이 멈춥니다. 업스트림 타임아웃만이 유일한 안전망인 셈입니다. 즉시 업그레이드하고, 단기 대응책으로 해당 라우트의 요청 버퍼 한도를 임시로 줄이는 것도 고려할 만합니다.

주요 변경 (5)
  • 프로세스 레벨 액세스 로그 레이트 리미터 사용 시 리스너 제거로 발생하던 크래시 수정
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 잘라 전달하던 버그 수정
  • 내부 리다이렉트 중 요청 버퍼 오버플로우 시 요청이 무한 대기하던 문제 수정
  • Docker 릴리스 이미지 업데이트 및 수정
  • Stats 서브시스템 업데이트
원문

Envoy

Networking & Messaging2026년 4월 10일

v1.36.6은 동적 모듈 필터의 불완전한 바디 전달 문제와 내부 리다이렉트 시 버퍼 초과로 인한 요청 hang 문제를 수정한 패치 릴리스입니다.

  • breaking동적 모듈 필터 + 버퍼링 필터 조합 사용 중이라면 즉시 업그레이드

    필터 체인에 동적 모듈 필터와 버퍼링 필터(ext_proc, grpc-web, 커스텀 버퍼링 필터 등)가 함께 있다면, 동적 모듈이 잘린 바디를 받고 있었던 겁니다. 성능 문제가 아닌 데이터 정합성 버그입니다. v1.36.6으로 업그레이드한 뒤, 동적 모듈이 전체 페이로드를 올바르게 처리하는지 반드시 검증하세요.

  • breaking내부 리다이렉트 사용 환경에서 hang 위험 — 즉시 패치 필요

    요청 바디가 버퍼 한도를 초과할 수 있는 환경에서 내부 리다이렉트를 쓴다면, 완료되지 않는 요청이 커넥션을 붙잡는 상황이 발생할 수 있습니다. 트래픽이 몰리는 환경에서 특히 위험합니다. 즉시 업그레이드하고, 그 전까지는 버퍼 한도를 높이거나 내부 리다이렉트를 일시 비활성화하는 것을 검토하세요.

주요 변경 (3)
  • 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 불완전하게 전달하던 버그 수정
  • 요청 버퍼 초과 시 내부 리다이렉트 로직이 요청을 무기한 hang시키던 문제 해결
  • Docker 릴리스 이미지 업데이트 및 수정
원문