RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Istio해제 ×

Istio

Networking & Messaging2026년 6월 24일

Istio 1.29.5는 ISTIO-SECURITY-2026-005에 해당하는 Envoy CVE 14건을 수정한 보안 릴리스로, HIGH 심각도 DoS·크래시·use-after-free 취약점 다수가 포함됩니다. 게이트웨이 리비전 레이블 변경 시 트래픽 중단, ambient ipset 헬스 프로브 누락, krt 메모리 누수, 멀티클러스터 컨트롤러 패닉도 함께 수정되었습니다.

  • securityEnvoy CVE 14건 수정(최대 심각도 HIGH) — ISTIO-SECURITY-2026-005

    ISTIO-SECURITY-2026-005에 묶인 Envoy CVE 14건이 1.29.5에서 모두 수정되었습니다. 심각도 HIGH 항목으로는 HTTP/3 QPACK 디코딩 DoS(GHSA-p7c7-7c47-pwch), MaxInflateRatio를 우회하는 압축 페이로드 과팽창(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), QUIC content-length 유효성 검사 문제(CVE-2026-48743), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692)가 있습니다. 1.29.x 운영 환경 전체를 1.29.5로 즉시 업그레이드하세요.

  • securityOAuth2 필터 AES-256-CBC 패딩 오라클(CVE-2026-47775)

    OAuth2 필터에서 AES-256-CBC 쿠키 암호화를 사용 중이라면 즉시 업그레이드해야 합니다. 이번 패치에서 padding oracle이 수정되었고, AES-256-GCM이 gcm. 알고리즘 마커와 함께 새로 지원됩니다. 업그레이드 후 AES-256-CBC에서 AES-256-GCM으로의 전환을 계획하세요.

  • securityext_authz 라우트별 오버라이드에서 use-after-free(CVE-2026-47205)

    ext_authz에서 라우트별 서비스 오버라이드를 사용하는 경우, 인가 요청이 진행 중일 때 다운스트림 연결이 리셋되면 use-after-free 크래시가 발생할 수 있었습니다(CVE-2026-47205). 1.29.5로 업그레이드하면 해당 크래시 경로가 제거됩니다.

  • breakingJSON 중첩 깊이 상한 1000으로 축소(CVE-2026-48042)

    JSON 파서 중첩 깊이 기본값이 10000에서 1000으로 낮아졌습니다. 더 깊은 중첩이 필요하다면 런타임 플래그 envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정해 임시 복원할 수 있으나, 깊은 중첩 의존성을 제거하는 방향으로 전환을 준비하세요.

주요 변경 (7)
  • ISTIO-SECURITY-2026-005로 묶인 Envoy CVE 14건 수정(최대 HIGH): HTTP/3 QPACK DoS(GHSA-p7c7-7c47-pwch), 압축 페이로드 과팽창(CVE-2026-48044), REQUESTED_SERVER_NAME 포매터 크래시(CVE-2026-47220), PROXY 프로토콜 TLV 길이 불일치(CVE-2026-47692), QUIC 헤더 유효성 검사(CVE-2026-48743) 등
  • OAuth2 필터 padding oracle 수정(CVE-2026-47775), AES-256-GCM 신규 지원 — AES-256-CBC 사용 환경은 전환 필요
  • JSON 파서 중첩 깊이 기본값 1000으로 변경(기존 10000); envoy.reloadable_features.limit_json_parser_nesting_depth=false로 임시 복원 가능(CVE-2026-48042)
  • ext_authz 라우트별 서비스 오버라이드 use-after-free 수정(CVE-2026-47205), ext_proc 예기치 않은 응답 처리 및 gRPC 통계 필터 UAF/크래시도 함께 수정
  • Kubernetes Gateway 또는 ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단 수정 — 이전 컨트롤 플레인이 게이트웨이 파드에 빈 xDS 설정을 푸시하던 문제 해결
  • 노드 또는 kubelet 재시작 후 ambient 등록 파드가 호스트 헬스 프로브 ipset에서 누락되어 kubelet 프로브가 ztunnel로 전달되고 거부되던 문제 수정
  • krt 컨트롤러의 역방향 인덱스 잔류로 인한 메모리 누수 수정, 멀티클러스터 시크릿 컨트롤러의 채널 중복 close 패닉 수정, 1.29.2 이전 사이드카 설정 생성 버그 수정
원문

Istio

Networking & Messaging2026년 6월 24일

Istio 1.30.2는 보안과 버그 수정을 함께 담은 패치 릴리스로, ISTIO-SECURITY-2026-005 아래 Envoy CVE 14건(QPACK 기반 HTTP/3 DoS가 high 등급, 나머지는 medium~high)을 수정했고 pilot-agent 메트릭 병합 방식 변경과 AuthorizationPolicy 트러스트 도메인 필드 추가 등 운영자가 챙겨야 할 변경도 포함합니다.

  • securityISTIO-SECURITY-2026-005, Envoy CVE 14건 수정 (일부 high 등급)

    모든 1.30.x 배포에 적용됩니다. QPACK 블록 디코딩을 이용한 HTTP/3 스택 DoS를 수정했고, JSON 파서의 중첩 깊이를 1000으로 제한했습니다(envoy.reloadable_features.limit_json_parser_nesting_depth를 false로 설정한 경우에만 기존 10K 한도로 완화 가능). 헤더만 있는 요청/응답의 content-length 검증도 envoy.reloadable_features.quic_validate_headers_only_content_length 플래그로 강화되었습니다. 1.30.2로 업그레이드하세요.

  • securityext_authz, ext_proc, gRPC stats, OAuth2 필터의 use-after-free/크래시 수정 다수

    ext_authz에서 per-route 서비스 오버라이드가 활성화된 상태로 인증 확인 중 다운스트림 연결이 끊기는 경우(CVE-2026-47205), 또는 ext_proc, gRPC stats, OAuth2 필터를 사용하는 경우에 해당됩니다. use-after-free와 패딩 오라클 문제가 수정되었고, OAuth2 필터는 gcm. 마커를 통한 AES-256-GCM 쿠키 암호화도 지원합니다.

  • breakingpilot-agent 메트릭 병합이 protobuf content type을 거부함

    pilot-agent 메트릭 병합(PILOT_AGENT_MERGE_ENVOY_STATS)을 사용하는 배포에 적용됩니다. 허용되는 content type이 text/plain과 application/openmetrics-text로 제한되어, protobuf 기반으로 병합된 메트릭을 수집하던 구성은 깨질 수 있습니다. 업그레이드 전 스크래핑 설정을 확인하세요.

  • enhancementAuthorizationPolicy에 트러스트 도메인 매칭 기능 추가

    mTLS 트러스트 도메인 기반 접근 제어가 필요한 AuthorizationPolicy 작성자에게 적용됩니다. Source에 추가된 trustDomains, notTrustDomains 필드로 피어 인증서의 트러스트 도메인을 기준으로 요청을 매칭하거나 제외할 수 있습니다.

주요 변경 (8)
  • ISTIO-SECURITY-2026-005에서 Envoy CVE 14건을 수정했으며 최고 등급은 high입니다. 가장 눈에 띄는 것은 HTTP/3 QPACK 블록 디코딩 DoS(GHSA-p7c7-7c47-pwch), Zstd 압축 해제기의 메모리 소진(CVE-2026-48044), %REQUESTED_SERVER_NAME% 포매터 크래시(CVE-2026-47220), JSON 중첩 깊이를 1000으로 제한한 항목(CVE-2026-48042)입니다
  • ext_authz(연결 리셋 중 per-route 오버라이드), ext_proc, gRPC stats 필터, 비동기 토큰 콜백 경로에서 use-after-free/크래시가 수정되었습니다
  • OAuth2 필터는 AES-256-CBC 쿠키 복호화의 패딩 오라클 문제를 해결했고 AES-256-GCM 지원을 추가했습니다
  • pilot-agent 메트릭 병합이 허용 content type을 text/plain과 application/openmetrics-text로 제한하면서 protobuf 지원이 빠졌고, 병합 동작을 제어하는 PILOT_AGENT_MERGE_ENVOY_STATS 환경 변수가 새로 추가되었습니다
  • AuthorizationPolicy의 Source에 trustDomains, notTrustDomains 필드가 추가되어 트러스트 도메인 기반 요청 매칭이 가능해졌습니다
  • Kubernetes Gateway/ListenerSet의 istio.io/rev 레이블 변경 시 발생하던 짧은 트래픽 중단과, WasmPlugin의 TrafficExtension 변환으로 인한 중복·과다 xDS 푸시 문제를 수정했습니다
  • 앰비언트 모드에서는 노드/kubelet 재시작 후 파드가 호스트 헬스 프로브 ipset에서 빠져 kubelet 프로브가 ztunnel로 리다이렉트되어 거부되던 문제를 수정했습니다
  • 그 외 소소한 수정 여러 건: Gateway API CRD가 최소 버전보다 낮을 때의 로그를 warn 레벨로 변경, 1.29.2 이전 사이드카 설정 생성 수정, krt 컨트롤러의 오래된 역인덱스 항목으로 인한 메모리 누수 수정
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.29.4는 Envoy의 CVSS 7.5 DoS 취약점(CVE-2026-47774)을 패치하고, 클러스터 전체 unhealthy 엔드포인트로 트래픽이 라우팅될 수 있던 앰비언트 모드 버그 등 6건의 결함을 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 인증 없이 DoS 가능

    CVE-2026-47774는 외부 공격자가 인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있는 취약점입니다. 쿠키 헤더 크기가 요청 헤더 검증에서 완전히 반영되지 않고, HPACK 블록 제한이 인코딩된 바이트 기준으로만 적용되는 두 가지 문제가 결합된 결과입니다. 인그레스 게이웨이처럼 HTTP/2를 외부에 노출하는 환경이라면 지금 바로 1.29.4로 업그레이드해야 합니다.

  • breaking앰비언트 모드: publishNotReadyAddresses + 트래픽 분산 조합 점검 필요

    publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode 트래픽 분산을 함께 쓰는 Service가 하나라도 있으면, 동일 프리셋을 사용하는 모든 Service에 healthPolicy:AllowAll이 전파되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 전후로 ztunnel 로그에서 AllowAll 항목을 확인해 수정이 제대로 적용됐는지 검증하세요.

  • enhancement구형 커널 환경: nftables → iptables 자동 전환으로 CNI 안정성 향상

    JSON을 지원하지 않는 nft 바이너리가 있는 호스트에서 CNI 에이전트가 파드 제거마다 오류를 기록하며 무한 재시도하던 문제가 수정됐습니다. 이제 시작 시점에 JSON 지원 여부를 감지해 iptables 백엔드로 자동 전환합니다. 별도 조치는 불필요하지만, CNI 에이전트 로그에서 'JSON support not compiled-in' 오류가 반복됐던 환경이라면 업그레이드 후 오류가 사라지는지 확인하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 가능 — 쿠키 헤더 크기 계산 누락 및 HPACK 디코딩 크기 제한 미적용이 원인
  • 앰비언트 모드 버그 수정: publishNotReadyAddresses:true + 트래픽 분산 프리셋 조합 시 동일 프리셋을 쓰는 모든 Service의 healthPolicy가 AllowAll로 오염되던 문제
  • CNI 에이전트 시작 시 nft 바이너리의 JSON 지원 여부를 검사해 미지원 환경에서 iptables 백엔드로 자동 전환
  • 동일 노드에 두 파드가 동시에 앰비언트 메시에 합류할 때 istio-cni에서 발생하던 concurrent map writes 패닉 수정
  • 수동 배포 Gateway 하에서 ListenerSet으로 정의된 HTTPS 리스너의 TLS 인증서 미전달 문제 수정
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.28.8은 Envoy HTTP/2 메모리 고갈 취약점(CVSS 7.5)을 패치하고, TLS 인증서 전달 오류, 라우트 필터 상태 미보고, ambient 모드 헬스 정책 오염 버그를 수정합니다.

  • securityHTTP/2 엔드포인트 노출 중이라면 즉시 CVE-2026-47774 패치 적용

    인증 없이도 조작된 HTTP/2 요청만으로 Envoy 프로세스 메모리를 고갈시킬 수 있습니다. 쿠키 헤더 바이트가 크기 검증에서 누락되고, HPACK 제한이 인코딩 크기에만 적용되어 디코딩 후 실제 크기를 제어하지 못하는 구조적 결함입니다. 외부 트래픽이나 신뢰할 수 없는 HTTP/2 트래픽을 받는 클러스터는 지금 바로 1.28.8로 업그레이드하세요. 즉시 업그레이드가 어렵다면 Envoy 요청 헤더 크기 제한 설정이나 WAF 규칙으로 임시 대응하세요.

  • breakingambient 모드에서 publishNotReadyAddresses + 존 기반 트래픽 분산 조합 즉시 점검 필요

    ambient 모드에서 publishNotReadyAddresses:true와 PreferSameZone 또는 PreferSameNode를 함께 쓰는 서비스가 있다면, 해당 트래픽 분산 프리셋을 공유하는 모든 서비스의 ztunnel 헬스 정책이 AllowAll로 오염되어 클러스터 전체에서 준비되지 않은 엔드포인트로 트래픽이 흘렀을 가능성이 있습니다. 업그레이드 후 영향받은 서비스의 엔드포인트 헬스 동작을 재확인하고, 문제가 활성화된 기간 동안 비정상 파드로 트래픽이 유입됐는지 점검하세요.

  • enhancement라우트 필터 묵살 버그 수정으로 설정 디버깅 신뢰성 향상

    기존에는 HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 아무 오류 없이 사라져 트래픽 동작 이상의 원인을 찾기가 매우 어려웠습니다. 이제 invalid filter status가 Gateway API 리소스 상태에 명시적으로 표시됩니다. 업그레이드 후 과거 감으로 디버깅했던 라우트 설정을 재검토하면 헤더 필터 거부 여부를 바로 확인할 수 있습니다.

주요 변경 (4)
  • CVE-2026-47774 (CVSS 7.5): 조작된 HTTP/2 요청으로 Envoy 메모리 고갈 유발 가능 — 쿠키 헤더 크기 미산정 및 HPACK 디코딩 크기 제한 부재가 원인
  • ListenerSet + 수동 Gateway 배포 조합에서 HTTPS 리스너가 TLS 인증서를 전달하지 못하던 문제 수정
  • HTTPRoute/GRPCRoute에서 잘못된 헤더 값을 가진 필터가 Envoy 설정에서 조용히 삭제되던 문제 수정 — 이제 invalid filter status로 명시적 보고
  • ambient 모드에서 publishNotReadyAddresses:true + PreferSameZone/PreferSameNode 조합이 동일 트래픽 분산 프리셋을 공유하는 전체 서비스의 헬스 정책을 오염시키던 심각한 버그 수정
원문

Istio

Networking & Messaging2026년 6월 4일

Istio 1.30.1은 Envoy HTTP/2에서 발생하는 CVSS 7.5 DoS 취약점 패치와 함께 CNI 에이전트 패닉, 트래픽 분산 정책 오염 버그, 일관 해시 로드밸런싱 회귀 등 13개 버그를 수정합니다.

  • securityCVE-2026-47774 즉시 패치 — 비인증 HTTP/2 DoS 공격 가능

    인증 없이 조작된 HTTP/2 요청만으로 Envoy 메모리를 고갈시킬 수 있습니다. Cookie 헤더 크기 계산 누락과 HPACK 디코딩 한도 미적용이 원인입니다. Istio 1.30.x를 운영 중이라면 지금 바로 1.30.1로 업그레이드하세요. 특히 신뢰할 수 없는 외부 트래픽에 노출된 인그레스 게이트웨이가 가장 위험한 지점입니다.

  • breaking앰비언트 모드 + 트래픽 분산 정책 사용자: 서비스 즉시 점검

    publishNotReadyAddresses: true와 PreferSameZone 또는 PreferSameNode를 함께 사용하는 Service가 있다면, 해당 버그로 인해 동일 프리셋을 공유하는 무관한 다른 Service들에도 healthPolicy: AllowAll이 적용되었을 수 있습니다. 결과적으로 준비되지 않은 파드로 트래픽이 라우팅됐을 가능성이 있습니다. 1.30.1 업그레이드 후 엔드포인트 상태를 검증하고, 준비되지 않은 파드에 트래픽이 유입됐는지 확인하세요.

  • enhancement업그레이드 후 'istioctl analyze'로 Gateway API CRD 버전 점검

    1.30.0에서 Gateway API CRD를 업데이트하지 않고 Istio만 업그레이드하면 TLS 패스스루가 조용히 깨지는 문제가 있었습니다. istiod가 관련 리소스를 오류 없이 필터링하기 때문에 원인 파악이 어려웠는데, 새 IST0176 검사가 이를 명확히 잡아냅니다. 업그레이드 후 istioctl analyze를 실행하고 IST0176 경고가 있으면 운영 환경에서 라우팅 장애로 번지기 전에 조치하세요.

주요 변경 (5)
  • CVE-2026-47774 (CVSS 7.5): Cookie 헤더 및 HPACK 디코딩을 악용한 Envoy HTTP/2 메모리 고갈 — 즉시 패치 필요
  • CNI 에이전트 치명적 패닉 수정: 동일 노드에서 앰비언트 메시에 파드 동시 추가 시 맵 동시 쓰기 경쟁 발생
  • 앰비언트 모드 트래픽 분산 버그 수정: publishNotReadyAddresses + PreferSameZone/Node 조합이 무관한 다른 Service의 healthPolicy를 클러스터 전체에서 오염시키는 문제
  • istioctl analyze에 IST0176 검사 추가 — Istio 최소 요구 버전 미만의 Gateway API CRD 감지
  • 호스트의 nft 바이너리에 JSON 지원이 없을 경우 nftables 백엔드가 iptables로 자동 폴백, CNI 파드 제거 시 무한 재시도 루프 종료
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.30은 AI 트래픽용 실험적 agentgateway, 앰비언트 모드 CIDR 지원, TrafficExtension API를 도입하고, 디버그 엔드포인트 인증을 기본 활성화로 변경했습니다.

  • breaking디버그 엔드포인트 인증이 기본 활성화 — 업그레이드 전 도구 점검 필수

    ENABLE_DEBUG_ENDPOINT_AUTH=true가 기본값이 되면서 포트 15010의 syncz, config_dump 엔드포인트에 인증이 강제됩니다. 인증 없이 이 엔드포인트를 호출하는 내부 대시보드, 스크립트, 모니터링 도구는 업그레이드 후 즉시 오류가 납니다. 업그레이드 전에 포트 15010을 호출하는 모든 컴포넌트를 파악하고, 인증을 추가하거나 DEBUG_ENDPOINT_AUTH_ALLOWED_NAMESPACES로 허용 네임스페이스를 지정하세요.

  • breakingWasmPlugin에서 TrafficExtension API로 마이그레이션 계획 수립 시작

    TrafficExtension이 공식 확장 API로 지정됐고, 앞으로 신규 기능은 WasmPlugin이 아닌 TrafficExtension에만 추가됩니다. WasmPlugin이 즉시 제거되지는 않지만, 프로덕션에서 Wasm 확장을 운영 중이라면 1.31 전에 TrafficExtension으로 전환 테스트를 마쳐두는 것이 좋습니다.

  • enhancement앰비언트 모드에서 CIDR ServiceEntry로 외부 IP 라우팅 단순화

    기존에는 앰비언트 모드에서 ServiceEntry에 개별 IP를 일일이 나열해야 했습니다. CIDR 지원으로 서브넷 단위로 커버가 가능해졌으니, 동적 IP를 쓰는 외부 DB나 온프레미스 서비스의 엔드포인트 목록을 CIDR로 통합해 운영 부담을 줄이세요.

주요 변경 (5)
  • 실험적 agentgateway 도입: AI/MCP 트래픽 전용 Envoy 대체 데이터 플레인, PILOT_ENABLE_AGENTGATEWAY=true로 활성화
  • 포트 15010 디버그 엔드포인트(syncz, config_dump) 인증이 기본값으로 활성화됨 — 기존 도구 영향 주의
  • TrafficExtension API가 WasmPlugin을 대체하는 프록시 확장 메커니즘으로 지정됨
  • 앰비언트 모드에서 ServiceEntry CIDR 주소 지원, 웨이포인트 XFCC 합성, HBONE 윈도우 크기 조정 가능
  • 사이드카에서 앰비언트 모드로의 단계적·가역적 마이그레이션 가이드 공개
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.29.3은 AuthorizationPolicy 우회 취약점과 XDS 네임스페이스 간 설정 노출 문제 등 두 건의 보안 패치를 포함하며, 멀티클러스터 데드락과 AWS EKS 환경 문제도 수정했습니다.

  • security접미사 매칭 사용 중인 AuthorizationPolicy 즉시 점검 및 업그레이드 필요

    source.principals와 source.namespaces 필드에 포함된 점(.), 대괄호([) 등 정규식 메타문자가 Envoy SafeRegex에 이스케이핑 없이 삽입됐습니다. 예를 들어 'spiffe://cluster.local/ns/foo/sa/bar.admin'을 허용하는 정책이 'spiffe://cluster.local/ns/foo/sa/barXadmin' 같은 의도치 않은 identity까지 허용할 수 있었습니다. 와일드카드(*) 접두사를 사용하는 principals 규칙을 모두 점검하고, 1.29.3으로 즉시 업그레이드하세요.

  • securityXDS 디버그 엔드포인트 접근 이력 감사 필요

    StatusGen이 서빙하는 /debug/syncz와 /debug/config_dump 엔드포인트에 네임스페이스 경계 검증이 없었습니다. 네임스페이스 A의 워크로드가 네임스페이스 B의 Envoy 설정 전체를 열람할 수 있었던 셈입니다. 멀티테넌트 클러스터를 운영 중이라면 API 서버 감사 로그에서 해당 엔드포인트 접근 이력을 확인하고, 1.29.3으로 즉시 업그레이드하세요.

  • breaking멀티클러스터 운영 시 업그레이드 후 클러스터 연결/해제 동작 검증 필요

    멀티클러스터 시크릿 컨트롤러에서 원격 클러스터 업데이트 중 발생하던 데드락이 수정됐습니다. 기존에 컨트롤 플레인이 멀티클러스터 환경에서 간헐적으로 멈추는 증상을 겪었다면 이 수정으로 해결됩니다. 업그레이드 후 클러스터 조인/이탈 워크플로우를 스테이징 환경에서 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

주요 변경 (5)
  • 보안 수정: source.principals(접미사 매칭) 및 source.namespaces의 정규식 메타문자 미이스케이핑으로 인한 AuthorizationPolicy 우회 취약점 패치
  • 보안 수정: XDS 디버그 엔드포인트(/debug/syncz, /debug/config_dump)에 동일 네임스페이스 권한 검증 추가 — 기존에는 모든 인증된 워크로드가 타 네임스페이스 설정 덤프를 조회 가능했음
  • 멀티클러스터 시크릿 컨트롤러의 원격 클러스터 업데이트 중 데드락 수정
  • 리프 인증서의 NotAfter 시간이 서명 CA 만료 시간을 초과할 수 있던 문제 수정
  • AWS EKS 환경에서 Security Groups for Pods(branch ENI) 사용 시 kubelet 헬스 프로브 실패 문제 수정
원문