RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: SPIRE해제 ×

SPIRE

Security2026년 5월 29일

v1.14.7은 azure_imds 노드 어테스터의 인증서 검증 결함을 수정합니다. 공격자가 임의 Azure VM으로 위장해 노드 어테스테이션을 통과할 수 있었던 취약점으로, Azure IMDS를 사용 중이면 즉시 업그레이드해야 합니다.

  • securityazure_imds 노드 어테스터 사용 중이면 즉시 업그레이드

    azure_imds 노드 어테스터에서 PKCS7 인증서 검증 로직에 결함이 있었습니다. 인증서 백의 첫 번째 인증서를 Azure 루트에 anchoring하면서도, 실제 서명 검증은 SignerInfo에서 별도로 가져온 서명자 인증서로 수행했습니다. 공격자가 정상적인 Azure 인증서를 인증서 백에 넣고 별개의 인증서로 서명된 문서를 함께 제출하면, 임의 VM으로 위장한 노드 어테스테이션이 통과될 수 있었습니다. Azure IMDS 노드 어테스터를 쓰고 있다면 즉시 업그레이드해야 합니다.

  • enhancement의존성 패키지 일괄 업데이트 포함

    golang.org/x/net, golang.org/x/crypto, go-jose/v4, Go 툴체인(1.26.3)이 모두 업데이트됩니다. SPIRE 자체를 업그레이드하면 함께 적용되므로 별도 조치는 필요 없습니다.

주요 변경 (4)
  • azure_imds 서버 노드 어테스터의 PKCS7 인증서 검증 결함 수정 — 서명 검증과 체인 검증이 분리되어 노드 위장 가능했던 문제
  • Go 툴체인 1.26.3으로 업데이트
  • golang.org/x/net v0.55.0, golang.org/x/crypto v0.52.0으로 업그레이드
  • go-jose/v4 v4.1.4로 업데이트
원문

SPIRE

Security2026년 4월 28일

SPIRE v1.14.6은 EC2 인스턴스 사칭을 허용하는 aws_iid 결함과 조인 토큰 경쟁 조건, 두 가지 심각한 보안 취약점을 수정합니다.

  • securityaws_iid 어테스테이션 사용 중이라면 즉시 업그레이드

    공격자가 EC2 인스턴스 하나만 제어해도 aws_iid 어테스테이션 과정에서 다른 모든 EC2 인스턴스의 신원을 위조할 수 있는 심각한 결함입니다. 위조된 신원은 SPIFFE ID 할당과 워크로드 인가 결정 전체에 영향을 줍니다. v1.14.6으로 즉시 업그레이드하고, 업그레이드 후 노드 어테스테이션 로그에서 실제 AWS 메타데이터와 불일치하는 비정상적인 등록 기록이 없는지 반드시 확인하세요.

  • security조인 토큰 이중 등록 가능 — 지금 패치하고 발급 정책 재검토

    TOCTOU 결함으로 동일한 조인 토큰으로 두 에이전트가 동시에 어테스테이션을 완료할 수 있었습니다. 자동화 파이프라인이나 임시 환경에서 조인 토큰을 배포한다면, 토큰을 탈취한 공격자가 정상 에이전트와의 경쟁으로 등록을 먼저 완료할 위험이 있습니다. v1.14.6으로 업그레이드한 뒤, 토큰 유효 기간을 단축하거나 민감한 워크로드에는 x509pop 같은 대안적 어테스테이션 방식으로 전환하는 것을 검토하세요.

주요 변경 (4)
  • aws_iid 어테스터 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서, 실제 신원은 공격자가 조작 가능한 별도 필드에서 파싱하는 결함 제거
  • 조인 토큰 TOCTOU 경쟁 조건 수정: tx.Delete()가 삭제된 행이 없어도 오류를 반환하지 않아 동일 토큰으로 동시 어테스테이션이 모두 성공하던 문제 해결
  • 행 잠금 기반 읽기-수정-쓰기 트랜잭션으로 교체하여 정확히 하나의 행만 삭제됨을 보장
  • 두 취약점 모두 Tianshuo Han이 제보
원문

SPIRE

Security2026년 4월 28일

v1.13.6은 AWS IID 어테스터의 EC2 인스턴스 사칭 취약점과 조인 토큰의 경쟁 조건 버그를 수정한 보안 패치입니다. 즉시 업그레이드하세요.

  • securityAWS IID 어테스테이션 사용 중이라면 즉시 업그레이드

    AWS IID 어테스터 취약점은 심각합니다. EC2 인스턴스 하나만 제어할 수 있으면 노드 어테스테이션 과정에서 환경 내 임의의 다른 EC2 인스턴스를 사칭할 수 있습니다. SVID 발급, RBAC, 워크로드 인증 등 모든 다운스트림 결정이 위조된 identity 기반으로 동작하게 됩니다. aws_iid 플러그인을 사용 중이라면 v1.13.6으로 즉시 패치하고, SPIRE 서버 로그에서 비정상적인 EC2 노드 어테스테이션 이벤트(특히 크로스 계정·크로스 리전 패턴)를 점검하세요.

  • security동시 에이전트 부트스트래핑 환경이라면 조인 토큰 즉시 교체

    TOCTOU 버그로 인해 같은 조인 토큰을 동시에 사용한 두 에이전트가 모두 어테스테이션에 성공할 수 있었습니다. 1회용 토큰의 보안 보장이 깨진 셈입니다. 업그레이드 후, 동시 에이전트 부트스트래핑이 발생했을 가능성이 있는 시점에 사용된 조인 토큰은 모두 교체하세요. init 컨테이너나 CI 파이프라인처럼 병렬 실행이 가능한 자동화 환경에서 조인 토큰을 사용하고 있다면, 해당 구간에서 경쟁 조건이 실제로 발생했는지 감사 로그를 확인하세요.

주요 변경 (3)
  • AWS IID 어테스터 취약점 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서 실제 identity document는 공격자가 제어 가능한 별도 필드에서 파싱 — EC2 인스턴스 사칭 가능
  • 조인 토큰 TOCTOU 경쟁 조건 수정: 동일 토큰으로 동시 어테스테이션 요청이 모두 성공하는 문제를 행 잠금 기반 read-modify-write 트랜잭션으로 해결
  • 두 취약점 모두 Tianshuo Han이 제보했으며, 이번 릴리스에는 기능 변경 없이 보안 수정만 포함
원문

SPIRE

Security2026년 3월 18일

v1.14.3은 SPIFFE 인증서 체인 검증을 우회할 수 있는 TLS 세션 티켓 취약점을 패치하고, 노드 캐시 재구축 버그와 AWS·페더레이션 관련 안정성 문제를 수정했습니다.

  • securityTLS 세션 티켓 우회 취약점 — 즉시 업그레이드 필요

    SPIRE 서버 TCP 엔드포인트에서 TLS 세션 재개 시 SPIFFE 인증서 체인 검증이 생략될 수 있었습니다. 만료되거나 폐기된 인증서를 가진 클라이언트가 현재 신뢰 번들 검증 없이 재연결할 수 있는 신뢰 경계 위반입니다. v1.14.3으로 즉시 업그레이드하세요. 서버 측에서 자동으로 세션 티켓을 비활성화하므로 별도 설정 변경은 필요 없습니다.

  • security에이전트 로그의 셀렉터 데이터 노출 문제 해결

    셀렉터에는 Kubernetes 파드 레이블, Unix UID, AWS 메타데이터 등 민감한 워크로드 식별 정보가 포함될 수 있습니다. 업그레이드 후에는 에이전트 로그에 더 이상 기록되지 않지만, 기존 로그 파이프라인과 보존 정책을 점검해 과거 로그에 남아 있는 데이터를 확인하세요.

  • breakingPQC 사용자: X25519MLKEM768 마이그레이션 필요

    RequirePQKEM TLS 정책을 활성화한 경우, 알고리즘이 초안 x25519Kyber768Draft00에서 표준 X25519MLKEM768로 변경됩니다. 양쪽 피어 모두 v1.14.3 이상이어야 TLS 핸드셰이크가 성공합니다. 에이전트와 서버를 동시에 업그레이드하는 일정을 조율하세요.

  • enhancement노드 캐시 재구축 버그 — 동적 환경에서 특히 중요

    노드 캐시 재구축이 시작 후 단 1회만 실행되고 이후에는 중단되는 버그가 있었습니다. 워크로드 변경이 잦은 환경에서는 에이전트가 오래된 캐시 데이터를 계속 제공하게 됩니다. v1.14.3에서 자동 수정되며 별도 설정 변경 없이 업그레이드만 하면 됩니다. 동적 환경일수록 에이전트 업그레이드를 서두르세요.

주요 변경 (5)
  • 서버 TCP 엔드포인트의 TLS 세션 티켓 재개(resumption) 비활성화 — 신뢰 번들 검증 우회 가능성 차단
  • 민감 정보 노출 방지를 위해 에이전트 레벨 셀렉터 로깅 제거
  • RequirePQKEM 정책의 알고리즘을 초안 x25519Kyber768Draft00에서 표준화된 X25519MLKEM768로 교체
  • 노드 캐시 주기적 재구축이 최초 1회만 실행되던 버그 수정 — 설정된 인터벌로 정상 반복 실행
  • ReadOnlyEntry.Clone() 버그 수정: Admin 필드 값이 Downstream 필드로 잘못 복사되어 인가 메타데이터가 오염되던 문제 해결
원문

SPIRE

Security2026년 3월 4일

SPIRE v1.14.2는 서버 노드 증명 플러그인의 SSRF 공격과 CPU 고갈을 일으킬 수 있는 두 가지 심각한 보안 취약점을 해결했습니다.

  • security긴급 업그레이드로 중요 취약점 패치 필요

    http_challenge나 x509pop 증명자를 사용하는 SPIRE 서버에 두 가지 보안 문제가 있습니다. SSRF 취약점으로 공격자가 서버를 무단 도메인으로 리다이렉트하고 응답 데이터를 추출할 수 있으며, x509pop DoS 취약점으로 CPU 고갈 공격이 가능합니다. 해당 증명 플러그인을 사용한다면 v1.14.2로 즉시 업데이트하세요.

주요 변경 (3)
  • http_challenge 서버 노드 증명 플러그인의 SSRF 취약점 수정
  • x509pop 서버 노드 증명 플러그인의 CPU 고갈 문제 해결
  • 노드 증명 과정에서 공격자가 악용할 수 있는 두 취약점 모두 패치
원문

SPIRE

Security2026년 3월 4일

SPIRE v1.13.4는 노드 증명 플러그인에서 SSRF 공격과 CPU 고갈 공격을 가능하게 하는 두 가지 중대한 보안 취약점을 수정했습니다.

  • security중대한 취약점 패치를 위한 즉시 업그레이드 필요

    노드 증명 보안에 영향을 주는 두 가지 심각한 취약점이 발견되었습니다. http_challenge 플러그인의 SSRF 결함은 공격자가 내부 네트워크를 탐지할 수 있게 하고, x509pop 플러그인은 DoS 공격에 악용될 수 있습니다. v1.13.4로 즉시 업데이트하고 최근 증명 로그에서 의심스러운 활동을 감사하세요.

  • security노드 증명기 플러그인 구성 검토

    http_challenge 또는 x509pop 증명기 플러그인을 사용하는 경우, 네트워크 보안 제어를 검증하고 업그레이드가 완료될 때까지 노드 증명 엔드포인트에 임시 제한을 고려하세요. 증명 프로세스 중 CPU 사용량 패턴을 모니터링하세요.

주요 변경 (4)
  • http_challenge 서버 노드 증명기에서 공격자가 서버 요청을 리디렉션할 수 있는 SSRF 취약점 수정
  • x509pop 서버 노드 증명기 플러그인의 CPU 고갈 공격 벡터 패치
  • 두 취약점 모두 워크로드 신원 검증에 사용되는 노드 증명 프로세스에 영향
  • 무단 접근 및 서비스 거부 시나리오를 다루는 보안 수정 사항
원문