Traefik 3.7.6, 밑줄 헤더를 막는 새 보안 설정 추가
3.7.6에는 이름에 밑줄이 들어간 경우 이를 지우거나 요청 자체를 거절할 수 있는 설정이 추가됐다. 이 설정은 실제 서비스로 요청을 넘기기 전에 단계에서 동작한다. , PHP, CGI, WSGI처럼 헤더 이름을 내부 변수로 바꿔 쓰는 환경에서는 밑줄이 들어간 비슷한 헤더가 예상과 다르게 처리될 수 있다.
CVE-2024-45410과 CVE-2026-33433 관련 공격 흐름에서는 신뢰하던 프록시 헤더가 빠진 뒤, 공격자가 만든 밑줄 형태의 헤더가 에 사용될 수 있다. 이 기능은 그런 헤더 별칭 속이기 위험을 줄이는 추가 방어책이다.
핵심 포인트
- 3.7.6에 설정이 추가됐다.
- 밑줄이 들어간 를 라우팅 전에 삭제하거나 거절할 수 있다.
- , PHP, CGI, WSGI 기반 서비스에서 특히 관련성이 크다.
- CVE-2024-45410과 CVE-2026-33433 관련 공격 흐름의 위험을 줄이는 데 도움이 된다.
- 맥미니 홈서버에서 을 로 쓴다면 업데이트와 설정 확인이 필요하다.