[zh] sync /istio-security-2022-008/ (#12228)

2022-11-14 10:36:31 +08:00 · 2022-11-14 10:36:31 +08:00 · 88fa3e9dd9
parent 7106589b48
commit 88fa3e9dd9
2 changed files with 28 additions and 1 deletions
--- a/content/zh/docs/releases/supported-releases/index.md
+++ b/content/zh/docs/releases/supported-releases/index.md
@ -69,7 +69,7 @@ Istio 不保证超出支持窗口期的 Minor 版本都有已知的 CVE 补丁

 | Minor 版本 | 没有已知 CVE 的补丁版本 |
 |------------------|-----------------------------------------------|
-| 1.15.x           | 1.15.2+                                       |
+| 1.15.x           | 1.15.3+                                       |
 | 1.14.x           | 1.14.5+                                       |
 | 1.13.x           | 1.13.9+                                       |
 | 1.12 和更早版本   | 无，所有版本都有已知的漏洞                         |
--- a/content/zh/news/security/istio-security-2022-008/index.md
+++ b/content/zh/news/security/istio-security-2022-008/index.md
@ -0,0 +1,27 @@
+---
+title: ISTIO-SECURITY-2022-008
+subtitle: 安全公告
+description: 用户具有 localhost 访问权限时有身份模仿的风险。
+cves: [CVE-2022-39388]
+cvss: "7.6"
+vector: "CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N"
+releases: ["1.15.2"]
+publishdate: 2022-11-09
+keywords: [CVE]
+skip_seealso: true
+---
+
+{{< security_bulletin >}}
+
+## CVE
+
+### CVE-2022-39388
+
+- __[CVE-2022-39388](https://github.com/istio/istio/security/advisories/GHSA-6c6p-h79f-g6p4)__:
+  (CVSS Score 7.6, High)：用户具有 localhost 访问权限时有身份模仿的风险。
+
+如果用户能够从 localhost 访问 Istiod 控制平面，该用户可以在服务网格内模仿任何工作负载身份。
+
+## 我受到影响了吗？{#am-i-impacted}
+
+如果您正在运行 Istio 1.15.2 且用户有权限访问正运行 Istiod 的机器，那么您面临的风险很大。