Sync 1.22.7, 1.23.4, 1.24.2 release notes with security update into Chinese (#16118)

2024-12-19 17:12:16 +08:00 · 2024-12-19 17:12:16 +08:00 · 9305ac0291
parent 9eb9ba17d8
commit 9305ac0291
4 changed files with 123 additions and 0 deletions
--- a/content/zh/news/releases/1.22.x/announcing-1.22.7/index.md
+++ b/content/zh/news/releases/1.22.x/announcing-1.22.7/index.md
@ -0,0 +1,17 @@
+---
+title: 发布 Istio 1.22.7
+linktitle: 1.22.7
+subtitle: 补丁发布
+description: Istio 1.22.7 补丁发布。
+publishdate: 2024-12-18
+release: 1.22.7
+---
+
+本发布说明描述了 Istio 1.22.6 和 Istio 1.22.7 之间的不同之处。
+
+本次发布实现了 12 月 18 日公布的安全更新
+[`ISTIO-SECURITY-2024-007`](/zh/news/security/istio-security-2024-007)。
+
+{{< relnote >}}
+
+此版本中没有其他面向用户的变更。
--- a/content/zh/news/releases/1.23.x/announcing-1.23.4/index.md
+++ b/content/zh/news/releases/1.23.x/announcing-1.23.4/index.md
@ -0,0 +1,32 @@
+---
+title: 发布 Istio 1.23.4
+linktitle: 1.23.4
+subtitle: 补丁发布
+description: Istio 1.23.4 补丁发布。
+publishdate: 2024-12-18
+release: 1.23.4
+---
+
+此版本包含一些错误修复，以提高稳定性。
+本发行说明描述了 Istio 1.23.3 和 Istio 1.23.4 之间的区别。
+
+本次发布实现了 12 月 18 日公布的安全更新
+[`ISTIO-SECURITY-2024-007`](/zh/news/security/istio-security-2024-007)。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **新增** 添加了向 `istio-cni` Chart 提供任意环境变量的支持。
+
+- **修复** 修复了将 `Duration` 与 `EnvoyFilter`
+  合并可能导致所有侦听器相关属性意外被修改的问题，
+  因为所有侦听器共享相同的指针类型 `listener_filters_timeout`。
+
+- **修复** 修复了 Helm 渲染问题，以便在 Pilot 的 `ServiceAccount` 上正确应用注解。
+  ([Issue #51289](https://github.com/istio/istio/issues/51289))
+
+- **修复** 修复了当 Sidecar 注入器无法处理 Sidecar 配置时，
+  注入配置错误被忽略（即记录但未返回）的问题。
+  此更改现在会将错误传播给用户，而不是继续处理错误的配置。
+  ([Issue #53357](https://github.com/istio/istio/issues/53357))
--- a/content/zh/news/releases/1.24.x/announcing-1.24.2/index.md
+++ b/content/zh/news/releases/1.24.x/announcing-1.24.2/index.md
@ -0,0 +1,43 @@
+---
+title: 发布 Istio 1.24.2
+linktitle: 1.24.2
+subtitle: 补丁发布
+description: Istio 1.24.2 补丁发布。
+publishdate: 2024-12-18
+release: 1.24.2
+---
+
+此版本包含一些错误修复，以提高稳定性。
+本发行说明描述了 Istio 1.24.1 和 Istio 1.24.2 之间的区别。
+
+本次发布实现了 12 月 18 日公布的安全更新
+[`ISTIO-SECURITY-2024-007`](/zh/news/security/istio-security-2024-007)。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **新增** 向 `istio-cni-node` DaemonSet 添加 `DAC_OVERRIDE` 功能。
+  这解决了在某些文件由非 root 用户拥有的环境中运行时出现的问题。
+  注意：在 Istio 1.24 之前，`istio-cni-node` 以 `privileged` 身份运行。
+  Istio 1.24 删除了此功能，但删除了一些必需的权限，现在已重新添加。
+  相对于 Istio 1.23，`istio-cni-node` 的权限仍然比此更改后的权限少。
+
+- **修复** 修复了 Helm 渲染问题，以便在 Pilot 的 `ServiceAccount` 上正确应用注解。
+  ([Issue #51289](https://github.com/istio/istio/issues/51289))
+
+- **修复** 修复了 `istiod` 无法正确处理跨命名空间航点代理的 `RequestAuthentication` 的问题。
+  ([Issue #54051](https://github.com/istio/istio/issues/54051))
+
+- **修复** 修复了非默认修订控制网关缺少 `istio.io/rev` 标签的问题。
+  ([Issue #54280](https://github.com/istio/istio/issues/54280))
+
+- **修复** 修复了使用 Ambient 模式和 DNS 代理时 `ExternalName` 服务无法解析的问题。
+
+- **修复** 修复了阻止配置 `PodDisruptionBudget` `maxUnavailable` 字段的问题。
+  ([Issue #54087](https://github.com/istio/istio/issues/54087))
+
+- **修复** 修复了当 Sidecar 注入器无法处理 Sidecar 配置时，
+  注入配置错误被忽略（即记录但未返回）的问题。
+  此更改现在会将错误传播给用户，而不是继续处理错误的配置。
+  ([Issue #53357](https://github.com/istio/istio/issues/53357))
--- a/content/zh/news/security/istio-security-2024-007/index.md
+++ b/content/zh/news/security/istio-security-2024-007/index.md
@ -0,0 +1,31 @@
+---
+title: ISTIO-SECURITY-2024-007
+subtitle: 安全公告
+description: Envoy 上报的 CVE 漏洞。
+cves: [CVE-2024-53269, CVE-2024-53270, CVE-2024-53271]
+cvss: "7.5"
+vector: "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H"
+releases: ["1.22.0 to 1.22.6", "1.23.0 to 1.23.3", "1.24.0 to 1.24.1"]
+publishdate: 2024-12-18
+keywords: [CVE]
+skip_seealso: true
+---
+
+{{< security_bulletin >}}
+
+## CVE
+
+### Envoy CVE {#envoy-cves}
+
+- __[CVE-2024-53269](https://github.com/envoyproxy/envoy/security/advisories/GHSA-mfqp-7mmj-rm53)__:
+  (CVSS Score 4.5, Moderate)：Happy Eyeballs：验证 `additional_address` 是否为 IP 地址，而不是在排序时崩溃。
+- __[CVE-2024-53270](https://github.com/envoyproxy/envoy/security/advisories/GHSA-q9qv-8j52-77p3)__:
+  (CVSS Score 7.5, High)：HTTP/1：当请求预先重置时，发送过载会导致崩溃。
+- __[CVE-2024-53271](https://github.com/envoyproxy/envoy/security/advisories/GHSA-rmm5-h2wv-mg4f)__:
+  (CVSS Score 7.1, High)：HTTP/1.1：`envoy.reloadable_features.http1_balsa_delay_reset` 存在多个问题。
+
+## 我受到影响了吗？{#am-i-impacted}
+
+如果您使用的是 Istio 1.22.0 至 1.22.6、1.23.0 至 1.23.3 或 1.24 至 1.24.1，
+则将受到影响，请立即升级。如果您已创建自定义 `EnvoyFilter` 来启用过载管理器，
+请避免使用 `http1_server_abort_dispatch` 负载削减点。