diff --git a/content/zh/news/releases/1.22.x/announcing-1.22.7/index.md b/content/zh/news/releases/1.22.x/announcing-1.22.7/index.md new file mode 100644 index 0000000000..1a7ab03587 --- /dev/null +++ b/content/zh/news/releases/1.22.x/announcing-1.22.7/index.md @@ -0,0 +1,17 @@ +--- +title: 发布 Istio 1.22.7 +linktitle: 1.22.7 +subtitle: 补丁发布 +description: Istio 1.22.7 补丁发布。 +publishdate: 2024-12-18 +release: 1.22.7 +--- + +本发布说明描述了 Istio 1.22.6 和 Istio 1.22.7 之间的不同之处。 + +本次发布实现了 12 月 18 日公布的安全更新 +[`ISTIO-SECURITY-2024-007`](/zh/news/security/istio-security-2024-007)。 + +{{< relnote >}} + +此版本中没有其他面向用户的变更。 diff --git a/content/zh/news/releases/1.23.x/announcing-1.23.4/index.md b/content/zh/news/releases/1.23.x/announcing-1.23.4/index.md new file mode 100644 index 0000000000..2cd05cc24f --- /dev/null +++ b/content/zh/news/releases/1.23.x/announcing-1.23.4/index.md @@ -0,0 +1,32 @@ +--- +title: 发布 Istio 1.23.4 +linktitle: 1.23.4 +subtitle: 补丁发布 +description: Istio 1.23.4 补丁发布。 +publishdate: 2024-12-18 +release: 1.23.4 +--- + +此版本包含一些错误修复,以提高稳定性。 +本发行说明描述了 Istio 1.23.3 和 Istio 1.23.4 之间的区别。 + +本次发布实现了 12 月 18 日公布的安全更新 +[`ISTIO-SECURITY-2024-007`](/zh/news/security/istio-security-2024-007)。 + +{{< relnote >}} + +## 变更 {#changes} + +- **新增** 添加了向 `istio-cni` Chart 提供任意环境变量的支持。 + +- **修复** 修复了将 `Duration` 与 `EnvoyFilter` + 合并可能导致所有侦听器相关属性意外被修改的问题, + 因为所有侦听器共享相同的指针类型 `listener_filters_timeout`。 + +- **修复** 修复了 Helm 渲染问题,以便在 Pilot 的 `ServiceAccount` 上正确应用注解。 + ([Issue #51289](https://github.com/istio/istio/issues/51289)) + +- **修复** 修复了当 Sidecar 注入器无法处理 Sidecar 配置时, + 注入配置错误被忽略(即记录但未返回)的问题。 + 此更改现在会将错误传播给用户,而不是继续处理错误的配置。 + ([Issue #53357](https://github.com/istio/istio/issues/53357)) diff --git a/content/zh/news/releases/1.24.x/announcing-1.24.2/index.md b/content/zh/news/releases/1.24.x/announcing-1.24.2/index.md new file mode 100644 index 0000000000..7e7d8174eb --- /dev/null +++ b/content/zh/news/releases/1.24.x/announcing-1.24.2/index.md @@ -0,0 +1,43 @@ +--- +title: 发布 Istio 1.24.2 +linktitle: 1.24.2 +subtitle: 补丁发布 +description: Istio 1.24.2 补丁发布。 +publishdate: 2024-12-18 +release: 1.24.2 +--- + +此版本包含一些错误修复,以提高稳定性。 +本发行说明描述了 Istio 1.24.1 和 Istio 1.24.2 之间的区别。 + +本次发布实现了 12 月 18 日公布的安全更新 +[`ISTIO-SECURITY-2024-007`](/zh/news/security/istio-security-2024-007)。 + +{{< relnote >}} + +## 变更 {#changes} + +- **新增** 向 `istio-cni-node` DaemonSet 添加 `DAC_OVERRIDE` 功能。 + 这解决了在某些文件由非 root 用户拥有的环境中运行时出现的问题。 + 注意:在 Istio 1.24 之前,`istio-cni-node` 以 `privileged` 身份运行。 + Istio 1.24 删除了此功能,但删除了一些必需的权限,现在已重新添加。 + 相对于 Istio 1.23,`istio-cni-node` 的权限仍然比此更改后的权限少。 + +- **修复** 修复了 Helm 渲染问题,以便在 Pilot 的 `ServiceAccount` 上正确应用注解。 + ([Issue #51289](https://github.com/istio/istio/issues/51289)) + +- **修复** 修复了 `istiod` 无法正确处理跨命名空间航点代理的 `RequestAuthentication` 的问题。 + ([Issue #54051](https://github.com/istio/istio/issues/54051)) + +- **修复** 修复了非默认修订控制网关缺少 `istio.io/rev` 标签的问题。 + ([Issue #54280](https://github.com/istio/istio/issues/54280)) + +- **修复** 修复了使用 Ambient 模式和 DNS 代理时 `ExternalName` 服务无法解析的问题。 + +- **修复** 修复了阻止配置 `PodDisruptionBudget` `maxUnavailable` 字段的问题。 + ([Issue #54087](https://github.com/istio/istio/issues/54087)) + +- **修复** 修复了当 Sidecar 注入器无法处理 Sidecar 配置时, + 注入配置错误被忽略(即记录但未返回)的问题。 + 此更改现在会将错误传播给用户,而不是继续处理错误的配置。 + ([Issue #53357](https://github.com/istio/istio/issues/53357)) diff --git a/content/zh/news/security/istio-security-2024-007/index.md b/content/zh/news/security/istio-security-2024-007/index.md new file mode 100644 index 0000000000..71493a4261 --- /dev/null +++ b/content/zh/news/security/istio-security-2024-007/index.md @@ -0,0 +1,31 @@ +--- +title: ISTIO-SECURITY-2024-007 +subtitle: 安全公告 +description: Envoy 上报的 CVE 漏洞。 +cves: [CVE-2024-53269, CVE-2024-53270, CVE-2024-53271] +cvss: "7.5" +vector: "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H" +releases: ["1.22.0 to 1.22.6", "1.23.0 to 1.23.3", "1.24.0 to 1.24.1"] +publishdate: 2024-12-18 +keywords: [CVE] +skip_seealso: true +--- + +{{< security_bulletin >}} + +## CVE + +### Envoy CVE {#envoy-cves} + +- __[CVE-2024-53269](https://github.com/envoyproxy/envoy/security/advisories/GHSA-mfqp-7mmj-rm53)__: + (CVSS Score 4.5, Moderate):Happy Eyeballs:验证 `additional_address` 是否为 IP 地址,而不是在排序时崩溃。 +- __[CVE-2024-53270](https://github.com/envoyproxy/envoy/security/advisories/GHSA-q9qv-8j52-77p3)__: + (CVSS Score 7.5, High):HTTP/1:当请求预先重置时,发送过载会导致崩溃。 +- __[CVE-2024-53271](https://github.com/envoyproxy/envoy/security/advisories/GHSA-rmm5-h2wv-mg4f)__: + (CVSS Score 7.1, High):HTTP/1.1:`envoy.reloadable_features.http1_balsa_delay_reset` 存在多个问题。 + +## 我受到影响了吗?{#am-i-impacted} + +如果您使用的是 Istio 1.22.0 至 1.22.6、1.23.0 至 1.23.3 或 1.24 至 1.24.1, +则将受到影响,请立即升级。如果您已创建自定义 `EnvoyFilter` 来启用过载管理器, +请避免使用 `http1_server_abort_dispatch` 负载削减点。