diff --git a/content/zh/docs/releases/supported-releases/index.md b/content/zh/docs/releases/supported-releases/index.md index 855cb1e991..cee35410a2 100644 --- a/content/zh/docs/releases/supported-releases/index.md +++ b/content/zh/docs/releases/supported-releases/index.md @@ -68,11 +68,10 @@ Istio 控制面可以比数据面高一个版本。但数据面的版本不能 Istio 不保证超出支持窗口期的次要版本都有已知的 CVE 补丁。请使用最新和受支持的版本。 {{< /warning >}} -| 次要版本 | 没有已知 CVE 的补丁版本 | -|------------------|------------------------------------------------------| -| 1.22.x | 1.22.1+ | -| 1.21.x | 1.21.3+ | -| 1.20.x | 1.20.7+ | +| 次要版本 | 没有已知 CVE 的补丁版本 | +|------------------|------------------------------------| +| 1.22.x | 1.22.2+ | +| 1.21.x | 1.21.4+ | ## 支持的 Envoy 版本 {#supported-envoy-versions} @@ -84,7 +83,6 @@ Istio 的数据面基于 [Envoy](https://github.com/envoyproxy/envoy)。 |---------------|----------------------| | 1.22.x | release/v1.30 | | 1.21.x | release/v1.29 | -| 1.20.x | release/v1.28 | 您可以在 [`istio/proxy` 仓库](https://github.com/istio/proxy/blob/{{< source_branch_name >}}/WORKSPACE#L26)中找到 Istio 使用的具体 Envoy 提交:查找 `ENVOY_SHA` 变量。 diff --git a/content/zh/news/releases/1.21.x/announcing-1.21.4/index.md b/content/zh/news/releases/1.21.x/announcing-1.21.4/index.md new file mode 100644 index 0000000000..71671fd2d8 --- /dev/null +++ b/content/zh/news/releases/1.21.x/announcing-1.21.4/index.md @@ -0,0 +1,34 @@ +--- +title: 发布 Istio 1.21.4 +linktitle: 1.21.4 +subtitle: 补丁发布 +description: Istio 1.21.4 补丁发布。 +publishdate: 2024-06-27 +release: 1.21.4 +--- + +本次发布实现了 6 月 27 日公布的安全更新 [`ISTIO-SECURITY-2024-005`](/zh/news/security/istio-security-2024-005) +并修复了一些错误,提高了稳健性。 + +本发布说明描述了 Istio 1.21.3 和 Istio 1.21.4 之间的不同之处。 + +{{< relnote >}} + +## 变更 {#changes} + +- **新增** 添加了 `gateways.securityContext` 到清单中,以提供自定义网关 `securityContext` 的选项。 + ([Issue #49549](https://github.com/istio/istio/issues/49549)) + +- **修复** 修复了 `istioctl analyze` 返回 IST0162 误报的问题。 + ([Issue #51257](https://github.com/istio/istio/issues/51257)) + +- **修复** 当设置 `credentialName` 和 `workloadSelector` 时,修复了 IST0128 和 IST0129 中的误报问题。 + ([Issue #51567](https://github.com/istio/istio/issues/51567)) + +- **修复** 修复了当获取其他 URI 时出现错误时,从 URI 获取的 JWKS 未及时更新的问题。 + ([Issue #51636](https://github.com/istio/istio/issues/51636)) + +- **修复** 修复了启用 mTLS 后创建的 `auto-passthrough` 网关返回的 503 错误。 + +- **修复** 修复了代理标签的 `serviceRegistry` 排序,因此我们将 Kubernetes 注册表放在前面。 + ([Issue #50968](https://github.com/istio/istio/issues/50968)) diff --git a/content/zh/news/releases/1.22.x/announcing-1.22.2/index.md b/content/zh/news/releases/1.22.x/announcing-1.22.2/index.md new file mode 100644 index 0000000000..cc8fc79213 --- /dev/null +++ b/content/zh/news/releases/1.22.x/announcing-1.22.2/index.md @@ -0,0 +1,58 @@ +--- +title: 发布 Istio 1.22.2 +linktitle: 1.22.2 +subtitle: 补丁发布 +description: Istio 1.22.2 补丁发布。 +publishdate: 2024-06-27 +release: 1.22.2 +--- + +本次发布实现了 6 月 27 日公布的安全更新 [`ISTIO-SECURITY-2024-005`](/zh/news/security/istio-security-2024-005) +并修复了一些错误,提高了稳健性。 + +本发布说明描述了 Istio 1.22.1 和 Istio 1.22.2 之间的不同之处。 + +{{< relnote >}} + +## 变更 {#changes} + +- **改进** 改进了 waypoint 代理不再以 root 身份运行的问题。 + +- **新增** 添加了 `gateways.securityContext` 到清单中,以提供自定义网关 `securityContext` 的选项。 + ([Issue #49549](https://github.com/istio/istio/issues/49549)) + +- **新增** 在 ztunnel 中添加了一个新选项,以完全禁用 IPv6,从而可以在禁用 IPv6 的内核上运行。 + +- **修复** 修复了 `istioctl analyze` 返回 IST0162 误报的问题。 + ([Issue #51257](https://github.com/istio/istio/issues/51257)) + +- **修复** 修复了 `ENABLE_ENHANCED_RESOURCE_SCOPING` 不属于 Istio 1.20/1.21 的 Helm 兼容性配置文件的一部分的问题。 + ([Issue #51399](https://github.com/istio/istio/issues/51399)) + +- **修复** 修复了尽管处于终止状态,但 Kubernetes Job Pod IP 可能无法完全从 Ambient 中取消注册的问题。 + +- **修复** 当设置 `credentialName` 和 `workloadSelector` 时,修复了 IST0128 和 IST0129 中的误报问题。 + ([Issue #51567](https://github.com/istio/istio/issues/51567)) + +- **修复** 修复了当获取其他 URI 时出现错误时,从 URI 获取的 JWKS 未及时更新的问题。 + ([Issue #51636](https://github.com/istio/istio/issues/51636)) + +- **修复** 修复了导致 `workloadSelector` 策略应用于 ztunnel 中错误命名空间的问题。 + ([Issue #51556](https://github.com/istio/istio/issues/51556)) + +- **修复** 修复了导致 `discoverySelectors` 意外过滤掉所有 `GatewayClasses` 的错误。 + +- **修复** 修复了证书链解析,通过修剪不必要的中间证书来避免不必要的解析错误。 + +- **修复** 修复了 Ambient 模式中的一个错误,该错误导致 Pod 生命周期开始时的请求被拒绝并显示 `unknown source`。 + +- **修复** 修复了 ztunnel 中一些预期的连接终止被报告为错误的问题。 + +- **修复** 修复了当使用仅存在于部分 Pod 上的 `targetPort` 连接服务时 ztunnel 中出现的问题。 + +- **修复** 修复了当多个 `ServiceEntry` 中存在重复的主机名时删除 `ServiceEntry` 时出现的问题。 + +- **修复** 修复了当连接到 `LoadBalancer` IP 时, + ztunnel 会直接发送到 Pod,而不是经过 `LoadBalancer` 的问题。 + +- **修复** 修复了 ztunnel 会将流量发送到终止 Pod 的问题。 diff --git a/content/zh/news/security/istio-security-2024-005/index.md b/content/zh/news/security/istio-security-2024-005/index.md new file mode 100644 index 0000000000..d2a1351610 --- /dev/null +++ b/content/zh/news/security/istio-security-2024-005/index.md @@ -0,0 +1,25 @@ +--- +title: ISTIO-SECURITY-2024-005 +subtitle: 安全公告 +description: Envoy 上报的 CVE 漏洞。 +cves: [] +cvss: "7.5" +vector: "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H" +releases: ["1.21.0 to 1.21.3", "1.22.0 to 1.22.1"] +publishdate: 2024-06-27 +keywords: [CVE] +skip_seealso: true +--- + +{{< security_bulletin >}} + +## CVE + +### Envoy CVE {#envoy-cves} + +- __[GHSA-8mq4-c2v5-3h39](https://github.com/envoyproxy/envoy/security/advisories/GHSA-8mq4-c2v5-3h39)__: + (CVSS Score 7.5, Moderate):Datadog:Datadog 追踪器不处理带有 Unicode 字符标头的链路。 + +## 我受到影响了吗?{#am-i-impacted} + +如果您使用 Istio 1.21.0 到 1.21.3 或 1.22.0 到 1.22.1 并且启用了 Datadog 追踪器,则会受到影响。