[zh] Sync 1.21.6, 1.22.5, 1.23.2 release notes with security update into Chinese (#15724)

* Sync 1.21.6, 1.22.5, 1.23.2 release notes with security update into Chinese * fix
2024-09-24 18:04:24 +08:00 · 2024-09-24 18:04:24 +08:00 · b18f2a30ad
parent 710d4c6ee5
commit b18f2a30ad
5 changed files with 136 additions and 3 deletions
--- a/content/zh/docs/releases/supported-releases/index.md
+++ b/content/zh/docs/releases/supported-releases/index.md
@ -70,9 +70,9 @@ Istio 不保证超出支持窗口期的次要版本都有已知的 CVE 补丁。

 | 次要版本          | 没有已知 CVE 的补丁版本               |
 |------------------|------------------------------------|
-| 1.23.x           | 1.23.0+                            |
-| 1.22.x           | 1.22.2+                            |
-| 1.21.x           | 1.21.4+                            |
+| 1.23.x           | 1.23.2+                            |
+| 1.22.x           | 1.22.5+                            |
+| 1.21.x           | 1.21.6+                            |

 ## 支持的 Envoy 版本 {#supported-envoy-versions}

--- a/content/zh/news/releases/1.21.x/announcing-1.21.6/index.md
+++ b/content/zh/news/releases/1.21.x/announcing-1.21.6/index.md
@ -0,0 +1,24 @@
+---
+title: 发布 Istio 1.21.6
+linktitle: 1.21.6
+subtitle: 补丁发布
+description: Istio 1.21.6 补丁发布。
+publishdate: 2024-09-23
+release: 1.21.6
+---
+
+本次发布实现了 9 月 19 日公布的安全更新 [ISTIO-SECURITY-2024-006](/zh/news/security/istio-security-2024-006)
+并修复了一些错误，提高了稳健性。
+本发布说明描述了 Istio 1.21.5 和 Istio 1.21.6 之间的不同之处。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **修复** 修复了 Sidecar 上的 `PILOT_SIDECAR_USE_REMOTE_ADDRESS` 功能，
+  支持将内部地址设置为网格网络而不是本地主机，以防止在启用
+  `envoy.reloadable_features.explicit_internal_address_config` 时进行标头清理。
+
+- **Fixed** `VirtualMachine` `WorkloadEntry` locality label missing during auto registration.
+- **修复** 修复了自动注册期间缺少 `VirtualMachine` `WorkloadEntry` 位置标签的问题。
+  ([Issue #51800](https://github.com/istio/istio/issues/51800))
--- a/content/zh/news/releases/1.22.x/announcing-1.22.5/index.md
+++ b/content/zh/news/releases/1.22.x/announcing-1.22.5/index.md
@ -0,0 +1,23 @@
+---
+title: Announcing Istio 1.22.5
+linktitle: 1.22.5
+subtitle: Patch Release
+description: Istio 1.22.5 patch release.
+publishdate: 2024-09-19
+release: 1.22.5
+---
+
+本次发布实现了 9 月 19 日公布的安全更新 [ISTIO-SECURITY-2024-006](/zh/news/security/istio-security-2024-006)
+并修复了一些错误，提高了稳健性。
+本发布说明描述了 Istio 1.22.4 和 Istio 1.22.5 之间的不同之处。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **修复** 修复了 Sidecar 上的 `PILOT_SIDECAR_USE_REMOTE_ADDRESS` 功能，
+  支持将内部地址设置为网格网络而不是本地主机，以防止在启用
+  `envoy.reloadable_features.explicit_internal_address_config` 时进行标头清理。
+
+- **移除** 删除了 1.22.4 中对 ServiceEntry 中多个服务 VIP 处理的变更。
+  ([Issue #52944](https://github.com/istio/istio/issues/52944)),([Issue #52847](https://github.com/istio/istio/issues/52847))
--- a/content/zh/news/releases/1.23.x/announcing-1.23.2/index.md
+++ b/content/zh/news/releases/1.23.x/announcing-1.23.2/index.md
@ -0,0 +1,20 @@
+---
+title: Announcing Istio 1.23.2
+linktitle: 1.23.2
+subtitle: Patch Release
+description: Istio 1.23.2 patch release.
+publishdate: 2024-09-19
+release: 1.23.2
+---
+
+本次发布实现了 9 月 19 日公布的安全更新 [ISTIO-SECURITY-2024-006](/zh/news/security/istio-security-2024-006)
+并修复了一些错误，提高了稳健性。
+本发布说明描述了 Istio 1.23.1 和 Istio 1.23.2 之间的不同之处。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **修复** 修复了 Sidecar 上的 `PILOT_SIDECAR_USE_REMOTE_ADDRESS` 功能，
+  支持将内部地址设置为网格网络而不是本地主机，以防止在启用
+  `envoy.reloadable_features.explicit_internal_address_config` 时进行标头清理。
--- a/content/zh/news/security/istio-security-2024-006/index.md
+++ b/content/zh/news/security/istio-security-2024-006/index.md
@ -0,0 +1,66 @@
+---
+title: ISTIO-SECURITY-2024-006
+subtitle: 安全公告
+description: Envoy 上报的 CVE 漏洞。
+cves: [CVE-2024-45807, CVE-2024-45808, CVE-2024-45806, CVE-2024-45809, CVE-2024-45810]
+cvss: "7.5"
+vector: "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H"
+releases: ["1.22.0 to 1.22.4", "1.23.0 to 1.23.1"]
+publishdate: 2024-09-19
+keywords: [CVE]
+skip_seealso: true
+---
+
+{{< security_bulletin >}}
+
+## CVE
+
+### Envoy CVE {#envoy-cves}
+
+- __[CVE-2024-45807](https://github.com/envoyproxy/envoy/security/advisories/GHSA-qc52-r4x5-9w37)__:
+  (CVSS Score 7.5, High)：oghttp2 可能在 `OnBeginHeadersForStream` 上崩溃。
+
+- __[CVE-2024-45808](https://github.com/envoyproxy/envoy/security/advisories/GHSA-p222-xhp9-39rc)__:
+  (CVSS Score 6.5, Moderate)：访问记录器的 `REQUESTED_SERVER_NAME` 字段缺乏验证，导致访问日志中注入意外内容。
+
+- __[CVE-2024-45806](https://github.com/envoyproxy/envoy/security/advisories/GHSA-ffhv-fvxq-r6mf)__:
+  (CVSS Score 6.5, Moderate)：`x-envoy` 标头可能被外部来源操纵。
+
+- __[CVE-2024-45809](https://github.com/envoyproxy/envoy/security/advisories/GHSA-wqr5-qmq7-3qw3)__:
+  (CVSS Score 5.3, Moderate)：JWT 过滤器在使用远程 JWK 的清除路由缓存中崩溃。
+
+- __[CVE-2024-45810](https://github.com/envoyproxy/envoy/security/advisories/GHSA-qm74-x36m-555q)__:
+  (CVSS Score 6.5, Moderate)：Envoy 因 HTTP 异步客户端中的 `LocalReply` 崩溃。
+
+## 我受到影响了吗？{#am-i-impacted}
+
+如果您使用 Istio 1.22.0 到 1.22.4 或 1.23.0 到 1.23.1，则会受到影响。
+
+如果您部署了 Istio Ingress Gateway，则可能会受到外部来源的 `x-envoy` 标头操纵。
+Envoy 以前默认将所有私有 IP 视为内部 IP，因此不会清理来自具有私有 IP 的外部来源的标头。
+Envoy 增加了对标志 `envoy.reloadable_features.explicit_internal_address_config` 的支持，
+以明确取消信任所有 IP。Envoy 和 Istio 目前默认禁用该标志以实现向后兼容。
+在未来的 Envoy 和 Istio 版本中，将默认启用标志 `envoy.reloadable_features.explicit_internal_address_config`。
+可以通过 `runtimeValues` 中的
+[ProxyConfig](/zh/docs/reference/config/istio.mesh.v1alpha1/#ProxyConfig)
+在网格范围内或每个代理中设置 Envoy 标志。
+
+网格范围的示例配置：
+
+{{< text yaml >}}
+meshConfig:
+  defaultConfig:
+    runtimeValues:
+      "envoy.reloadable_features.explicit_internal_address_config": "true"
+{{< /text >}}
+
+每个代理的示例配置：
+
+{{< text yaml >}}
+annotations:
+  proxy.istio.io/config: |
+    runtimeValues:
+      "envoy.reloadable_features.explicit_internal_address_config": "true"
+{{< /text >}}
+
+注意，ProxyConfig 中的字段不是动态配置的；更改需要重新启动工作负载才能生效。