Sync #14598 into Chinese (#14603)

2024-02-12 09:27:34 +08:00 · 2024-02-12 09:27:34 +08:00 · f84fa32640
parent 80787f9511
commit f84fa32640
4 changed files with 114 additions and 3 deletions
--- a/content/zh/docs/releases/supported-releases/index.md
+++ b/content/zh/docs/releases/supported-releases/index.md
@ -70,9 +70,8 @@ Istio 不保证超出支持窗口期的次要版本都有已知的 CVE 补丁。

 | 次要版本        | 没有已知 CVE 的补丁版本                                 |
 | ---------------- | ---------------------------------------------------- |
-| 1.20.x           | 1.20.0+                                              |
-| 1.19.x           | 1.19.3+                                              |
-| 1.18.x           | 1.18.5+                                              |
+| 1.20.x           | 1.20.3+                                              |
+| 1.19.x           | 1.19.7+                                              |

 ## 支持的 Envoy 版本 {#supported-envoy-versions}

--- a/content/zh/news/releases/1.19.x/announcing-1.19.7/index.md
+++ b/content/zh/news/releases/1.19.x/announcing-1.19.7/index.md
@ -0,0 +1,33 @@
+---
+title: 发布 Istio 1.19.7
+linktitle: 1.19.7
+subtitle: 补丁发布
+description: Istio 1.19.7 补丁发布。
+publishdate: 2024-02-09
+release: 1.19.7
+---
+
+本次发布实现了 2 月 8 日公布的安全更新 [`ISTIO-SECURITY-2024-001`](/zh/news/security/istio-security-2024-001)
+并修复了一些错误，提高了稳健性。
+
+本发布说明描述了 Istio 1.19.6 和 Istio 1.19.7 之间的不同之处。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **修复** 修复了更新服务的 `TargetPort` 不会触发 xDS 推送的问题。
+  ([Issue #48580](https://github.com/istio/istio/issues/48580))
+
+- **修复** 修复了安装程序意外删除使用 `istioctl tag set` 生成的 webhook 的问题。
+  ([Issue #47423](https://github.com/istio/istio/issues/47423))
+
+- **修复** 修复了一个会导致没有关联服务（包括同一命名空间内的所有服务）的 Pod 生成错误配置的问题。
+  这有时会导致入站侦听器冲突错误。
+
+- **修复** 修复了一个导致 `PeerAuthentication` 在 Ambient 模式下过于严格的错误。
+
+- **修复** 修复了导致 Istio CNI 在最小/锁定节点上停止运行的问题（例如没有 `sh` 二进制文件）。
+  新逻辑无需任何外部依赖即可运行，并且如果遇到错误（这可能是由 SELinux 规则等原因引起的），
+  它将尝试继续运行。特别指出，这修复了在 Bottlerocket 节点上运行 Istio 的问题。
+  ([Issue #48746](https://github.com/istio/istio/issues/48746))
--- a/content/zh/news/releases/1.20.x/announcing-1.20.3/index.md
+++ b/content/zh/news/releases/1.20.x/announcing-1.20.3/index.md
@ -0,0 +1,39 @@
+---
+title: 发布 Istio 1.20.3
+linktitle: 1.20.3
+subtitle: 补丁发布
+description: Istio 1.20.3 补丁发布。
+publishdate: 2024-02-09
+release: 1.20.3
+---
+
+本次发布实现了 2 月 8 日公布的安全更新 [`ISTIO-SECURITY-2024-001`](/zh/news/security/istio-security-2024-001)
+并修复了一些错误，提高了稳健性。
+
+本发布说明描述了 Istio 1.20.2 和 Istio 1.20.3 之间的不同之处。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **改进** 改进了 Envoy 进程提前终止时的优雅终止逻辑。
+  ([Issue #36686](https://github.com/istio/istio/issues/36686))
+
+- **修复** 修复了更新服务的 `TargetPort` 不会触发 xDS 推送的问题。
+  ([Issue #48580](https://github.com/istio/istio/issues/48580))
+
+- **修复** 修复了在没有配置变更时不必要执行集群内分析的问题。
+  ([Issue #48665](https://github.com/istio/istio/issues/48665))
+
+- **修复** 修复了安装程序意外删除使用 `istioctl tag set` 生成的 webhook 的问题。
+  ([Issue #47423](https://github.com/istio/istio/issues/47423))
+
+- **修复** 修复了一个会导致没有关联服务（包括同一命名空间内的所有服务）的 Pod 生成错误配置的问题。
+  这有时会导致入站侦听器冲突错误。
+
+- **修复** 修复了一个导致 `PeerAuthentication` 在 Ambient 模式下过于严格的错误。
+
+- **修复** 修复了导致 Istio CNI 在最小/锁定节点上停止运行的问题（例如没有 `sh` 二进制文件）。
+  新逻辑无需任何外部依赖即可运行，并且如果遇到错误（这可能是由 SELinux 规则等原因引起的），
+  它将尝试继续运行。特别指出，这修复了在 Bottlerocket 节点上运行 Istio 的问题。
+  ([Issue #48746](https://github.com/istio/istio/issues/48746))
--- a/content/zh/news/security/istio-security-2024-001/index.md
+++ b/content/zh/news/security/istio-security-2024-001/index.md
@ -0,0 +1,40 @@
+---
+title: ISTIO-SECURITY-2024-001
+subtitle: 安全公告
+description: Envoy 上报的 CVE 漏洞。
+cves: [CVE-2024-23322, CVE-2024-23323, CVE-2024-23324, CVE-2024-23325, CVE-2024-23327]
+cvss: "8.6"
+vector: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N"
+releases: ["1.19.0 之前的所有版本", "1.19.0 到 1.19.6", "1.20.0 到 1.20.2"]
+publishdate: 2024-02-09
+keywords: [CVE]
+skip_seealso: true
+---
+
+{{< security_bulletin >}}
+
+## CVE
+
+### Envoy CVE {#envoy-cves}
+
+**注意**：在本公告发布时，以下安全公告尚未被公布，但应该很快就会被公布。
+
+- __[CVE-2024-23322](https://github.com/envoyproxy/envoy/security/advisories/GHSA-6p83-mfmh-qv38)__:
+  (CVSS Score 7.5, High)：当空闲且在退避间隔内每次发生请求尝试超时，Envoy 会崩溃。
+- __[CVE-2024-23323](https://github.com/envoyproxy/envoy/security/advisories/GHSA-x278-4w4x-r7ch)__:
+  (CVSS Score 4.3, Moderate)：使用正则表达式配置 URI 模板匹配器时 CPU 使用率过高。
+- __[CVE-2024-23324](https://github.com/envoyproxy/envoy/security/advisories/GHSA-gq3v-vvhj-96j6)__:
+  (CVSS Score 8.6, High)：当代理协议过滤器设置无效的 UTF-8 元数据时，可以绕过外部身份验证。
+- __[CVE-2024-23325](https://github.com/envoyproxy/envoy/security/advisories/GHSA-5m7c-mrwr-pm26)__:
+  (CVSS Score 7.5, High)：当使用的操作系统不支持地址类型时，Envoy 会崩溃。
+- __[CVE-2024-23327](https://github.com/envoyproxy/envoy/security/advisories/GHSA-4h5x-x9vh-m29j)__:
+  (CVSS Score 7.5, High)：当命令类型为 LOCAL 时，代理协议崩溃。
+
+## 我受到影响了吗？{#am-i-impacted}
+
+大多数可利用行为与 PROXY 协议的使用有关，主要被使用于网关场景。
+如果您或您的用户通过 `EnvoyFilter` 或[代理配置](/zh/docs/ops/configuration/traffic-management/network-topologies/#proxy-protocol)注解启用了 PROXY 协议，
+则存在潜在的暴露风险。
+
+除了使用 PROXY 协议之外，对于访问日志使用 `%DOWNSTREAM_PEER_IP_SAN%`
+[命令运算符](https://www.envoyproxy.io/docs/envoy/latest/configuration/observability/access_log/usage.html#command-operators)有潜在的暴露风险。