Istio 1.12.4 发布说明

Istio 1.12.4 补丁发布。

Feb 22, 2022

此版本修复了 2 月 22 日帖子中所述的安全漏洞 ISTIO-SECURITY-2022-003。此发布说明描述了 Istio 1.12.3 和 1.12.4 之间的不同之处。

升级前须知。

下载安装该发行版。

访问该发行版的文档。

查看源码变更的详细信息。

安全更新

目前，人们认为 Istio 不会受到 Envoy 中这些 CVE 的攻击。然而还是将它们在下面列举出来，以让 Istio 的使用者们都能够知道。

CVE-2021-43824: (CVSS Score 6.5, Medium): 当使用 JWT 过滤器 safe_regex 匹配时可能会取消引用空指针。
CVE-2021-43825: (CVSS Score 6.1, Medium): 当响应过滤器增加响应数据并且增加的数据超过下游缓冲区限制时，操作可能不会正确中止，并访问已释放的内存块。
CVE-2021-43826: (CVSS Score 6.1, Medium): 如果在上游连接建立期间下游断开连接，则在通过 HTTP 隧道传输 TCP 时，操作可能不会正确中止，并访问已释放的内存块。
CVE-2022-21654: (CVSS Score 7.3, High): 不正确的配置处理允许 mTLS 会话在更改验证设置后无需重新验证即可重用。
CVE-2022-21655: (CVSS Score 7.5, High): 内部重定向到具有直接响应条目的路由的错误处理。
CVE-2022-23606: (CVSS Score 4.4, Moderate): 当通过 Cluster Discovery Service 删除集群时，堆栈耗尽。