Istio 1.12.5 发布说明

Istio 1.12.5 补丁发布。

Mar 9, 2022

此版本修复了 3 月 9 日帖子中所述的安全漏洞 ISTIO-SECURITY-2022-004。此发布说明描述了 Istio 1.12.4 和 1.12.5 之间的不同之处。

升级之前

升级前须知。

下载

下载安装该发行版。

文档

访问该发行版的文档。

代码变更

查看源码变更的详细信息。

安全更新

CVE-2022-24726: (CVSS Score 7.5, High)：由于堆栈耗尽而导致控制平面不能拒绝未经身份验证的服务攻击。

变更

修复修复了 Delta CDS 的一个问题，即更新后一个被移除的服务端口会持续存在。 (Pull Request #37454)
修复修复了 CNI 忽略流量注解的问题。 (Issue #37637)
修复修复了从未更新缓存条目的漏洞。 (Pull Request #37578)

Envoy CVE

目前，人们认为 Istio 不会受到 Envoy 中这些 CVE 的攻击。然而还是将它们在下面列举出来，以让 Istio 的使用者们都能够知道。

CVE-2022-21656 (CVSS Score 3.1, Low)：X.509 证书的错误格式导致 subjectAltName 匹配（和 nameConstraints）绕过配置的约束。
CVE-2022-21657 (CVSS Score 3.1, Low): X.509 证书 Extended Key Usage 和 Trust Purposes 绕过审计或监督。