Istio 1.13.2 发布公告

Istio 1.13.2 补丁发布。

Mar 9, 2022

此版本修复了我们 3 月 9 日的文章中描述的安全漏洞，ISTIO-SECURITY-2022-004。同时此发布说明描述了 Istio 1.13.1 和 1.13.2 之间的不同之处。

下载安装该发行版。

访问该发行版的文档。

查看源码变更的详细信息。

安全更新

CVE-2022-24726: (CVSS Score 7.5, High): Istio 控制平面容易受到请求处理错误的影响，允许未经验证的恶意攻击者发送特制或超大消息，从而堆栈耗尽造成控制平面崩溃。

新增新增一个 OpenTelemetry 访问日志程序。 (Issue #36637)
新增新增支持使用默认 JSON 访问日志格式的 Telemetry API。 (Issue #37663)
修复修复了将网关设置为 TLS 入口网关时， describe pod 不显示 VirtualService 信息的问题。 (Issue #35301)
修复修复了当使用 CNI 时，注解 traffic.sidecar.istio.io/includeOutboundPorts 不生效的问题。 (Issue #37637)
修复修复了使用 Telemetry API 启用 Stackdriver 指标收集时，在某些场景中错误地启用日志记录的问题。 (Issue #37667)

目前，人们认为 Istio 不会受到 Envoy 中这些 CVE 的攻击。然而还是将它们在下面列举出来，以让 Istio 的使用者们都能够知道。

CVE-2022-21656 (CVSS Score 3.1, Low):X.509 证书的错误格式导致 subjectAltName 匹配（和 nameConstraints）绕过配置的约束。
CVE-2022-21657 (CVSS Score 3.1, Low): X.509 证书 Extended Key Usage 和 Trust Purposes 绕过审计或监督。