发布 Istio 1.15.7

Istio 1.15.7 补丁发布。

Apr 4, 2023

此版本修复了我们 4 月 4 日发布的帖子 ISTIO-SECURITY-2023-001 中描述的安全漏洞。本发布说明描述了 Istio 1.15.6 和 Istio 1.15.7 之间的不同之处。

升级前须知。

下载安装该发行版。

访问该发行版的文档。

查看源码变更的详细信息。

安全更新

CVE-2023-27487: (CVSS Score 8.2, High)：客户端可能会伪造 x-envoy-original-path 头信息。
CVE-2023-27488: (CVSS Score 5.4, Moderate)：当收到具有非 UTF8 值的 HTTP 头信息时， gRPC 客户端会生成无效的 protobuf。
CVE-2023-27491: (CVSS Score 5.4, Moderate)：Envoy 将转发无效的 HTTP/2 和 HTTP/3 下游头信息。
CVE-2023-27492: (CVSS Score 4.8, Moderate)：在 Lua 过滤器中处理大请求体时导致崩溃。
CVE-2023-27493: (CVSS Score 8.1, High)：Envoy 不会转义 HTTP 头信息的值。
CVE-2023-27496: (CVSS Score 6.5, Moderate)：在 OAuth 过滤器中收到没有 state 参数的重定向 URL 时导致崩溃。

修复修复了无法使用 proxy-config 更改 PrivateKeyProvider 的问题。 (Issue #41760)
修复修复了当 EnvoyFilter.ListenerMatch.FilterChainMatch 部分缺少 ‘filter’ 可选字段时 istioctl analyze 会抛出 SIGSEGV 的问题。 (Issue #42831)
修复修复了 Cluster.ConnectTimeout 类型的 EnvoyFilter 影响不相关 Clusters 的问题。 (Issue #43435)