Istio 1.2.4 发布公告

Istio 1.2.4 版本发布公告。

Aug 13, 2019

我们很高兴地宣布 Istio 1.2.4 现在是可用的，详情请查看如下更改。

升级前须知。

下载安装该发行版。

访问该发行版的文档。

查看源码变更的详细信息。

安全更新

此版本包含了在 ISTIO-SECURITY-2019-003] 和 ISTIO-SECURITY-2019-004 中所阐述的安全漏洞程序的修复。特别是：

ISTIO-SECURITY-2019-003: 一位 Envoy 用户公开报告了一个正则表达式的匹配问题 (c.f. Envoy Issue 7728)，该问题可使 Envoy 出现非常严重的 URI 崩溃。

CVE-2019-14993: 经调查，Istio 小组发现，当用户正在使用 Istio Api 中一些像 JWT, VirtualService, HTTPAPISpecBinding, QuotaSpecBinding 的正则表达式时，会被利用而发起 Istio DoS 攻击。

ISTIO-SECURITY-2019-004: Envoy 和之后的 Istio 更容易受到一系列基于 HTTP/2 的 DoS 攻击：

CVE-2019-9512: 使用 PING 帧和响应 PING ACK 帧的 HTTP/2 流，会导致无限的内存增长（这可能导致内存不足的原因）。
CVE-2019-9513: 使用 PRIORITY 帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。
CVE-2019-9514: 使用具有无效的 HTTP header 的 HEADERS 帧和 RST_STREAM 帧的 HTTP/2 流，会导致无限的内存增长（这可能导致内存不足的原因）。
CVE-2019-9515: 使用 SETTINGS 帧和 SETTINGS ACK 帧的 HTTP/2 流，会导致无限的内存增长（这可能导致内存不足的原因）。
CVE-2019-9518: 使用具有空负载帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。

除上述修复的程序之外，此版本中不包含其他任何内容。