Istio 1.3.7 发布公告

Istio 1.3.7 补丁发布。

Feb 4, 2020

此版本发布了包含提高系统稳定性的 bug 修复程序，下面是 Istio 1.3.6 和 Istio 1.3.7 之间的区别。

升级之前

升级前须知。

下载

下载安装该发行版。

文档

访问该发行版的文档。

代码变更

查看源码变更的详细信息。

Bug 修复

修复修复了 Citadel 中的根证书轮换的问题，以将 value 从过期的根证书复用到新的根证书中（Issue 19644）。
修复修复了遥测的问题，以忽略网关转发属性。
修复修复了 sidecar 注入到 pod 后，出口容器无端口的问题（Issue 18594）。
添加添加了对包含点 . 的 pod 名的遥测支持（Issue 19015）。
添加在 Citadel 代理中，添加了对生成 PKCS＃8 私钥的支持 (Issue 19948).

次要改进

Improved 改进注入模板，以完全指定 securityContext，从而允许 PodSecurityPolicies 正确地验证注入的 deployment（Issue 17318）。
添加添加了对代理容器设置 lifecycle 的支持。
添加在 Stackdriver Mixer 适配器中，添加了设置网格 UID 的支持（Issue 17952）。

安全更新

ISTIO-SECURITY-2020-002 由于不正确地接受某些请求 header，导致可绕过 Mixer 策略检查。

CVE-2020-8843：在某些情况下，可以绕过特定配置的 Mixer 策略。Istio-proxy 在 ingress 处接受 x-istio-attributes header，当 Mixer 策略有选择地应用至 source 时，等价于应用至 ingress，其可能会影响策略决策。Istio 1.3 到 1.3.6 容易受到攻击。