Istio 1.1.13 发布公告
补丁发布
我们很高兴地宣布 Istio 1.1.13 现在是可用的,详情请查看如下更改。
安全更新
此版本包含了在 ISTIO-SECURITY-2019-003] 和 ISTIO-SECURITY-2019-004 中所阐述的安全漏洞程序的修复。特别是:
ISTIO-SECURITY-2019-003: 一位 Envoy 用户公开报告了一个正则表达式的匹配问题 (c.f. Envoy Issue 7728),该问题可使 Envoy 出现非常严重的 URI 崩溃。
* CVE-2019-14993: 经调查,Istio 小组发现,当用户正在使用 Istio Api
中一些像 JWT
, VirtualService
, HTTPAPISpecBinding
, QuotaSpecBinding
的正则表达式时,会被利用而发起 Istio DoS
攻击。
ISTIO-SECURITY-2019-004: Envoy 和之后的 Istio 更容易受到一系列基于 HTTP/2 的 DoS 攻击:
* CVE-2019-9512: 使用 PING
帧和响应 PING
ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
* CVE-2019-9513: 使用 PRIORITY 帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。
* CVE-2019-9514: 使用具有无效的 HTTP header 的 HEADERS
帧和 RST_STREAM
帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
* CVE-2019-9515: 使用 SETTINGS
帧和 SETTINGS
ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
* CVE-2019-9518: 使用具有空负载帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。
除上述修复的程序之外,此版本中不包含其他任何内容。