Istio 1.1.13 发布公告

补丁发布

我们很高兴地宣布 Istio 1.1.13 现在是可用的,详情请查看如下更改。

安全更新

此版本包含了在 ISTIO-SECURITY-2019-003] 和 ISTIO-SECURITY-2019-004 中所阐述的安全漏洞程序的修复。特别是:

ISTIO-SECURITY-2019-003: 一位 Envoy 用户公开报告了一个正则表达式的匹配问题 (c.f. Envoy Issue 7728),该问题可使 Envoy 出现非常严重的 URI 崩溃。 * CVE-2019-14993: 经调查,Istio 小组发现,当用户正在使用 Istio Api 中一些像 JWT, VirtualService, HTTPAPISpecBinding, QuotaSpecBinding 的正则表达式时,会被利用而发起 Istio DoS 攻击。

ISTIO-SECURITY-2019-004: Envoy 和之后的 Istio 更容易受到一系列基于 HTTP/2 的 DoS 攻击: * CVE-2019-9512: 使用 PING 帧和响应 PING ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。 * CVE-2019-9513: 使用 PRIORITY 帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。 * CVE-2019-9514: 使用具有无效的 HTTP header 的 HEADERS 帧和 RST_STREAM 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。 * CVE-2019-9515: 使用 SETTINGS 帧和 SETTINGS ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。 * CVE-2019-9518: 使用具有空负载帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。

除上述修复的程序之外,此版本中不包含其他任何内容。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!