Istio 1.3.5 发布公告

补丁发布

此版本包含我们在 2019 年 11 月 11 日的新闻中描述的安全漏洞修复程序以及提高健壮性的程序。此发行说明描述了 Istio 1.3.4 和 Istio 1.3.5 之间的区别。

安全更新

  • ISTIO-SECURITY-2019-006 在 Envoy 中发现了一个 DoS 漏洞。

CVE-2019-18817:在 Istio 中存在这种情况,如果将 continue_on_listener_filters_timeout 选项设置为 True,则可导致 Envoy 陷入死循环。可以利用此漏洞进行 DoS 攻击。如果应用了我们在 2019 年 11 月 11 日的新闻中提到的防范措施,则在升级到 Istio 1.3.5 或更高版本后,可以删除该防范措施。

Bug 修复

  • 修复 TCP headless 服务的 Envoy 监听器配置。(Issue #17748
  • 修复 即使将 deployment 缩放到 0 个副本,过时的 endpoint 也会保留的问题。(Issue #14436
  • 修复 生成无效的 Envoy 配置时,Pilot 不会再崩溃。(Issue 17266
  • 修复 没有为与 BlackHole/Passthrough 集群相关的 TCP 指标填充 destination_service_name 标签的问题。(Issue 17271
  • 修复 调用遥测过滤器链时遥测不报告 BlackHole/Passthrough 群集指标的问题。集群指标的问题。该问题会在为外部服务配置显示的 ServiceEntries 时发生的。 (Issue 17759

小的增强

  • 添加 支持 Citadel 定期检查根证书的剩余寿命并轮换即将到期的根证书。(Issue 17059
  • 添加 为 Pilot 添加布尔型环境变量 PILOT_BLOCK_HTTP_ON_443。如果启用,此标志将阻止 HTTP 服务在端口 443 上运行,以防止与外部 HTTP 服务发生冲突。默认情况下禁用此功能。(Issue 16458
这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!