2019年11月11号,Istio 1.3.5 版本发布说明
此版本包含我们2019年11月11日新闻中所述的安全漏洞修复程序以及提高健壮性的错误修复程序。此发行说明描述了Istio 1.3.4和Istio 1.3.5之间的区别。
安全更新
ISTIO-SECURITY-2019-006在Envoy中发现了一个DoS漏洞。
如果将continu_on_listener_filters_timeout设置为True,则可以在Envoy中触发无限循环。这个漏洞可以被用来进行Dos攻击。
Bug修复
- 修复了TCP headless服务的Envoy监听配置。(Issue #17748)
- 修复了即使将部署扩展到0个副本也导致过时的端点保留的问题。(Issue #14436)
- 修正了当生成无效的Envory配置时,Pilot不再崩溃的问题。(Issue #17266)
- 修复了 destination_service_name 标签没有为与 BlackHole/Passthrough 集群相关的TCP指标填充的问题。(Issue 17271)
- 修复了telemetry在调用过滤器链时不报告 BlackHole/Passthrough 集群指标的问题。当为外部服务配置了显式ServiceEntries时,就会发生这种情况。(Issue 17759)
小的改进
- 增加了对Citadel的支持,以定期检查根证书的剩余时间并轮换到期的根证书。(Issue 17059)
- 向Pilot添加了PILOT_BLOCK_HTTP_ON_443布尔环境变量。如果启用,此flag将阻止HTTP服务在端口443上运行,以防止与外部HTTP服务发生冲突。 默认情况下禁用此功能。(Issue 16458)
