Istio 1.3.5 版本发布说明

    原创
半兽人 发表于: 2019-11-13   最后更新时间: 2019-11-13  

2019年11月11号,Istio 1.3.5 版本发布说明

此版本包含我们2019年11月11日新闻中所述的安全漏洞修复程序以及提高健壮性的错误修复程序。此发行说明描述了Istio 1.3.4和Istio 1.3.5之间的区别。

安全更新

  • ISTIO-SECURITY-2019-006 在Envoy中发现了一个DoS漏洞。

如果将continu_on_listener_filters_timeout设置为True,则可以在Envoy中触发无限循环。这个漏洞可以被用来进行Dos攻击。

Bug修复

  • 修复了TCP headless服务的Envoy监听配置。(Issue #17748)
  • 修复了即使将部署扩展到0个副本也导致过时的端点保留的问题。(Issue #14436)
  • 修正了当生成无效的Envory配置时,Pilot不再崩溃的问题。(Issue #17266)
  • 修复了 destination_service_name 标签没有为与 BlackHole/Passthrough 集群相关的TCP指标填充的问题。(Issue 17271)
  • 修复了telemetry在调用过滤器链时不报告 BlackHole/Passthrough 集群指标的问题。当为外部服务配置了显式ServiceEntries时,就会发生这种情况。(Issue 17759)

小的改进

  • 增加了对Citadel的支持,以定期检查根证书的剩余时间并轮换到期的根证书。(Issue 17059)
  • 向Pilot添加了PILOT_BLOCK_HTTP_ON_443布尔环境变量。如果启用,此flag将阻止HTTP服务在端口443上运行,以防止与外部HTTP服务发生冲突。 默认情况下禁用此功能。(Issue 16458)


您需要解锁本帖隐藏内容请: 点击这里
本帖隐藏的内容




上一条: 到头了!
下一条: Istio安全漏洞ISTIO-SECURITY-2019-006,Dos攻击引起的CPU资源耗尽