diff --git a/content/zh/docs/releases/supported-releases/index.md b/content/zh/docs/releases/supported-releases/index.md index 3bda231b709ca..3aca2da019035 100644 --- a/content/zh/docs/releases/supported-releases/index.md +++ b/content/zh/docs/releases/supported-releases/index.md @@ -70,9 +70,9 @@ Istio 不保证超出支持窗口期的次要版本都有已知的 CVE 补丁。 | 次要版本 | 没有已知 CVE 的补丁版本 | |------------------|------------------------------------| -| 1.27.x | 1.27.0+ | -| 1.26.x | 1.26.0+ | -| 1.25.x | 1.25.3+ | +| 1.27.x | 1.27.1+ | +| 1.26.x | 1.26.4+ | +| 1.25.x | 1.25.5+ | ## 支持的 Envoy 版本 {#supported-envoy-versions} diff --git a/content/zh/news/releases/1.25.x/announcing-1.25.5/index.md b/content/zh/news/releases/1.25.x/announcing-1.25.5/index.md new file mode 100644 index 0000000000000..5fda9792814a5 --- /dev/null +++ b/content/zh/news/releases/1.25.x/announcing-1.25.5/index.md @@ -0,0 +1,35 @@ +--- +title: 发布 Istio 1.25.5 +linktitle: 1.25.5 +subtitle: 补丁发布 +description: Istio 1.25.5 补丁发布。 +publishdate: 2025-09-03 +release: 1.25.5 +aliases: + - /zh/news/announcing-1.25.5 +--- + +此版本包含一些错误修复,以提高稳定性。 +本发行说明描述了 Istio 1.25.4 和 Istio 1.25.5 之间的区别。 + +本次发布实现了 9 月 3 日公布的安全更新 +[`ISTIO-SECURITY-2025-001`](/zh/news/security/istio-security-2025-001)。 + +{{< relnote >}} + +## 变更 {#changes} + +- **修复** 修复了在决定是否需要应用新的 iptables 规则时, + `istio-iptables` 有时会忽略 IPv4 状态而倾向于 IPv6 状态的问题。 + ([Issue #56587](https://github.com/istio/istio/issues/56587)) + +- **修复** 修复了一个错误,即我们的标签观察器代码没有将默认修订版本视为与默认标签相同。 + 这会导致 Kubernetes 网关无法编程。 + ([Issue #56767](https://github.com/istio/istio/issues/56767)) + +- **修复** 修复了由于 JSON 模式验证器更严格导致使用 Helm v3.18.5 安装 + Gateway Chart 失败的问题。Chart 的模式已更新并兼容。 + ([Issue #57354](https://github.com/istio/istio/issues/57354)) + +- **修复** 修复了 `PreserveHeaderCase` 选项覆盖其他 HTTP/1.x 协议选项(例如 HTTP/1.0)的问题。 + ([Issue #57528](https://github.com/istio/istio/issues/57528)) diff --git a/content/zh/news/releases/1.26.x/announcing-1.26.4/index.md b/content/zh/news/releases/1.26.x/announcing-1.26.4/index.md new file mode 100644 index 0000000000000..a1664bd6db125 --- /dev/null +++ b/content/zh/news/releases/1.26.x/announcing-1.26.4/index.md @@ -0,0 +1,35 @@ +--- +title: 发布 Istio 1.26.4 +linktitle: 1.26.4 +subtitle: 补丁发布 +description: Istio 1.26.4 补丁发布。 +publishdate: 2025-09-03 +release: 1.26.4 +aliases: + - /zh/news/announcing-1.26.4 +--- + +此版本包含一些错误修复,以提高稳定性。 +本发行说明描述了 Istio 1.26.3 和 Istio 1.26.4 之间的区别。 + +本次发布实现了 9 月 3 日公布的安全更新 +[`ISTIO-SECURITY-2025-001`](/zh/news/security/istio-security-2025-001)。 + +{{< relnote >}} + +## 变更 {#changes} + +- **修复** 修复了在决定是否需要应用新的 iptables 规则时, + `istio-iptables` 有时会忽略 IPv4 状态而倾向于 IPv6 状态的问题。 + ([Issue #56587](https://github.com/istio/istio/issues/56587)) + +- **修复** 修复了一个错误,即我们的标签观察器代码没有将默认修订版本视为与默认标签相同。 + 这会导致 Kubernetes 网关无法编程。 + ([Issue #56767](https://github.com/istio/istio/issues/56767)) + +- **修复** 修复了由于 JSON 模式验证器更严格导致使用 Helm v3.18.5 安装 + Gateway Chart 失败的问题。Chart 的模式已更新并兼容。 + ([Issue #57354](https://github.com/istio/istio/issues/57354)) + +- **修复** 修复了 `PreserveHeaderCase` 选项覆盖其他 HTTP/1.x 协议选项(例如 HTTP/1.0)的问题。 + ([Issue #57528](https://github.com/istio/istio/issues/57528)) diff --git a/content/zh/news/releases/1.27.x/announcing-1.27.1/index.md b/content/zh/news/releases/1.27.x/announcing-1.27.1/index.md new file mode 100644 index 0000000000000..54abb3971fd4e --- /dev/null +++ b/content/zh/news/releases/1.27.x/announcing-1.27.1/index.md @@ -0,0 +1,43 @@ +--- +title: 发布 Istio 1.27.1 +linktitle: 1.27.1 +subtitle: 补丁发布 +description: Istio 1.27.1 补丁发布。 +publishdate: 2025-09-03 +release: 1.27.1 +aliases: + - /zh/news/announcing-1.27.1 +--- + +此版本包含一些错误修复,以提高稳定性。 +本发行说明描述了 Istio 1.27.0 和 Istio 1.27.1 之间的区别。 + +本次发布实现了 9 月 3 日公布的安全更新 +[`ISTIO-SECURITY-2025-001`](/zh/news/security/istio-security-2025-001)。 + +{{< relnote >}} + +## 变更 {#changes} + +- **修复** 修复了在决定是否需要应用新的 iptables 规则时, + `istio-iptables` 有时会忽略 IPv4 状态而倾向于 IPv6 状态的问题。 + ([Issue #56587](https://github.com/istio/istio/issues/56587)) + +- **修复** 修复了一个错误,即我们的标签观察器代码没有将默认修订版本视为与默认标签相同。 + 这会导致 Kubernetes 网关无法编程。 + ([Issue #56767](https://github.com/istio/istio/issues/56767)) + +- **修复** 修复了由于 JSON 模式验证器更严格导致使用 Helm v3.18.5 安装 + Gateway Chart 失败的问题。Chart 的模式已更新并兼容。 + ([Issue #57354](https://github.com/istio/istio/issues/57354)) + +- **修复** 修复了 `PreserveHeaderCase` 选项覆盖其他 HTTP/1.x 协议选项(例如 HTTP/1.0)的问题。 + ([Issue #57528](https://github.com/istio/istio/issues/57528)) + +- **修复** 修复了 `istioctl proxy-status` 输出的变化,使其与之前的版本更加一致。 + ([Issue #57339](https://github.com/istio/istio/issues/57339)) + +- **修复** 修复了当缺少 `iptable_nat` 模块时,iptables 检测逻辑将回退到 `iptables-nft`。 + ([Issue #57380](https://github.com/istio/istio/issues/57380)) + +- **修复** 修复了仅设置 `retry_budget` 时错误地拒绝流量策略的错误。 diff --git a/content/zh/news/security/istio-security-2025-001/index.md b/content/zh/news/security/istio-security-2025-001/index.md new file mode 100644 index 0000000000000..939ea2dcc3be0 --- /dev/null +++ b/content/zh/news/security/istio-security-2025-001/index.md @@ -0,0 +1,29 @@ +--- +title: ISTIO-SECURITY-2025-001 +subtitle: 安全公告 +description: Envoy 上报的 CVE 漏洞。 +cves: [CVE-2025-55162, CVE-2025-54588] +cvss: "7.5" +vector: "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H" +releases: ["1.27.0", "1.26.0 to 1.26.3", "1.25.0 to 1.25.4"] +publishdate: 2025-09-03 +keywords: [CVE] +skip_seealso: true +--- + +{{< security_bulletin >}} + +## CVE + +### Envoy CVE {#envoy-cves} + +- __[CVE-2025-55162](https://github.com/envoyproxy/envoy/security/advisories/GHSA-95j4-hw7f-v2rh)__: + (CVSS score 6.3, Moderate):OAuth2 Filter Signout 路由由于缺少“secure;”标志将不会清除 Cookie +- __[CVE-2025-54588](https://github.com/envoyproxy/envoy/security/advisories/GHSA-g9vw-6pvx-7gmw)__: + (CVSS score 7.5, High):DNS 缓存释放后使用 + +## 我受到影响了吗?{#am-i-impacted} + +如果您使用的是 Istio 1.27.0、1.26.0 至 1.26.3 或 1.25 至 1.25.4, +并且您使用以 `__Secure-` 或 `__Host-` 为前缀的 cookie, +或者您正在使用带有 `dynamic_forward_proxy` 的 `EnvoyFilter`,则将受到影响。