Istio 1.4.6 发布，大型微服务系统管理工具

Istio 1.4.6 发布了。Istio 是一个由谷歌、IBM 与 Lyft 共同开发的开源项目，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。具体来说，Istio 是一个开源服务网格平台，它确保微服务在处理故障时以指定的方式相互连接。

新版本主要是安全更新，更新内容如下：

• ISTIO-SECURITY-2020-003：Envoy 中有两个不受控制的资源消耗和两个不正确的访问控制漏洞。

CVE-2020-8659：当代理具有许多小块（即 1 个字节）的 HTTP/1.1 请求或响应时，Envoy 代理可能会消耗过多的内存。 

CVE-2020-8660：Envoy 代理包含 TLS 检查器，客户端仅使用 TLS 1.3 可以绕过 TLS 检查器（不将其识别为 TLS 客户端）。 

CVE-2020-8661：当响应管道化的 HTTP/1.1 请求时，Envoy 代理可能会消耗过多的内存。 

CVE-2020-8664：对于 Envoy 代理中的 SDS TLS 验证上下文，仅在首次接收到机密或其值更改时才调用更新回调。 

• 此漏洞仅影响 Istio 1.4.5 及更早版本的 Istio 证书轮换机制的 SDS 实现，前提是仅当启用 SDS 和双向 TLS 时。默认情况下，SDS 是关闭的，并且必须由操作员在 Istio 1.5 之前的所有 Istio 版本中明确启用。 Istio 基于 Kubernetes 秘密装载的默认秘密分发实施不受此漏洞影响。

更新说明： https://istio.io/news/releases/1.4.x/announcing-1.4.6/