Анонс Istio 1.24.4

Патч-реліз Istio 1.24.4.

Mar 25, 2025

Цей реліз містить виправлення помилок для покращення надійності. Ця примітка до релізу описує, що змінилося між Istio 1.24.3 та Istio 1.24.4.

ПЕРШ НІЖ ОНОВИТИСЬ

Що потрібно знати та підготувати перед оновленням.

ЗАВАНТАЖИТИ

Завантажити та встановити цей випуск.

ДОКУМЕНТАЦІЯ

Відвідайте документацію до цього випуску.

ЗМІНИ СИРЦІВ

Ознайомтеся з повним набором змін у вихідному коді.

Оновлення безпеки

CVE-2025-30157 (CVSS Score 6.5, Medium): Envoy аварійно завершує роботу, коли HTTP ext_proc обробляє локальні відповіді.

Для цілей Istio ця CVE може бути використана лише у випадку, коли ext_proc налаштовано через EnvoyFilter.

Зміни

Виправлено помилку, яка призводила до застарілих RDS через змішаний регістр хостів у перенаправленнях шлюзу та TLS. (Тікет #49638)
Виправлено проблему, коли політики Ambient PeerAuthentication були надто суворими. (Тікет #53884)
Виправлено невдалу спробу виправити розгортання керованих шлюзів/waypoint під час оновлення до версії 1.24. (Тікет #54145)
Виправлено помилку, коли декілька STRICT правил mTLS на рівні порту у політиці PeerAuthentication у режимі ambient призводили до політики дозволу через неправильну логіку оцінки (AND проти OR). (Тікет #54146)
Виправлено формулювання повідомлення про стан, коли у політиці авторизації, привʼязаній до ztunnel, присутні правила L7, на більш зрозуміле. (Тікет #54334)
Виправлено помилку, коли фільтр дзеркала запитів неправильно обчислював відсоток. (Тікет #54357)
Виправлено проблему, коли використання теґу у мітці istio.io/rev у шлюзі призводило до неправильного програмування шлюзу та відсутності статусу. (Тікет #54458)
Виправлено проблему, через яку неправильне розʼднання з тунелем могло призвести до того, що istio-cni вважатиме, що у нього немає зʼєднань. (Тікет #54544), (Тікет #53843)
Виправлено проблему, яка призводила до нестабільної роботи під час очищення зʼєднань через неправильний порядок ведення журналу доступу. (Тікет #54672)
Виправлено проблему у таблиці шлюзів, коли --set platform працював, але --set global.platform не працював.
Виправлено проблему, через яку вхідні шлюзи не використовували виявлення WDS для отримання метаданих для пунктів призначення у режимі ambient.
Виправлено проблему, що призводила до невдалого виконання команди istio-iptables, коли у системі присутня не вбудована таблиця.
Виправлено проблему, що призводила до відхилення конфігурації у разі часткового збігу IP-адрес у декількох сервісах. Наприклад, сервіс з [IP-A] і сервіс з [IP-B, IP-A]. (Тікет #52847)
Виправлено на трафік DNS (UDP і TCP) тепер впливають такі анотації трафіку, як traffic.sidecar.istio.io/excludeOutboundIPRanges і traffic.sidecar.istio.io/excludeOutboundPorts. Раніше UDP/DNS трафік однозначно ігнорував ці анотації трафіку, навіть якщо був вказаний порт DNS, через структуру правил. Зміна поведінки фактично відбулася в серії випусків 1.23, але про неї не було повідомлено у примітках до випуску 1.23. (Тікет #53949)
*Виправлено вебхук валідації, який відхиляв правильну конфігурацію connectionPool.tcp.IdleTimeout=0s. (Тікет #55409)