Sync 1.26.7, 1.27.4 and 1.28.1 release notes with security update into Chinese (#17031)

wilsonwu · web-flow · commit 742b6c3d1c69 · 2025-12-08T04:36:35.000-08:00
diff --git a/content/zh/news/releases/1.26.x/announcing-1.26.7/index.md b/content/zh/news/releases/1.26.x/announcing-1.26.7/index.md
@@ -0,0 +1,29 @@
+---
+title: 发布 Istio 1.26.7
+linktitle: 1.26.7
+subtitle: 补丁发布
+description: Istio 1.26.7 补丁发布。
+publishdate: 2025-12-03
+release: 1.26.7
+aliases:
+    - /zh/news/announcing-1.26.7
+---
+
+此版本包含一些错误修复，以提高稳定性。
+本发行说明描述了 Istio 1.26.6 和 Istio 1.26.7 之间的区别。
+
+本次发布实现了 12 月 3 日公布的安全更新
+[`ISTIO-SECURITY-2025-003`](/zh/news/security/istio-security-2025-003)。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **修复** 修复了多集群中的 goroutine 泄漏问题，
+  该问题会导致来自远程集群的数据的 krt 集合即使在集群被移除后仍会留在内存中。
+  ([Issue #57269](https://github.com/istio/istio/issues/57269))
+
+- **修复** 修复了当使用 `secret-name` 和 `namespace/secret-name` 格式从
+  Istio Gateway 对象引用同一个 Kubernetes Secret 时，
+  Envoy Secret 资源可能会卡在 `WARMING` 状态的问题。
+  ([Issue #58146](https://github.com/istio/istio/issues/58146))
diff --git a/content/zh/news/releases/1.27.x/announcing-1.27.4/index.md b/content/zh/news/releases/1.27.x/announcing-1.27.4/index.md
@@ -0,0 +1,44 @@
+---
+title: 发布 Istio 1.27.4
+linktitle: 1.27.4
+subtitle: 补丁发布
+description: Istio 1.27.4 补丁发布。
+publishdate: 2025-12-03
+release: 1.27.4
+aliases:
+    - /zh/news/announcing-1.27.4
+---
+
+此版本包含一些错误修复，以提高稳定性。
+本发行说明描述了 Istio 1.27.3 和 Istio 1.27.4 之间的区别。
+
+本次发布实现了 12 月 3 日公布的安全更新
+[`ISTIO-SECURITY-2025-003`](/zh/news/security/istio-security-2025-003)。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **修复** 修复了安装多个 Istio 版本时路由资源的状态冲突的问题。
+  ([Issue #57734](https://github.com/istio/istio/issues/57734))
+
+- **修复** 修复了 waypoint 的一个问题，即根命名空间中 `targetRef`
+  类型为 `GatewayClass` 且组为 `gateway.networking.k8s.io`
+  的 `EnvoyFilter` 无法正常工作。
+
+- **修复** 修复了在使用 TPROXY 模式的原生 nftables 且 `traffic.sidecar.istio.io/includeInboundPorts`
+  注解为空时 `istio-init` 出现的故障。
+  ([Issue #58135](https://github.com/istio/istio/issues/58135))
+
+- **修复** 修复了当使用 `secret-name` 和 `namespace/secret-name` 格式从
+  Istio Gateway 对象引用同一个 Kubernetes Secret 时，
+  Envoy Secret 资源可能会卡在 `WARMING` 状态的问题。
+  ([Issue #58146](https://github.com/istio/istio/issues/58146))
+
+- **修复** 修复无头服务的 DNS 名称表创建问题，其中 Pod 条目没有考虑 Pod 具有多个 IP 地址的情况。
+  ([Issue #58397](https://github.com/istio/istio/issues/58397))
+
+- **修复** 修复了 HTTPS 服务器优先处理导致 HTTP 服务器无法在同一端口上使用不同的绑定地址创建路由的问题。
+  ([Issue #57706](https://github.com/istio/istio/issues/57706))
+
+- **修复** 修复了一个导致实验性 `XListenerSet` 资源无法访问 TLS 密钥的错误。
diff --git a/content/zh/news/releases/1.28.x/announcing-1.28.1/index.md b/content/zh/news/releases/1.28.x/announcing-1.28.1/index.md
@@ -0,0 +1,59 @@
+---
+title: 发布 Istio 1.28.1
+linktitle: 1.28.1
+subtitle: 补丁发布
+description: Istio 1.28.1 补丁发布。
+publishdate: 2025-12-03
+release: 1.28.1
+aliases:
+    - /zh/news/announcing-1.28.1
+---
+
+此版本包含一些错误修复，以提高稳定性。
+本发行说明描述了 Istio 1.28.0 和 Istio 1.28.1 之间的区别。
+
+本次发布实现了 12 月 3 日公布的安全更新
+[`ISTIO-SECURITY-2025-003`](/zh/news/security/istio-security-2025-003)。
+
+{{< relnote >}}
+
+## 变更 {#changes}
+
+- **新增** 添加了对 `InferencePool` 中多个 `targetPorts` 的支持。
+  GIE v1.1.0 版本新增了拥有多个 `targetPort` 的功能。
+  ([Issue #57638](https://github.com/istio/istio/issues/57638))
+
+- **修复** 修复了安装多个 Istio 版本时路由资源的状态冲突的问题。
+  ([Issue #57734](https://github.com/istio/istio/issues/57734))
+
+- **修复** 修复了同一命名空间内主机名重叠的 `ServiceEntry` 资源在 Ambient 模式下导致不可预测的行为。
+  ([Issue #57291](https://github.com/istio/istio/issues/57291))
+
+- **修复** 修复了在使用 TPROXY 模式的原生 nftables 且 `traffic.sidecar.istio.io/includeInboundPorts`
+  注解为空时 `istio-init` 出现的故障。
+  ([Issue #58135](https://github.com/istio/istio/issues/58135))
+
+- **修复** 修复了 EDS 生成代码未考虑服务范围的问题，导致不应可访问的远程集群端点被包含在 waypoint 配置中。
+  ([Issue #58139](https://github.com/istio/istio/issues/58139))
+
+- **修复** 修复了由于试点中 EDS 缓存不正确，导致 Ambient E/W 网关或 waypoint 配置了无法使用的 EDS 端点的问题。
+  ([Issue #58141](https://github.com/istio/istio/issues/58141))
+
+- **修复** 修复了当使用 `secret-name` 和 `namespace/secret-name` 格式从
+  Istio Gateway 对象引用同一个 Kubernetes Secret 时，
+  Envoy Secret 资源可能会卡在 `WARMING` 状态的问题。
+  ([Issue #58146](https://github.com/istio/istio/issues/58146))
+
+- **修复** 修复了在 Ambient 模式下明确禁用 IPv6 时，IPv6 nftables 规则被编程的问题。
+  ([Issue #58249](https://github.com/istio/istio/issues/58249))
+
+- **修复** 修复无头服务的 DNS 名称表创建问题，其中 Pod 条目没有考虑 Pod 具有多个 IP 地址的情况。
+  ([Issue #58397](https://github.com/istio/istio/issues/58397))
+
+- **修复** 修复了使用自定义信任域时导致 Ambient 多网络连接失败的问题。
+  ([Issue #58427](https://github.com/istio/istio/issues/58427))
+
+- **修复** 修复了 HTTPS 服务器优先处理导致 HTTP 服务器无法在同一端口上使用不同的绑定地址创建路由的问题。
+  ([Issue #57706](https://github.com/istio/istio/issues/57706))
+
+- **修复** 修复了一个导致实验性 `XListenerSet` 资源无法访问 TLS 密钥的错误。
diff --git a/content/zh/news/security/istio-security-2025-003/index.md b/content/zh/news/security/istio-security-2025-003/index.md
@@ -0,0 +1,30 @@
+---
+title: ISTIO-SECURITY-2025-003
+subtitle: 安全公告
+description: Envoy 上报的 CVE 漏洞。
+cves: [CVE-2025-66220, CVE-2025-64527, CVE-2025-64763]
+cvss: "8.1"
+vector: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N"
+releases: ["1.28.0", "1.27.0 to 1.27.3", "1.26.0 to 1.26.6"]
+publishdate: 2025-12-03
+keywords: [CVE]
+skip_seealso: true
+---
+
+{{< security_bulletin >}}
+
+## CVE
+
+### Envoy CVE {#envoy-cves}
+
+- __[CVE-2025-66220](https://nvd.nist.gov/vuln/detail/CVE-2025-66220)__: (CVSS score 8.1, High)：`match_typed_subject_alt_names` 的 TLS
+  证书匹配器可能会错误地将包含嵌入空字节的 `OTHERNAME` SAN 的证书视为有效证书。
+- __[CVE-2025-64527](https://nvd.nist.gov/vuln/detail/CVE-2025-64527)__: (CVSS score 6.5, Medium)：当配置 JWT 身份验证并使用远程 JWKS 获取时，Envoy 崩溃。
+- __[CVE-2025-64763](https://nvd.nist.gov/vuln/detail/CVE-2025-64763)__: (CVSS score 5.3, Medium)：CONNECT 升级后早期数据中可能存在请求走私的情况
+
+## 我受到影响了吗？{#am-i-impacted}
+
+如果您使用 Istio 接收 WebSocket 流量，则在 CONNECT 升级后，
+您可能容易受到早期数据请求走私攻击。如果您使用带有 OTHERNAME SAN
+的自定义证书或使用 `EnvoyFilter` 进行远程 JWKS 获取的自定义 JWT 身份验证，
+也可能存在这种风险。
