#service-mesh

Announcing Istio 1.30.2

Bản vá Istio 1.30.2 tập trung vào sửa lỗi và cập nhật bảo mật, bao gồm cải tiến logging cho Gateway API CRD, bổ sung trường trustDomains trong AuthorizationPolicy, và điều khiển thống kê Envoy qua biến môi trường mới. Bản phát hành cũng khắc phục nhiều lỗi nghiêm trọng như sự cố traffic khi thay đổi label Gateway, rò rỉ bộ nhớ trong krt controller, và vá 14 lỗ hổng CVE trong Envoy liên quan đến DoS, tràn bộ nhớ và lỗi tràn bộ đệm.

Lập trình viên cần đọc bài này để cập nhật về các cập nhật bảo mật và bug fix quan trọng trong Istio 1.30.2, đặc biệt là các CVE bảo mật mới như tấn công DoS HTTP/3 và lỗ hổng trong OAuth2, giúp bảo vệ hệ thống ứng dụng của họ khỏi các rủi ro an ninh mới.

Announcing Istio 1.29.5

Istio 1.29.5 là bản vá lỗi quan trọng khắc phục 14 lỗ hổng bảo mật trong Envoy (bao gồm DoS, buffer overflow, bypass xác thực SAN) cùng nhiều bug như gián đoạn lưu lượng khi thay đổi label istio.io/rev, rò rỉ bộ nhớ trong krt controller, và panic trong multicluster secret controller. Bản cập nhật cũng sửa lỗi health-probe ipset của pod ambient sau khi node khởi động lại.

Lập trình viên cần đọc bài này để cập nhật về các bảo mật và lỗi quan trọng trong Istio 1.29.5, đặc biệt là các CVE bảo mật mới như tấn công DoS HTTP/3, lỗ hổng trong OAuth2 và Zstd, giúp bảo vệ hệ thống của bạn khỏi các rủi ro mới trong ứng dụng microservices.

Istio / ISTIO-SECURITY-2026-005

Bản tư vấn bảo mật Istio ISTIO-SECURITY-2026-005 tiết lộ nhiều lỗ hổng CVE ảnh hưởng đến Envoy và Istio, đã được vá trong các phiên bản 1.29.5 và 1.28.9. Các lỗ hổng bao gồm từ chối dịch vụ (DoS) qua HTTP/3 QPACK, smuggling header PROXY protocol, use-after-free trong ext_authz filter, kiệt quệ bộ nhớ trong Zstd decompressor, lỗ hổng oracle padding trong bộ lọc OAuth2, bypass SAN validation qua NUL bytes, cùng nhiều lỗi crash/use-after-free khác.

Lập trình viên triển khai hoặc quản lý Istio nên đọc để cập nhật ngay các bản vá CVE mới nhất, đặc biệt là các lỗ hổng như tấn công DoS HTTP/3, khai thác header PROXY, hoặc lỗi sử dụng sai lần trong các filter, để tránh rủi ro bảo mật và bảo đảm hệ thống hoạt động ổn định.

Announcing Istio 1.28.9

Bản vá lỗi bảo mật Istio 1.28.9 khắc phục 13 lỗ hổng CVE trong Envoy, bao gồm các vấn đề tràn bộ nhớ, DoS, bypass xác thực SAN và lỗi giao thức PROXY. Người dùng đang chạy phiên bản 1.28.x nên nâng cấp ngay.

Lập trình viên cần đọc bài này để tránh rủi ro bảo mật nghiêm trọng như tấn công DoS, khai thác lỗ hổng Envoy (gây ảnh hưởng đến các dịch vụ proxy trong Istio) và bảo vệ ứng dụng của mình trước các biến động mới nhất trong các phiên bản patch của Istio.

Linkerd 2.20, the Latest Release of the Cloud-Native Service Mesh, Arrives

Linkerd 2.20 has been released with a major focus on memory efficiency, with maintainer Buoyant claiming an 85% reduction in control plane memory usage. The optimization targets key components — destination, identity, and proxy-injector services — allowing operators to run the mesh in smaller, more constrained Kubernetes clusters without losing features like mTLS, traffic splitting, or golden metrics. The release positions Linkerd as a leaner alternative to heavier service meshes like Istio and Cilium, and gives platform teams an opportunity to right-size cluster resource allocations and potentially reduce cloud spend.

Agent Auth: A lawyer’s day in court

AI agents require more robust auth infrastructure than traditional microservices because they act on behalf of users. Using a lawyer-in-court analogy, the post explains the key components of agent auth: agent identity (who the agent is), principal identity (who the agent represents), delegation tokens like On-Behalf-Of (OBO) tokens, and policy enforcement scoped to specific actions. An AI-native gateway can centralize these concerns — identity propagation, delegation verification, policy enforcement, and auditing — so agents can focus on business logic. Technologies like SPIFFE, cert-manager, Istio, and agentgateway are cited as building blocks for such a platform.