4.50.00.08 - Edge for Private Cloud リリースノート

<ph type="x-smartling-placeholder"></ph> 現在、Apigee Edge のドキュメントが表示されています。
Apigee X のドキュメント 詳細

2021 年 3 月 30 日に、Apigee Edge for Private Cloud の新しいバージョンをリリースしました。

更新手順

このリリースを更新すると、以下のリストにあるコンポーネントが更新されます RPM:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

現在インストールされている RPM のバージョンを調べて、 次のコマンドを入力して更新する必要があります。

apigee-all version

インストールを更新するには、Edge ノードで次の操作を行います。

  1. すべての Edge ノード:

    1. Yum リポジトリをクリーニングします。 
      sudo yum clean all
    2. 最新の Edge 4.50.00 bootstrap_4.50.00.sh ファイルを次の場所にダウンロードします。 /tmp/bootstrap_4.50.00.sh: 
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Edge 4.50.00 の apigee-service ユーティリティと依存関係をインストールします。 
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      ここで、uName:pWord は Apigee から取得したユーザー名とパスワードです。 pWord を省略すると、入力を求められます。

    4. apigee-setup ユーティリティを更新します。 
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. source コマンドを使用して apigee-service.sh スクリプトを実行します。 
      source /etc/profile.d/apigee-service.sh
  2. すべての Edge ノードで、edge に対して update.sh スクリプトを実行します。 プロセスですこれを行うには、各ノードで次のコマンドを実行します。 
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. すべてのノードで UI の update.sh スクリプトを実行します。各ノードで次のコマンドを実行します。 
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

変更点 <ph type="x-smartling-placeholder"></ph> サポートされているソフトウェア

このリリースでサポートされるソフトウェアに変更はありません。

非推奨と廃止

このリリースには新たな非推奨や廃止はありません。

新機能

このリリースでは、次の新機能が導入されています。

  • Message Processor 用の新しいプロパティが導入されました。このプロパティは、 バックエンド サーバーへの転送プロキシを構成するために使用します。 <ph type="x-smartling-placeholder"></ph> use.proxy.host.header.with.target.uri。 このプロパティは、ターゲットのホストとポートを Host ヘッダーとして設定します。

修正済みのバグ

次の表に、このリリースで修正されたバグを示します。

問題 ID 説明
158132963

504 の間、一部のターゲットフロー変数がトレースに挿入されませんでした。

トレースで関連するターゲットフロー変数をキャプチャするための改良点 ターゲット タイムアウトが発生した場合に分析が行われます。
141670890

システムレベルの TLS 設定手順が機能しない。

TLS 設定が Message Processor で有効にならないバグ 修正されました。
123311920

管理サーバーで TLS を有効にした後、update.sh スクリプトが失敗しました。

管理サーバーで TLS が有効になっていても、更新スクリプトが正しく機能するようになりました。
67168818

HTTP プロキシをターゲット サーバーと組み合わせて使用していた場合、 プロキシ サーバーの IP が表示され、実際のホスト名や IP の代わりに あります。

この問題は、新しい Message Processor のプロパティ バックエンド サーバーへの転送プロキシを構成できます。

修正されたセキュリティ問題

次の一覧は、このリリースで修正されたセキュリティの既知の問題です。 これらの問題を回避するには、Edge Private Cloud の最新バージョンをインストールしてください。

問題 ID 説明
<ph type="x-smartling-placeholder"></ph> CVE-2019-14379

2.9.9.2 より前の FasterXML jackson-databind の SubTypeValidator.java ehcache が使用されている場合のデフォルトの入力処理が誤っている (net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup のため)、 リモートコード実行につながります
<ph type="x-smartling-placeholder"></ph> CVE-2019-14540

以前に FasterXML の jackson-databind でポリモーフィック入力の問題が発見されました。 2.9.10.com.zaxxer.hikari.HikariConfig に関連しています。
<ph type="x-smartling-placeholder"></ph> CVE-2019-14892

2.9.10、2.8.11.5 より前のバージョンの jackson-databind に脆弱性が見つかりました。 2.6.7.3 では、悪意のあるオブジェクトのポリモーフィックな逆シリアル化が可能になる Commons-configuration 1 および 2 の JNDI クラスを使用します。攻撃者はこの脆弱性を利用して、 実行できます。
<ph type="x-smartling-placeholder"></ph> CVE-2019-14893

FasterXML の jackson-databind で、以前のすべてのバージョンで欠陥が発見されました。 2.9.10 および 2.10.0 では、悪意のあるコンテンツの xalan JNDI ガジェットを使用するオブジェクトをポリモーフィック型と組み合わせて使用すると、 メソッド(`enableDefaultTyping()`@JsonTypeInfo が使用しているデバイス `Id.CLASS``Id.MINIMAL_CLASS`、または ObjectMapper.readValue は かもしれなかった 安全でないソースからオブジェクトをインスタンス化できます。攻撃者はこの脆弱性を利用して、 使用できます。
<ph type="x-smartling-placeholder"></ph> CVE-2019-16335

以前に FasterXML の jackson-databind でポリモーフィック入力の問題が発見されました。 2.9.10.com.zaxxer.hikari.HikariDataSource に関連しています。 これは CVE-2019-14540 とは異なる脆弱性です。
<ph type="x-smartling-placeholder"></ph> CVE-2019-16942

FasterXML jackson-databind 2.0.0 でポリモーフィック タイピングの問題が発見されました。 2.9.10.デフォルト入力が有効になっている場合(グローバルまたは特定のプロパティに対して) サービスが外部に公開される JSON エンドポイントの commons-dbcp(1.4)jar をクラスパスに置くと、攻撃者が RMI サービスエンドポイントを見つけることができる サービスに悪意のあるペイロードを実行させることができます。この問題 org.apache.commons.dbcp.datasources.SharedPoolDataSource により存在する org.apache.commons.dbcp.datasources.PerUserPoolDataSource の誤処理があります。
<ph type="x-smartling-placeholder"></ph> CVE-2019-16943

FasterXML jackson-databind 2.0.0 でポリモーフィック タイピングの問題が発見されました。 2.9.10.デフォルト入力が有効になっている場合(グローバルまたは特定のプロパティに対して) 外部に公開された JSON エンドポイントの場合、サービスには p6spy(3.8.6)jar が 攻撃者が RMI サービス エンドポイントを見つけてアクセスする場合に、 悪意のあるペイロードを実行させることができます。この問題は次の理由により発生します。 com.p6spy.engine.spy.P6DataSource の不適切な処理。
<ph type="x-smartling-placeholder"></ph> CVE-2019-17267

以前に FasterXML の jackson-databind でポリモーフィック入力の問題が発見されました。 2.9.10.関連している net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup
<ph type="x-smartling-placeholder"></ph> CVE-2019-20330

2.9.10.2 より前の FasterXML jackson-databind 2.x には、 net.sf.ehcache ブロック。
<ph type="x-smartling-placeholder"></ph> CVE-2017-9801

コールサイトが、改行が含まれるメールの件名を Apache Commons Email 1.0 から 1.4 では、呼び出し元は任意の SMTP ヘッダーを追加できます。

既知の問題

Edge Private Cloud の既知の問題の一覧については、以下をご覧ください。 Edge Private Cloud の既知の問題