4.50.00.08 - Private Cloud용 Edge 출시 노트

<ph type="x-smartling-placeholder"></ph> 현재 Apigee Edge 문서를 보고 있습니다.
Apigee X 문서.
정보

2021년 3월 30일에 프라이빗 클라우드용 Apigee Edge 새 버전이 출시되었습니다.

업데이트 절차

이 버전을 업데이트하면 다음 목록의 구성요소가 업데이트됩니다. RPM:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

현재 설치한 RPM 버전을 확인하여 다음을 입력하여 업데이트해야 합니다.

apigee-all version

설치를 업데이트하려면 Edge 노드에서 다음 절차를 수행합니다.

  1. 모든 에지 노드에서:

    1. Yum 저장소를 삭제합니다.
      sudo yum clean all
    2. 최신 Edge 4.50.00 bootstrap_4.50.00.sh 파일을 다음 위치에 다운로드합니다. /tmp/bootstrap_4.50.00.sh:
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Edge 4.50.00 apigee-service 유틸리티 및 종속 항목을 설치합니다.
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      여기서 uName:pWord는 Apigee에서 받은 사용자 이름과 비밀번호입니다. pWord를 생략하면 입력하라는 메시지가 표시됩니다.

    4. apigee-setup 유틸리티를 업데이트합니다.
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. source 명령어를 사용하여 apigee-service.sh 스크립트를 실행합니다.
      source /etc/profile.d/apigee-service.sh
  2. 모든 Edge 노드에서 edgeupdate.sh 스크립트를 실행합니다. 프로세스입니다 이렇게 하려면 각 노드에서 다음 명령어를 실행합니다.
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. 모든 노드에서 UI의 update.sh 스크립트를 실행합니다. 각 노드에서 다음 명령어를 실행합니다.
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

변경사항 <ph type="x-smartling-placeholder"></ph> 지원되는 소프트웨어

이 릴리스에서 지원되는 소프트웨어는 변경되지 않습니다.

지원 중단 및 사용 중지

이 출시에서는 새로운 지원 중단이나 지원 중단이 없습니다.

새로운 기능

이 릴리스에서는 다음과 같은 새로운 기능을 제공합니다.

  • 메시지 프로세서의 새로운 속성인 백엔드 서버로 전달 프록시를 구성하는 데 사용합니다. <ph type="x-smartling-placeholder"></ph> use.proxy.host.header.with.target.uri 속성은 대상 호스트와 포트를 호스트 헤더로 설정합니다.

수정된 버그

다음 표에는 이번 출시에서 수정된 버그가 나와 있습니다.

문제 ID 설명
158132963

504s의 일부 대상 흐름 변수가 트레이스에 채워지지 않았습니다.

트레이스에서 관련 대상 흐름 변수를 캡처하도록 개선되었습니다. 분석 및 분석이 포함됩니다

141670890

시스템 수준 TLS 설정 지정을 위한 안내가 작동하지 않았습니다.

TLS 설정이 메시지 프로세서에 적용되지 못하게 하는 버그 문제가 해결되었습니다.

123311920

관리 서버에서 TLS를 사용 설정한 후 update.sh 스크립트가 실패했습니다.

이제 관리 서버에 TLS가 사용 설정되어 있어도 업데이트 스크립트가 올바르게 작동합니다.

67168818

HTTP 프록시를 대상 서버와 함께 사용하면 실제 DNS 서버의 호스트 이름 또는 IP 대신 프록시 서버의 IP가 대상입니다

이 문제는 새로운 메시지 프로세서 속성 백엔드 서버로 전달 프록시를 구성할 수 있습니다

보안 문제 해결됨

다음은 이번 버전에서 수정된 알려진 보안 문제의 목록입니다. 이 문제를 방지하려면 최신 버전의 Edge Private Cloud를 설치하세요.

문제 ID 설명
<ph type="x-smartling-placeholder"></ph> CVE-2019-14379

2.9.9.2 이전의 speedXML jackson-databind의 SubTypeValidator.java ehcache 사용 시 기본 입력 잘못 처리 (net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup 때문에) 원격 코드 실행을 초래합니다.

<ph type="x-smartling-placeholder"></ph> CVE-2019-14540

다형성 입력 문제는 2.9.10. com.zaxxer.hikari.HikariConfig과(와) 관련이 있습니다.

<ph type="x-smartling-placeholder"></ph> CVE-2019-14892

2.9.10, 2.8.11.5 이전 버전의 잭슨 데이터바인드에서 결함이 발견되었습니다. 및 2.6.7.3, 즉 악성 객체의 다형성 역직렬화를 허용합니다. Commons-configuration 1 및 2 JNDI 클래스를 사용합니다. 공격자는 이 결함을 사용하여 실행할 수 있습니다

<ph type="x-smartling-placeholder"></ph> CVE-2019-14893

이전에 모든 버전에서 fastXML jackson-databind에서 결함 은 2.9.10 및 2.10.0과 0.19 이상을 실행하는 경우, 악성 다형성 유형과 함께 사용되는 경우 xalan JNDI 가젯을 사용하는 개체 `enableDefaultTyping()`와 같은 메서드를 처리하거나 @JsonTypeInfo님이 사용 중 `Id.CLASS` 또는 `Id.MINIMAL_CLASS` 또는 그 밖의 방식으로 ObjectMapper.readValue 안전하지 않은 소스에서 객체를 인스턴스화할 수 없습니다. 공격자는 이 결함을 이용하여 자동으로 생성합니다.

<ph type="x-smartling-placeholder"></ph> CVE-2019-16335

다형성 입력 문제는 2.9.10. com.zaxxer.hikari.HikariDataSource과(와) 관련이 있습니다. 이는 CVE-2019-14540과는 다른 취약점입니다.

<ph type="x-smartling-placeholder"></ph> CVE-2019-16942

PageSpeedXML jackson-databind 2.0.0에서 다형성 입력 문제가 발견되었습니다. 확장될 수 있습니다 기본 입력이 사용 설정된 경우 (전역으로 또는 특정 속성에 대해) (외부에 노출된 JSON 엔드포인트) 및 서비스에 commons-dbcp (1.4) jar을 클래스 경로에 포함시키고 공격자가 RMI 서비스 엔드포인트를 찾을 수 있음 서비스가 악성 페이로드를 실행하도록 할 수 있습니다. 이 권호 org.apache.commons.dbcp.datasources.SharedPoolDataSource(으)로 인해 존재 잘못된 처리 org.apache.commons.dbcp.datasources.PerUserPoolDataSource

<ph type="x-smartling-placeholder"></ph> CVE-2019-16943

PageSpeedXML jackson-databind 2.0.0에서 다형성 입력 문제가 발견되었습니다. 확장될 수 있습니다 기본 입력이 사용 설정된 경우 (전역으로 또는 특정 속성에 대해) (외부에 노출된 JSON 엔드포인트) 및 서비스의 공격자가 RMI 서비스 엔드포인트를 찾아 액세스할 수 있다면 악성 페이로드를 실행하도록 합니다. 이 문제는 다음과 같은 이유로 발생합니다. com.p6spy.engine.spy.P6DataSource을(를) 잘못 처리했습니다.

<ph type="x-smartling-placeholder"></ph> CVE-2019-17267

다형성 입력 문제는 2.9.10. 관련성은 net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup

<ph type="x-smartling-placeholder"></ph> CVE-2019-20330

2.9.10.2 이전의 fastXML jackson-databind 2.x에는 net.sf.ehcache님을 차단합니다.

<ph type="x-smartling-placeholder"></ph> CVE-2017-9801

호출 사이트가 Apache Commons Email 1.0~1.4의 경우 호출자는 임의의 SMTP 헤더를 추가할 수 있습니다.

알려진 문제

Edge Private Cloud의 알려진 문제 목록은 다음을 참조하세요. Edge Private Cloud의 알려진 문제