4.50.00.08 - Edge for Private Cloud リリースノート

Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご覧ください。

2021 年 3 月 30 日に、新しいバージョンの Apigee Edge for Private Cloud をリリースしました。

更新手順

このリリースを更新すると、次の RPM のリストのコンポーネントが更新されます。

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

次のコマンドを入力すると、現在インストールされている RPM のバージョンをチェックして、更新する必要があるかどうかを確認できます。

apigee-all version

インストールを更新するには、Edge ノードで次の手順を行います。

  1. すべての Edge ノード:

    1. Yum リポジトリをクリーンアップします。
      sudo yum clean all
    2. 最新の Edge 4.50.00 bootstrap_4.50.00.sh ファイルを /tmp/bootstrap_4.50.00.sh にダウンロードします。
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Edge 4.50.00 の apigee-service ユーティリティと依存関係をインストールします。
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      ここで、uName:pWord は Apigee から受け取ったユーザー名とパスワードです。pWord を省略すると、パスワードの入力を求められます。

    4. apigee-setup ユーティリティを更新します。
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. source コマンドを使用して apigee-service.sh スクリプトを実行します。
      source /etc/profile.d/apigee-service.sh
  2. すべての Edge ノードで、edge プロセス用の update.sh スクリプトを実行します。これを行うには、各ノードで次のコマンドを実行します。
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. すべてのノードで UI の update.sh スクリプトを実行します。各ノードで次のコマンドを実行します。
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

サポートされているソフトウェアの変更点

このリリースでサポートされているソフトウェアに変更はありません。

非推奨になった機能と廃止された機能

このリリースでは、新しい非推奨や廃止はありません。

新機能

このリリースには、次の新機能が導入されています。

  • バックエンド サーバーへの転送プロキシの構成に使用できる Message Processor の新しいプロパティ use.proxy.host.header.with.target.uri が導入されました。このプロパティは、ターゲット ホストとポートを Host ヘッダーとして設定します。

修正済みのバグ

次の表に、このリリースで修正されたバグを示します。

問題 ID 説明
158132963

504 のトレースで一部のターゲット フロー変数が入力されませんでした。

ターゲット タイムアウトの場合に、トレースと分析で関連するターゲット フロー変数をキャプチャするための改善を追加しました。

141670890

システムレベルの TLS の設定手順が正常に機能しなかった。

TLS 設定が Message Processor で有効にならないバグを修正しました。

123311920

Management Server で TLS を有効にした後、update.sh スクリプトが失敗しました。

Management Server で TLS が有効になっていても、更新スクリプトが正しく機能するようになりました。

67168818

HTTP プロキシをターゲット サーバーと組み合わせて使用すると、実際のターゲットのホスト名または IP ではなく、プロキシ サーバーの IP が表示されました。

この問題は、バックエンド サーバーへの転送プロキシを構成できる新しい Message Processor プロパティが追加されたことで修正されました。

セキュリティに関する問題を解決しました

以下に、このリリースで修正された既知の問題を示します。これらの問題を回避するには、最新バージョンの Edge Private Cloud をインストールします。

問題 ID 説明
CVE-2019-14379

SubTypeValidator.javanet.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup

CVE-2019-14540

2.9.10 より前、SpeedXML jackson-databind でポリモーフィック入力の問題が見つかりました。これは com.zaxxer.hikari.HikariConfig に関連しています。

CVE-2019-14892

2.9.10、2.8.11.5、2.6.7.3 より前のバージョンの jackson-databind で、コネクション構成 1 と 2 の JNDI クラスを使用して悪意のあるオブジェクトのポリモーフィック逆シリアル化を可能にする欠陥が見つかりました。攻撃者はこの欠陥を使用して任意のコードを実行できる可能性があります。

CVE-2019-14893

2.9.10 と 2.10.0 より前のすべてのバージョンの fastXML jackson-databind で欠陥が見つかりました。xalan JNDI ガジェットを使用して xalan JNDI ガジェットを使用して悪意のあるオブジェクトをポリモーフィック的に逆シリアル化できます。また、`enableDefaultTyping()`ObjectMapper.readValue など、`Id.CLASS` または ObjectMapper.readValue から安全でないオブジェクトを使用する場合に、他の方法でソースからオブジェクトを使用する可能性があります。@JsonTypeInfo`Id.MINIMAL_CLASS`攻撃者は、この欠陥を利用して任意のコードを実行するおそれがあります。

CVE-2019-16335

2.9.10 より前、SpeedXML jackson-databind でポリモーフィック入力の問題が見つかりました。これは com.zaxxer.hikari.HikariDataSource に関連しています。 これは CVE-2019-14540 とは異なる脆弱性です。

CVE-2019-16942

RapidXML jackson-databind 2.0.0 から 2.9.10 でポリモーフィック入力の問題が見つかりました。外部に公開されている JSON エンドポイントに対してデフォルトの入力(グローバルまたは特定のプロパティ)が有効になっており、サービスのクラスパスに commons-dbcp(1.4)jar が存在し、攻撃者が RMI サービス エンドポイントを見つけて、悪意のあるペイロードをサービスで実行してしまう可能性があります。この問題は、org.apache.commons.dbcp.datasources.SharedPoolDataSourceorg.apache.commons.dbcp.datasources.PerUserPoolDataSource の誤った取り扱いが原因で発生します。

CVE-2019-16943

RapidXML jackson-databind 2.0.0 から 2.9.10 でポリモーフィック入力の問題が見つかりました。外部に公開されている JSON エンドポイントに対してデフォルト タイピング(グローバルまたは特定のプロパティ)が有効になっており、サービスのクラスパスに p6spy(3.8.6)jar が存在し、攻撃者が RMI サービス エンドポイントにアクセスした場合、サービスに悪意のあるペイロードが実行されるおそれがあります。この問題は、com.p6spy.engine.spy.P6DataSource の誤った処理が原因で発生します。

CVE-2019-17267

2.9.10 より前、SpeedXML jackson-databind でポリモーフィック入力の問題が見つかりました。これは net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup に関連しています。

CVE-2019-20330

高速の XML jackson-databind 2.x(2.9.10.2 より前)には、特定の net.sf.ehcache ブロックがありません。

CVE-2017-9801

呼び出しサイトが、Apache Commons Email 1.0 ~ 1.4 の改行を含むメールの件名を渡すとき、呼び出し元は任意の SMTP ヘッダーを追加できます。

既知の問題

Edge Private Cloud の既知の問題のリストについては、Edge Private Cloud の既知の問題をご覧ください。