4.50.00.08 - Catatan rilis Edge untuk Private Cloud

Anda sedang melihat dokumentasi Apigee Edge.
Buka Dokumentasi Apigee X.
info

Pada 30 Maret 2021, kami merilis versi baru Apigee Edge untuk Private Cloud.

Prosedur pembaruan

Mengupdate rilis ini akan mengupdate komponen dalam daftar RPM:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

Anda dapat memeriksa versi RPM yang saat ini telah diinstal, untuk melihat apakah versi tersebut perlu diperbarui, dengan memasukkan:

apigee-all version

Untuk memperbarui penginstalan, lakukan prosedur berikut pada node Edge:

  1. Di semua node Edge:

    1. Bersihkan repositori Yum:
      sudo yum clean all
    2. Download file bootstrap_4.50.00.sh Edge 4.50.00 terbaru ke /tmp/bootstrap_4.50.00.sh:
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Instal utilitas dan dependensi apigee-service Edge 4.50.00:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      dengan uName:pWord adalah nama pengguna dan sandi yang Anda terima dari Apigee. Jika menghapus pWord, Anda akan diminta untuk memasukkannya.

    4. Update utilitas apigee-setup:
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. Gunakan perintah source untuk menjalankan skrip apigee-service.sh:
      source /etc/profile.d/apigee-service.sh
  2. Di semua node Edge, jalankan skrip update.sh untuk edge {i>checkout<i}. Untuk melakukannya, jalankan perintah berikut pada setiap node:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. Jalankan skrip update.sh untuk UI pada semua node. Di setiap node, jalankan perintah berikut:
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

Perubahan pada software yang didukung

Tidak ada perubahan pada software yang didukung dalam rilis ini.

Penghentian penggunaan dan pensiun

Tidak ada penghentian penggunaan atau penghentian baru dalam rilis ini.

Fitur Baru

Rilis ini memperkenalkan fitur baru berikut:

  • Kami telah memperkenalkan properti baru untuk Pemroses Pesan yang dapat Anda gunakan untuk mengonfigurasi penerusan proxy ke server backend: use.proxy.host.header.with.target.uri. Properti menetapkan host dan port target sebagai header Host.

Bug diperbaiki

Tabel berikut mencantumkan bug yang diperbaiki dalam rilis ini:

ID Masalah Deskripsi
158132963

Beberapa variabel alur target tidak diisi dalam rekaman aktivitas selama 504.

Kami telah menambahkan peningkatan untuk menangkap variabel aliran target yang relevan dalam trace dan analisis jika waktu tunggu target habis.

141670890

Petunjuk untuk menyetel setelan TLS tingkat sistem tidak berfungsi.

Bug yang mencegah setelan TLS diterapkan pada pemroses pesan telah diperbaiki.

123311920

Skrip update.sh gagal setelah mengaktifkan TLS di server pengelolaan.

Skrip update kini berfungsi dengan benar meskipun TLS diaktifkan di server pengelolaan.

67168818

Ketika Proxy HTTP digunakan bersama dengan Server Target, IP server {i>proxy<i} yang ditampilkan, bukan nama {i>host <i}atau IP dari target.

Masalah ini telah diperbaiki dengan menambahkan baru Properti Pemroses Pesan yang memungkinkan Anda mengonfigurasi penerusan {i>proxy<i} ke server backend.

Masalah keamanan telah diperbaiki

Berikut adalah daftar masalah keamanan umum yang telah diperbaiki dalam rilis ini. Untuk menghindari masalah ini, instal Edge Private Cloud versi terbaru.

ID Masalah Deskripsi
CVE-2019-14379

SubTypeValidator.java di FasterXML jackson-databind sebelum 2.9.9.2 salah menangani pengetikan default saat ehcache digunakan (karena net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), yang berujung pada eksekusi kode jarak jauh.

CVE-2019-14540

Masalah Ketik Polimorfik ditemukan di jackson-databind FasterXML sebelum 2.9.10. ID ini terkait dengan com.zaxxer.hikari.HikariConfig.

CVE-2019-14892

Sebuah cacat ditemukan di jackson-databind dalam versi sebelum 2.9.10, 2.8.11.5 dan 2.6.7.3, di mana ia akan mengizinkan deserialisasi polimorfik dari objek berbahaya menggunakan kelas JNDI konfigurasi umum 1 dan 2. Penyerang dapat menggunakan cacat ini untuk mengeksekusi kode arbitrer.

CVE-2019-14893

Ada cacat pada jackson-databind FasterXML di semua versi sebelum 2.9.10 dan 2.10.0, di mana ia akan mengizinkan deserialisasi polimorfik objek menggunakan gadget JNDI xalan ketika digunakan bersama dengan tipe polimorfik yang berbeda seperti `enableDefaultTyping()` atau saat @JsonTypeInfo sedang menggunakan `Id.CLASS` atau `Id.MINIMAL_CLASS` atau dengan cara lain yang ObjectMapper.readValue mungkin membuat instance objek dari sumber yang tidak aman. Penyerang dapat menggunakan cacat ini untuk mengeksekusi kode arbitrer.

CVE-2019-16335

Masalah Ketik Polimorfik ditemukan di jackson-databind FasterXML sebelum 2.9.10. ID ini terkait dengan com.zaxxer.hikari.HikariDataSource. Kerentanan ini berbeda dengan CVE-2019-14540.

CVE-2019-16942

Masalah Ketik Polimorfik ditemukan di FasterXML jackson-databind 2.0.0 hingga 2.9.10. Jika Ketik Default diaktifkan (baik secara global maupun untuk properti tertentu) untuk endpoint JSON yang diekspos secara eksternal dan commons-dbcp (1.4) di classpath, dan penyerang dapat menemukan titik akhir layanan RMI diakses, layanan dapat mengeksekusi sebuah {i>payload<i} berbahaya. Terbitan ini ada karena org.apache.commons.dbcp.datasources.SharedPoolDataSource dan kesalahan penanganan org.apache.commons.dbcp.datasources.PerUserPoolDataSource.

CVE-2019-16943

Masalah Ketik Polimorfik ditemukan di FasterXML jackson-databind 2.0.0 hingga 2.9.10. Jika Ketik Default diaktifkan (baik secara global maupun untuk properti tertentu) untuk endpoint JSON yang terekspos secara eksternal dan layanan memiliki jar p6spy (3.8.6) di classpath, dan penyerang dapat menemukan titik akhir layanan RMI untuk diakses, mungkin saja untuk membuat layanan menjalankan {i>payload<i} berbahaya. Masalah ini ada karena Kesalahan penanganan com.p6spy.engine.spy.P6DataSource.

CVE-2019-17267

Masalah Ketik Polimorfik ditemukan di jackson-databind FasterXML sebelum 2.9.10. Hal ini terkait dengan net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.

CVE-2019-20330

FasterXML jackson-databind 2.x sebelum 2.9.10.2 tidak memiliki Pemblokiran net.sf.ehcache.

CVE-2017-9801

Saat situs panggilan meneruskan subjek untuk email yang berisi pengurangan baris dalam Apache Commons Email 1.0 hingga 1.4, pemanggil dapat menambahkan header SMTP arbitrer.

Masalah umum

Untuk mengetahui daftar masalah umum Edge Private Cloud, lihat Masalah umum pada Edge Private Cloud.