4.50.00.08 - Edge for Private Cloud 版本说明

<ph type="x-smartling-placeholder"></ph> 您正在查看 Apigee Edge 文档。
转到 Apigee X 文档
信息

2021 年 3 月 30 日,我们发布了适用于私有云的新版 Apigee Edge。

更新过程

更新此版本将会更新以下列表中的组件: 每千次展示收入:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

您可以检查目前安装的 RPM 版本,看看它们是否 需要更新,请输入:

apigee-all version

如需更新安装,请在 Edge 节点上执行以下步骤:

  1. 在所有 Edge 节点上:

    1. 清理 Yum 代码库:
      sudo yum clean all
    2. 下载最新的 Edge 4.50.00 bootstrap_4.50.00.sh 文件到 /tmp/bootstrap_4.50.00.sh
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. 安装 Edge 4.50.00 apigee-service 实用程序和依赖项:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      其中,uName:pWord 是您从 Apigee 收到的用户名和密码。 如果您省略 pWord,系统会提示您输入。

    4. 更新 apigee-setup 实用程序:
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. 使用 source 命令执行 apigee-service.sh 脚本:
      source /etc/profile.d/apigee-service.sh
  2. 在所有 Edge 节点上,对 edge 执行 update.sh 脚本 过程。为此,请在每个节点上执行以下命令:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. 在所有节点上对界面执行 update.sh 脚本。在每个节点上,执行以下命令:
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

更改为 <ph type="x-smartling-placeholder"></ph> 支持的软件

此版本支持的软件没有任何变化。

弃用和停用

此版本没有新的弃用或停用功能。

新功能

此版本引入了以下新功能:

  • 我们为消息处理器引入了一个新属性, 用于将转发代理配置到后端服务器: <ph type="x-smartling-placeholder"></ph> use.proxy.host.header.with.target.uri。 属性将目标主机和端口设置为主机标头。

已修复 Bug

下表列出了此版本中修复的 bug:

问题 ID 说明
158132963

504 错误未填充跟踪记录中的某些目标流变量。

我们添加了改进功能,以捕获跟踪记录中的相关目标流变量 出现目标超时的情况并进行分析

141670890

无法按照相关说明设置系统级 TLS 设置。

阻止 TLS 设置在消息处理器上生效的错误 已修复

123311920

在管理服务器上启用 TLS 后,update.sh 脚本失败。

现在,即使管理服务器上启用了 TLS,更新脚本也可正常运行。

67168818

将 HTTP 代理与目标服务器结合使用时, 显示的是代理服务器的 IP,而不是实际的 目标值

该问题已通过添加一个新的 消息处理器属性 可让您配置将代理转发到后端服务器。

安全问题已解决

下面列出了此版本中已解决的已知安全问题。 为避免这些问题,请安装最新版本的 Edge 私有云。

问题 ID 说明
<ph type="x-smartling-placeholder"></ph> CVE-2019-14379

2.9.9.2 之前的 FastXML Jackson-databind 中的 SubTypeValidator.java 使用 ehcache 时不当处理默认类型 (由于 net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), 进而远程执行代码。

<ph type="x-smartling-placeholder"></ph> CVE-2019-14540

之前在 FastXML Jackson-databind 中发现了多态输入问题 2.9.10.这个事件与“com.zaxxer.hikari.HikariConfig”有关。

<ph type="x-smartling-placeholder"></ph> CVE-2019-14892

在 2.9.10 和 2.8.11.5 之前的版本中,Jackson-databind 中发现了一个缺陷 和 2.6.7.3,其中允许对恶意对象进行多态反序列化 通用配置 1 和 2 JNDI 类。攻击者可以利用此漏洞 执行任意代码。

<ph type="x-smartling-placeholder"></ph> CVE-2019-14893

之前在所有版本中,快速 XML Jackson-databind 中都发现了一个缺陷 2.9.10 和 2.10.0,后者允许对恶意代码进行多态反序列化 对象使用 xalan JNDI 小工具与多态类型结合使用时 处理方法,例如 `enableDefaultTyping()`@JsonTypeInfo正在使用 `Id.CLASS``Id.MINIMAL_CLASS`或其他任何 ObjectMapper.readValue可能 实例化来自不安全来源的对象。攻击者可以利用此漏洞 任意代码。

<ph type="x-smartling-placeholder"></ph> CVE-2019-16335

之前在 FastXML Jackson-databind 中发现了多态输入问题 2.9.10.这个事件与“com.zaxxer.hikari.HikariDataSource”有关。 此漏洞与 CVE-2019-14540 不同。

<ph type="x-smartling-placeholder"></ph> CVE-2019-16942

系统在 FastXML jackson-databind 2.0.0 中发现了一个多态输入问题 2.9.10 至 2.9.10。启用“默认输入”功能后(无论是全局还是对特定属性启用) 且该服务具有 类路径中包含 commons-dbcp (1.4) jar,并且攻击者可以找到 RMI 服务端点 访问时,服务可能会执行恶意有效负载。此问题 存在原因:org.apache.commons.dbcp.datasources.SharedPoolDataSourceorg.apache.commons.dbcp.datasources.PerUserPoolDataSource处理不当。

<ph type="x-smartling-placeholder"></ph> CVE-2019-16943

系统在 FastXML jackson-databind 2.0.0 中发现了一个多态输入问题 2.9.10 至 2.9.10。启用“默认输入”功能后(无论是全局还是对特定属性启用) 而该服务的 而攻击者可以找到要访问的 RMI 服务端点, 使服务执行恶意有效负载。出现此问题的原因如下: com.p6spy.engine.spy.P6DataSource处理不当。

<ph type="x-smartling-placeholder"></ph> CVE-2019-17267

之前在 FastXML Jackson-databind 中发现了多态输入问题 2.9.10.与 net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup

<ph type="x-smartling-placeholder"></ph> CVE-2019-20330

2.9.10.2 之前的 FastXML Jackson-databind 2.x 缺少某些 net.sf.ehcache 个屏蔽对象。

<ph type="x-smartling-placeholder"></ph> CVE-2017-9801

调用点为包含换行符的电子邮件传递主题时 Apache Commons Email 1.0 至 1.4,调用方可以添加任意 SMTP 标头。

已知问题

如需查看 Edge 私有云的已知问题列表,请参阅 Edge Private Cloud 的已知问题