4.50.00.08 - Edge for Private Cloud リリースノート

現在、Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください
情報

2021 年 3 月 30 日に、Apigee Edge for Private Cloud の新しいバージョンをリリースしました。

更新手順

このリリースを更新すると、次の RPM リストのコンポーネントが更新されます。

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

次のコマンドを入力すると、現在インストールされている RPM バージョンを確認し、更新が必要かどうかを確認できます。

apigee-all version

インストール環境を更新するには、Edge ノードで次の手順を行います。

  1. すべての Edge ノードで次の操作を行います。

    1. Yum リポジトリをクリーンアップします。
      sudo yum clean all
    2. 最新の Edge 4.50.00 bootstrap_4.50.00.sh ファイルを /tmp/bootstrap_4.50.00.sh にダウンロードします。
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Edge 4.50.00 の apigee-service ユーティリティと依存関係をインストールします。
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      ここで、uName:pWord は Apigee から受け取ったユーザー名とパスワードです。pWord を省略すると、入力するように求められます。

    4. apigee-setup ユーティリティを更新します。
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. source コマンドを使用して、apigee-service.sh スクリプトを実行します。
      source /etc/profile.d/apigee-service.sh
  2. すべての Edge ノードで、edge プロセス用の update.sh スクリプトを実行します。これを行うには、各ノードで次のコマンドを実行します。
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. すべてのノードで UI の update.sh スクリプトを実行します。各ノードで、次のコマンドを実行します。
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

サポート対象ソフトウェアの変更

このリリースでは、サポートされるソフトウェアに変更はありません。

非推奨になった機能と廃止された機能

このリリースには、新たに非推奨になった機能や廃止された機能はありません。

新機能

このリリースでは以下の新機能が導入されます。

  • バックエンド サーバーへの転送プロキシを構成するために使用できる Message Processor の新しいプロパティ use.proxy.host.header.with.target.uri が導入されました。このプロパティは、ターゲット ホストとポートを Host ヘッダーとして設定します。

修正済みのバグ

次の表に、このリリースで修正されたバグを示します。

問題 ID 説明
158132963

504 秒で、一部のターゲット フロー変数がトレースに入力されませんでした。

ターゲット タイムアウトが発生した場合にトレースと分析で関連するターゲット フロー変数をキャプチャできるように改善を加えました。

141670890

システムレベルの TLS 設定手順が機能しない。

TLS 設定が Message Processor で有効にならないバグが修正されました。

123311920

管理サーバーで TLS を有効にした後、update.sh スクリプトが失敗していました。

管理サーバーで TLS が有効になっている場合でも、更新スクリプトが正しく動作するようになりました。

67168818

HTTP プロキシをターゲット サーバーと組み合わせて使用すると、実際のターゲットのホスト名や IP ではなく、プロキシ サーバーの IP が表示されていました。

この問題は、バックエンド サーバーへの転送プロキシを構成できる新しい Message Processor プロパティの追加によって修正されました。

セキュリティの問題は解決

このリリースで修正された既知のセキュリティ問題のリストを以下に示します。 これらの問題を回避するには、最新バージョンの Edge Private Cloud をインストールします。

問題 ID 説明
CVE-2019-14379

2.9.9.2 より前の FasterXML jackson-databind の SubTypeValidator.java は、ehcache が使用されている場合のデフォルトの入力を誤って処理し(net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup のため)、リモートコード実行を引き起こします。

CVE-2019-14540

2.9.10 より前に FasterXML jackson-databind でポリモーフィック入力の問題が見つかりました。これは com.zaxxer.hikari.HikariConfig に関連しています。

CVE-2019-14892

2.9.10、2.8.11.5、2.6.7.3 より前のバージョンにおける Jackson-databind に、commons-configuration 1 および 2 の JNDI クラスを使用した悪意のあるオブジェクトのポリモーフィックなシリアル化解除を許可する脆弱性が見つかりました。攻撃者はこの脆弱性を利用して、任意のコードを実行するおそれがあります。

CVE-2019-14893

2.9.10 および 2.10.0 より前のすべてのバージョンで、FasterXML jackson-databind に脆弱性が見つかりました。`enableDefaultTyping()` などのポリモーフィック型の処理メソッドと併用した場合や、@JsonTypeInfo`Id.CLASS` または `Id.MINIMAL_CLASS` の他のソースでオブジェクトをインスタンス化する場合や、@JsonTypeInfo が他の方法で `Id.CLASS` または `Id.MINIMAL_CLASS` をインスタンス化する場合に、xalan JNDI を使用して悪意のあるオブジェクトのポリモーフィックなシリアル化解除を行う可能性があります。ObjectMapper.readValue攻撃者はこの脆弱性を利用して、任意のコードを実行するおそれがあります。

CVE-2019-16335

2.9.10 より前に FasterXML jackson-databind でポリモーフィック入力の問題が見つかりました。これは com.zaxxer.hikari.HikariDataSource に関連しています。これは CVE-2019-14540 とは異なる脆弱性です。

CVE-2019-16942

FasterXML Jackson-databind 2.0.0 から 2.9.10 で、ポリモーフィック入力の問題が見つかりました。外部に公開された JSON エンドポイントに対してデフォルトの入力が(グローバルまたは特定のプロパティに対して)有効になっており、サービスのクラスパスに commons-dbcp(1.4)jar があり、攻撃者がアクセスする RMI サービス エンドポイントを見つけた場合、サービスに悪意のあるペイロードを実行させる可能性があります。この問題は、org.apache.commons.dbcp.datasources.SharedPoolDataSourceorg.apache.commons.dbcp.datasources.PerUserPoolDataSource の処理が誤っているために発生します。

CVE-2019-16943

FasterXML Jackson-databind 2.0.0 から 2.9.10 で、ポリモーフィック入力の問題が見つかりました。外部に公開された JSON エンドポイントに対してデフォルトの入力が(グローバルまたは特定のプロパティに対して)有効になっており、サービスのクラスパスに p6spy(3.8.6)jar があり、攻撃者がアクセスする RMI サービス エンドポイントを見つけられる場合、サービスに悪意のあるペイロードが実行されるおそれがあります。この問題は、com.p6spy.engine.spy.P6DataSource の処理が誤っているために発生します。

CVE-2019-17267

2.9.10 より前に FasterXML jackson-databind でポリモーフィック入力の問題が見つかりました。これは net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup に関連しています。

CVE-2019-20330

2.9.10.2 より前の FasterXML jackson-databind 2.x には、特定の net.sf.ehcache ブロックがありません。

CVE-2017-9801

Apache Commons Email 1.0 ~ 1.4 で改行を含むメールの件名が呼び出しサイトから渡された場合、呼び出し元は任意の SMTP ヘッダーを追加できます。

既知の問題

Edge Private Cloud の既知の問題の一覧については、Edge Private Cloud の既知の問題をご覧ください。